Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
1
OCHRONA DANYCH OSOBOWYCH -
System Zarządzania Bezpieczeństwem Danych Osobowych w Uniwersytecie Gdańskim 1 1
2
Dlaczego warto zabezpieczać informacje, w tym dane osobowe?
gwarancja ciągłości działania – zabezpieczenie informacji na wypadek zdarzeń losowych (katastrofy, awarie) minimalizacja strat (pożar, kradzież, zniszczenie sprzętu, utrata informacji, itd.) uporządkowanie posiadanych informacji spełnienie wymogów prawnych uniknięcie kar za naruszenie bezpieczeństwa informacji wzrost świadomości osób mających styczność z informacjami w zakresie ich bezpieczeństwa gwarancja wobec osób trzecich, że ich dane są prawidłowo chronione 2 2
3
Konieczność ochrony danych osobowych – prawo międzynarodowe
Konwencja nr 108 Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób ze względu na automatyczne przetwarzanie danych o charakterze osobowym Konwencja Rady Europy z dnia 4 kwietnia 1997 r. o ochronie praw i godności człowieka w kontekście zastosowania biologii i medycyny (Konwencja Bioetyczna) Dyrektywa Parlamentu Europejskiego i Rady Unii Europejskiej 95/46/WE z dnia 24 października 1995 r. o ochronie osób w związku z przetwarzaniem ich danych osobowych oraz w sprawie swobodnego przepływu tych danych 3 3
4
Konieczność ochrony danych osobowych – polskie prawodawstwo (1/2)
Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r., art. 47 i 51 – prawo do prywatności Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 101, poz. 926 z późn. zm.) Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) Rozporządzenie MSWiA z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536) 4 4
5
Podstawowe pojęcia ustawy o ochronie danych osobowych (1/7)
DANE OSOBOWE (art.6 ) za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (tzw. reguła rozsądku) 5 5
6
Podstawowe pojęcia ustawy o ochronie danych osobowych (2/7)
danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy i numer domu czy wysokość wynagrodzenia; informacja ta będzie jednak stanowić daną osobową wówczas, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej osoby; przykładem pojedynczej informacji stanowiącej daną osobową jest natomiast numer PESEL dane osobowe obejmują również dane o przedsiębiorcach, w tym wspólnikach spółek przykłady danych osobowych według GIODO: numer PESEL, numer i seria dowodu osobistego, numer prawa jazdy, adres poczty elektronicznej, adres IP komputera, taśmy z monitoringu 6 6
7
Podstawowe pojęcia ustawy o ochronie danych osobowych (3/7)
DANE WRAŻLIWE (art.27 ust. 1) Dane wrażliwe to informacje dotyczące: - pochodzenia rasowego lub etnicznego - poglądów politycznych - przekonań religijnych lub filozoficznych - przynależności wyznaniowej, partyjnej lub związkowej - stanu zdrowia, kodu genetycznego, nałogów lub życia seksualnego - skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym 7 7
8
Podstawowe pojęcia ustawy o ochronie danych osobowych (4/7)
ZBIÓR DANYCH OSOBOWYCH (art.7 ust.1) za zbiór danych osobowych uważa się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie wystarczy co najmniej jedno kryterium wyszukiwania danych osobowych decyduje cel przetwarzania danych w zbiorze według GIODO za zbiór danych można uznać wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe 8 8
9
Podstawowe pojęcia ustawy o ochronie danych osobowych (5/7)
ZBIÓR DORAŹNY (art.2 ust.3) za zbiór doraźny uważa się zbiór danych osobowych sporządzony doraźnie, wyłącznie ze względów technicznych (ma służyć utworzeniu większego zbioru danych), szkoleniowych lub w związku z dydaktyką w szkołach wyższych po wykorzystaniu danych osobowych ze zbioru doraźnego dane te winny zostać niezwłocznie usunięte albo poddane anonimizacji w odniesieniu do zbiorów doraźnych, mają zastosowanie jedynie przepisy ustawy odnoszące się do zabezpieczenia danych osobowych decyduje cel i czas przetwarzania danych w tymże zbiorze cel przetwarzania – nie może być celem głównym (typowym) przetwarzania danych w jednostce czas przetwarzania – krótki, dotyczący określonej, wyjątkowej sytuacji 9 9
10
Podstawowe pojęcia ustawy o ochronie danych osobowych (6/7)
PRZETWARZANIE DANYCH (art.7 ust.2) za przetwarzanie danych uważa się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych przetwarzaniem jest samo przechowywanie danych, nawet jeśli podmiot faktycznie z nich nie korzysta USUWANIE DANYCH (art.7 ust.3) Za usuwanie danych uważa się zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą 10 10
11
Podstawowe pojęcia ustawy o ochronie danych osobowych (7/7)
ADMINISTRATOR DANYCH OSOBOWYCH (ADO) (art.7 ust.4) organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI (ABI) (art.36 ust.3) wyznaczona przez ADO osoba, nadzorująca przestrzeganie zasad ochrony danych osobowych GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH (GIODO) organ ds. ochrony danych, do którego zadań należy m.in.: kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych; wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawie wykonania przepisów o ochronie danych osobowych, prowadzenie rejestru zbiorów danych oraz udzielenie informacji o zarejestrowanych zbiorach; podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych 11 11
12
Osoby odpowiedzialne za przetwarzanie i ochronę danych osobowych w Uniwersytecie Gdańskim
administrator danych osobowych (ADO) – Uniwersytet Gdański reprezentowany przez osobę Rektora administrator bezpieczeństwa informacji (ABI) lokalni administratorzy danych osobowych (LABI) – prorektorzy, dziekani, dyrektorzy/kierownicy jednostek organizacyjnych, Kanclerz administrator systemu informatycznego (ASI) osoba upoważniona do przetwarzania danych osobowych – osoba zatrudniona przy przetwarzaniu danych osobowych 12 12
13
Obowiązki Administratora Danych Osobowych
obowiązek spełnienia podstaw prawnych dla przetwarzania danych (zwykłych, wrażliwych) – art. 23 i 27 obowiązek informacyjny w stosunku do osoby, której dane dotyczą – art. 24 i 25 obowiązek dołożenia szczególnej staranności – art. 26 wymogi udostępnienia i powierzenia przetwarzania danych – art. 31 obowiązek zabezpieczenia danych – art. 36 – 39 obowiązek realizacji żądań osoby, której dane dotyczą – art. 32 – 35 obowiązek rejestracyjny/aktualizacyjny (zbiory danych osobowych) – art. 40 – 46 obowiązki przy przekazywaniu danych do państwa trzeciego – art. 47 – 48 13 13
14
Podstawy prawne przetwarzania danych osobowych – dane zwykłe (art. 23)
zgoda osoby realizacja uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (np. Kodeks pracy, ustawa o szkolnictwie wyższym itp.) realizacja umowy lub podjęcie działań przed zawarciem umowy wykonanie określonych prawem zadań realizowanych dla dobra publicznego wypełnienie prawnie usprawiedliwionych celów realizowanych przez ADO albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel uważa się w szczególności: marketing bezpośredni własnych produktów lub usług ADO; dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej 14 14
15
Podstawy prawne przetwarzania danych osobowych – zgoda osoby, której dane dotyczą
oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści zgoda może być odwołana w każdym czasie zgoda może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania ustawa nie przewiduje szczególnej formy wyrażenia zgody na przetwarzanie danych, ale dla celów dowodowych warto, by zgoda miała formę pisemną z treści zgody na przetwarzanie danych osobowych powinno w sposób nie budzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane zgoda musi być dobrowolna – możliwość dokonania rzeczywistego wyboru 15 15
16
Podstawy prawne przetwarzania danych osobowych – dane wrażliwe (art
zasada: zabrania się przetwarzania danych wrażliwych wyjątek: przetwarzanie danych wrażliwych jest jednak dopuszczalne, jeżeli spełniona zostanie któraś z poniższych przesłanek: - zgoda osoby na piśmie - przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą - ochrona żywotnych interesów osoby, której dane dotyczą - wykonanie statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych nie zarobkowych organizacji - dochodzenie praw przed sądem - zatrudnienie pracowników i innych osób – zakres przetwarzanych danych jest określony w ustawie (np. niekaralność) 16 16
17
Podstawy prawne przetwarzania danych osobowych – dane wrażliwe (art
- ochrona stanu zdrowia, świadczenie usług medycznych lub leczenie pacjentów - dane, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą - prowadzenie badań naukowych; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone - realizacja praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym 17 17
18
Obowiązek informacyjny
podstawowym obowiązkiem administratora danych wobec osoby, której dane osobowe administrator przetwarza jest konieczność poinformowania jej o tym fakcie jest to warunek niezbędny, by osoba mogła skorzystać z przysługujących jej praw prawa do otrzymania tych informacji osoba nie może się zrzec obowiązku informacyjnego należy dopełnić względem pracowników nie zapominajmy o monitoringu ustawa rozróżnia dwie grupy przepisów regulujących obowiązek informacyjny w momencie zbierania danych: - zbieranie danych od osoby, której one dotyczą (art. 24) - zbieranie danych z innych (pośrednich) źródeł (art. 25) 18 18
19
Obowiązek informacyjny – zbieranie danych od osoby, której one dotyczą (art. 24)
w przypadku zbierania danych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: - adresie swojej siedziby i pełnej nazwie - celu zbierania danych i przewidywanych odbiorcach - prawie dostępu do treści swoich danych oraz ich poprawiania - dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej obowiązek informacyjny w tym wypadku winien być wykonany w momencie zbierania danych (np. w chwili podpisywania umowy, wypełniania ankiety) wymagane informacje administrator musi przekazać z własnej inicjatywy – nie na żądanie osoby 19
20
Obowiązek informacyjny (art. 24) – kiedy nas nie dotyczy?
przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania (inna ustawa musi o tym mówić wprost – BOR, Policja, ABW) osoba, której dane dotyczą, posiada już informacje, o których mowa w art. 24 (przykładowo osoba kontaktuje się z administratorem po raz kolejny w tej samej sprawie – administrator może przyjąć, że osoba ta posiada już wymagane informacje) 20
21
Obowiązek informacyjny – zbieranie danych z pośrednich źródeł (art. 25)
w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: - adresie swojej siedziby i pełnej nazwie - celu i zakresie zbierania danych i przewidywanych odbiorcach - źródle danych - prawie dostępu do treści swoich danych oraz ich poprawiania - uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8, w tym m. in. o prawie sprzeciwu na przetwarzanie danych w celach marketingowych, na przekazanie danych innemu administratorowi w przypadku zbierania danych nie od osoby, której one dotyczą, administrator jest obowiązany udzielić wymaganych informacji (z własnej inicjatywy) bezpośrednio po utrwaleniu zebranych danych obowiązek jesteśmy zobowiązani spełnić również gdy zbieramy dane ze źródeł ogólnodostępnych oraz gdy dane zamierzamy wykorzystać tylko jednorazowo 21
22
Obowiązek informacyjny (art. 25) – kiedy nas nie dotyczy?
obowiązek nie dotyczy podmiotów publicznych, realizujących zadania określone w przepisach prawa nie musimy spełniać obowiązku również gdy: - dane te sa niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej - ich przetwarzanie nie narusza praw lub wolnosci osoby, której dane dotyczą - spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celów badania powyższe warunki muszą być spełnione jednocześnie 22
23
Forma dopełnienia obowiązku informacyjnego
ustawa nie przewiduje szczególnej formy spełnienia obowiązku informacyjnego obowiązek informacyjny, może być spełniony przez administratora danych nawet ustnie (również telefonicznie) dla celów dowodowych, warto jednak by klauzula spełniająca taki obowiązek miała formę pisemną to na administratora danych spada obowiązek udowodnienia, że przekazał wymagane informacje informacja musi być skierowana bezpośrednio do osoby, której dane przetwarzamy (ale może to być np. grupa osób) nie możemy spełniać obowiązku poprzez wywieszenie informacji lub wykupienie ogłoszenia w prasie wybrana forma musi być skuteczna – gwarantować, że osoba otrzyma informacje 23
24
Obowiązki szczególnej staranności – zasady przetwarzania danych osobowych (art. 26)
Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: przetwarzane zgodnie z prawem (zasada legalności) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami (zasada celowości) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane (zasada adekwatności i poprawności) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (zasada czasowości) 24
25
Obowiązki szczególnej staranności – zasada legalności
przetwarzanie danych osobowych zgodnie z prawem konieczność uwzględnienia przynajmniej jednej z podstaw prawnych przetwarzania danych określonych w ustawie art. 23 – dane zwykłe art. 27 – dane wrażliwe 25
26
Obowiązki szczególnej staranności – zasada celowości (1/2)
możemy zbierać dane jedynie dla oznaczonych, zgodnych z prawem celów i nie poddawać ich dalszemu przetwarzaniu niezgodnemu z tymi celami zbierający dane nie może pominąć ani zataić celu przetwarzania nie można określać celu przetwarzania danych w sposób ogólnikowy cel powinien być zakomunikowany zainteresowanemu przed zebraniem danych osobowych niedopuszczalne jest uzależnienie zawarcia umowy od wyrażenia zgody na przetwarzanie danych w innych celach nie można zbierać danych „na zapas” cel musi być określony i nie może być zmieniany jeżeli podmiot występuje do administratora o udostępnienie danych, administrator musi sprawdzić, w jakim celu podmiot ten zamierza wykorzystać dane 26
27
Obowiązki szczególnej staranności – zasada celowości (2/2)
wyjątek (art. 26 ust. 2): przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje: - w celach badań naukowych, dydaktycznych, historycznych lub statystycznych - z zachowaniem przepisów art. 23 i 25 NSA uznał, że powyższe warunki muszą być spełnione jednocześnie 27
28
Obowiązki szczególnej staranności – zasada merytorycznej poprawności
dane powinny być kompletne, zgodne z prawda i na ile to możliwe aktualne problem: aktywne działanie administratora w celu zapewnienia aktualności danych? administrator jest zobowiązany ocenić wiarygodność źródła pozyskania danych administrator powinien ustalić zasady postępowania w wypadku stwierdzenia nieprawidłowości 28
29
Obowiązki szczególnej staranności – zasada adekwatności
możemy przetwarzać tylko takiego rodzaju dane i tylko o takiej treści, które są merytorycznie poprawne i adekwatne ze względu na cel zbierania danych adekwatne = niezbędne = wystarczające ocena powinna odbywać się już w momencie zbierania danych dane nie mogą być zbierane „na zapas” zakres danych jest w niektórych ustawach wskazywany przez ustawodawcę wprost (np. kodeks pracy) posiadanie zgody na przetwarzanie danych, nie zwalnia z obowiązku przestrzegania zasady adekwatności 29
30
Obowiązki szczególnej staranności – zasada ograniczenia czasowego
przechowywanie danych osobowych nie dłużej niż jest to niezbędne do realizacji celu przetwarzania później należy dane usunąć lub zanonimizować administrator jest zobowiązany do podjęcia tych działań „samodzielnie” a nie dopiero na wniosek osoby wskazane jest aby procedura dokonywania przeglądów była opisana w „Polityce bezpieczeństwa” również w wypadku cofnięcia zgody lub zgłoszenia sprzeciwu należy zaprzestać przetwarzania danych czas przez jaki mogą być przechowywane dane jest niejednokrotnie określony ustawowo zasada ma zastosowanie również w wypadku przetwarzania danych na podstawie zgody osoby 30
31
Udostępnienie a powierzenie przetwarzania danych osobowych (1/2)
UDOSTĘPNIENIE DANYCH następuje pomiędzy administratorami danych następuje przejęcie odpowiedzialności za dalsze przetwarzanie danych nie musi być na piśmie podstawy prawne udostępniania danych (warunki dopuszczalności przetwarzania danych zwykłych – art.23, wrażliwych – art.27; udostępnianie na podstawie ustaw szczególnych; znaczenie zasady określonej w art.5) udostępnianie danych obligatoryjne (niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z ustawy; podmiotom uprawnionym na mocy przepisów prawa – np. ZUS, Policja, sąd) udostępnienie danych fakultatywne (w celu realizacji umowy; na podstawie zgody osoby, której dane dotyczą; wykazanie, iż udostępnienie danych jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych) 31
32
Udostępnienie a powierzenie przetwarzania danych osobowych (2/2)
POWIERZENIE PRZETWARZANIA DANYCH (art.31) w celu dalszego przetwarzania danych umowa powierzenia winna być zawarta na piśmie i wyraźnie określać zakres i cel przetwarzania danych procesor (podmiot, któremu powierzono dane) przetwarza dane na zlecenie administratora danych ale nie staje się administratorem tych danych i nie spoczywają na nim obowiązki, którymi ustawodawca obciążył administratora danych za wyjątkiem wymogu zabezpieczenia danych administrator ma prawo kontroli przetwarzania danych u procesora zgodnie z umową przykład powierzenia przetwarzania danych: umowa o świadczenia usług w zakresie kadrowo – płacowym, archiwizowania dokumentów, niszczenia dokumentów itp. 32
33
Obowiązek zabezpieczenia danych osobowych (1/3)
Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń i kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich: - udostępnieniem osobom nieupoważnionym - zabraniem przez osobę nieuprawnioną - przetwarzaniem z naruszeniem ustawy - zmianą, utratą, uszkodzeniem lub zniszczeniem (zagrożenie bezpieczeństwa danych) 33
34
Obowiązek zabezpieczenia danych osobowych (2/3)
Środki techniczne i organizacyjne: systemy alarmowe kody dostępu rozwiązania architektoniczno – budowlane ( wyznaczenie obszaru przetwarzania danych osobowych) służby ochrony ochrona przeciwpożarowa prowadzenie dokumentacji wydawanie upoważnień i ich ewidencjonowanie wyznaczenie osób nadzorujących przestrzeganie zasad ochrony procedury postępowania z kluczami do pomieszczeń, w których przetwarzane są dane osobowe polityka „czystego biurka” polityka „czystego ekranu”
35
Obowiązek zabezpieczenia danych osobowych (3/3)
rozwiązania informatyczne – środki bezpieczeństwa dla systemów informatycznych służących do przetwarzania danych osobowych określone zostały w rozporządzeniu MSWiA z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych Osobowych (Dz. U. Nr 100, poz. 1024)
36
Obowiązek realizacji żądań osoby, której dane dotyczą (art. 32 – 35)
Każdej osobie przysługuje prawo: wystąpienia do administratora z wnioskiem o udzielenie informacji na temat przetwarzania jej danych (nie częściej niż raz na 6 miesięcy) żądania uzupełnienia, uaktualnienia, sprostowania danych, wstrzymania ich przetwarzania lub ich usunięcia, jeżeli dane są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację wniesienia sprzeciwu wobec przetwarzania jej danych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych 36
37
Obowiązek rejestracji zbiorów danych osobowych
administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Danych Osobowych, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 - 11 przypadków zwalniających z obowiązku rejestracji (m.in. zbiory danych zawierające informacje niejawne, zbiory zawierające dane osobowe pracowników oraz osób uczących się, zbiory powszechnie dostępne, zbiory prowadzone w drobnych bieżących sprawach życia codziennego – księgi interesantów prowadzone w urzędach, księgi wejść/wyjść, rejestry przepustek) rejestracja zbioru to czynność materialno - techniczna nie jest to najważniejszy obowiązek administratora danych 37
38
Obowiązki przy przekazywaniu danych do państwa trzeciego
państwo trzecie = państwo, które nie należy do Europejskiego Obszaru Gospodarczego (UE + Norwegia + Islandia + Lichtenstein) przekazywanie danych w ramach EOG – zasada swobodnego przepływu danych osobowych, traktowane jest jak przetwarzanie danych na terytorium RP zasada ogólna: przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych odpowiedni poziom ochrony danych osobowych jest oceniany przez administratora danych osobowych organem uprawnionym do stwierdzenia w drodze decyzji, że dane państwo trzecie zapewnia odpowiedni poziom ochrony jest Komisja Europejska „domniemaniem” odpowiedniego poziomu ochrony danych osobowych może być ratyfikowanie przez dane państwo trzecie konwencji 108 Rady Europy
39
System Zarządzania Bezpieczeństwem Danych Osobowych - dlaczego tworzymy?
powód: dopełnienie obowiązków administratora danych wynikających z ustawy o ochronie danych osobowych oraz przepisów wykonawczych wydanych na jej podstawie dopełnienie wszystkich obowiązków administratora danych = prawidłowy system ochrony danych osobowych odpowiednia świadomość zarówno kadry kierowniczej jak i poszczególnych pracowników, dotycząca prawidłowego przetwarzania tych danych – wiedza na temat ich ochrony i świadomość problemów, jakie wiążą się z ich gromadzeniem, wykorzystywaniem czy usuwaniem = sprawny system ochrony danych osobowych 39 39
40
System Zarządzania Bezpieczeństwem Danych Osobowych – schemat tworzenia
omawiamy etapy tworzenia SZBDO w Uniwersytecie Gdańskim i kwestionariusz audytu ochrony danych osobowych 40
41
System Zarządzania Bezpieczeństwem Danych Osobowych – podsumowanie
administrator danych powinien: - wspierać wszelkie działania mające na celu bezpieczeństwo danych osobowych (w rozsądnych granicach) - zobowiązać kierowników jednostek do czynnego udziału w tworzeniu SZBDO pracownicy powinni: - zostać przeszkoleni z zakresu przepisów o ochronie danych osobowych oraz dokumentów wewnętrznych ich dotyczących - być upoważnieni do przetwarzania danych osobowych - znać odpowiedzialność za ochronę danych osobowych oraz zakres swoich praw i obowiązków związanych z danymi 41
42
Grzechy i grzeszki…. brak wdrożonych zasad dotyczących ochrony danych osobowych – brak Polityki lub Instrukcji lub dokumenty te nie spełniają wymagań wynikających z ustawy lub rozporządzenia nie wypełniono obowiązku informacyjnego udostępnianie danych osobowych osobom nieupoważnionym zbieranie danych osobowych w szerszym zakresie, niż to wynika z przepisów lub zasady adekwatności przyjęte rozwiązania organizacyjne i techniczne nie zapewniają odpowiedniej ochrony przetwarzanych danych osobowych nie zapewniono mechanizmów kontroli dostępu do danych osobowych brak zasad bezpieczeństwa korzystania z Internetu brak monitorowania pracy systemów teleinformatycznych brak szkoleń użytkowników nie zgłoszono do rejestracji zbiorów danych osobowych
43
Źródła informacji http://www.giodo.gov.pl http://edugiodo.giodo.gov.pl
materiały szkoleniowe otrzymane na warsztatach dla ABI organizowanych przez KSOIN
44
Alicja Pyskło tel. 58 523 24 59 poin@ug.edu.pl
Dziękuję za uwagę Alicja Pyskło tel
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.