· 2019. 3. 19. · Zabezpieczanie danych a tajemnica zawodowa Art.15 •Ust. 1 Radca prawny jest...

www.lubasziwspolnicy.pl

PARTNER

www.lubasziwspolnicy.plwww.PortalPrawaIT.com

www.PortalODO.com

Ochrona danych osobowych- szkolenie dla radców prawnych

Szczecin, 11.03.2017 r.

www.PortalODO.com

Najnowsze przykłady ataków

Źródło: https://niebezpiecznik.pl/

www.PortalODO.com

Źródło: www.zaufanatrzeciastrona.pl

www.PortalODO.com

Zabezpieczenie danych a tajemnica zawodowa

www.PortalODO.com

Ustawa o radcach prawnych

Kodeks etyki radców prawnych

Regulamin wykonywania zawodu

radcy prawnego

www.PortalODO.com

Art. 3 ustawy o radcach prawnych

ust• . 3. Radca prawny jest obowiazany zachowac w tajemnicywszystko, o czym dowiedział sie w zwiazku z udzieleniem pomocyprawnej.

ust• . 4. Obowiazek zachowania tajemnicy zawodowej nie mozebyc ograniczony w czasie.

ust• . 5. Radca prawny nie moze byc zwolniony z obowiazkuzachowania tajemnicy zawodowej co do faktów, o którychdowiedział sie udzielajac pomocy prawnej lub prowadzac sprawe.

www.PortalODO.com

Dochowanie• tajemnicy zawodowej jestprawem i obowiązkiem radcyprawnego.

Stanowi podstawę zaufania klienta i jest •gwarancją praw i wolności.

Art.9 Kodeksu Etyki

www.PortalODO.com

• 1. Radca Prawny zobowiązany jestwykonywać czynności zawodowesumiennie oraz z należytą starannościąuwzgledniającą profesjonalny charakterdziałania

Art. 12 Kodeksu Etyki

www.PortalODO.com

Zabezpieczanie danych a tajemnica zawodowa

Art.15

• Ust. 1 Radca prawny jest obowiązany zachowaćw tajemnicy wszystkie informacje dotycząceklienta i jego spraw, ujawnione radcy prawnemuprzez klienta bądź uzyskane w inny sposób wzwiązku z wykonywaniem przez niegojakichkolwiek czynności zawodowych niezależnieod źródła tych informacji oraz formy i sposobuich utrwalenia (tajemnica zawodowa)

www.PortalODO.com

Ust. 2

• Tajemnica zawodowa obejmuje równieżwszystkie tworzone przez radcę prawnegodokumenty oraz korespondencję radcyprawnego z klientem i osobamiuczestniczącymi w prowadzeniu sprawy –powstałe dla celów związanych zeświadczeniem pomocy prawnej.

www.PortalODO.com

Art.23 KE

Radca prawny obowiązany jestzabezpieczyć przed niepowołanymujawnieniem wszelkie informacjeobjęte tajemnica zawodową,niezależnie od ich formy isposobu utrwalenia.

www.PortalODO.com

Art. 35 KE - Można wykonywać czynności drogą elektroniczną, jeśli radca prawny:

• 6) Poprzez okresową archiwizację zabezpiecza i dba o dostępność danych przetwarzanych drogąelektroniczną

• 7) Chroni tajemnicę zawodową, informując w treści korespondencji elektronicznej o jej poufnymcharakterze;

Zabezpieczenie uważa się za należyte, jeżeli klient po uprzednim poinformowaniu goo zagrożeniach związanych z korzystaniem z drogi elektronicznej, domyślnie lubwyraźnie zaakceptował stosowane w komunikacji z nim środki, techniki, sposoby,systemy lub standardy komunikacji elektronicznej

www.PortalODO.com

Tajemnica zawodowa a ochrona danych osobowych

www.PortalODO.com

UODO a tajemnice zawodowe

Art. 5 UODO

Jeżeli przepisy odrębnych ustaw, które odnoszą się do

przetwarzania danych, przewidujądalej idącą ich ochronę, niż

wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.

www.PortalODO.com

Tajemnica zawodowa:

radcowie prawni, adwokaci, •

notariusze, komornicy,•

sędziowie, prokuratorzy,•

biegli rewidenci•

doradcy podatkowi,•

i • 40 dalszych zawodów.

www.PortalODO.com

Czy tajemnica zawodowa idzie dalej?

Art. 5 - lex specialis derogat legi generali?

nie dochodzi o uchylenia przepisu ogólnego w całości, ale tylko w takim zakresie, jakiego dotyczy norma szczególna

zastosowanie przepisu o charakterze szczególnym w zakresie, w jakim dotyczy przetwarzania danych osobowych, w pozostałym zakresie należy stosować przepisy ustawy odo

www.PortalODO.com

Zwolnienia ustawowe

Art. 43 ust. 1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

2. przetwarzanych przez właściwe organy dla potrzeb postępowania

sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym

5. dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej,

adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub

biegłego rewidenta,

www.PortalODO.com

Ochrona danych osobowych

Źródła prawa

Podstawy przetwarzania

Zakres stosowania ustawy i kluczowe pojęcia

www.PortalODO.com

Źródła prawa ochrony danych

Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych

Rozporządzenie PE i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku wsprawie ochrony osób fizycznych w związku z przetwarzaniem danychosobowych i w sprawie swobodnego przepływu takich danych orazuchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochroniedanych)

www.PortalODO.com

Źródła prawa ochrony danych

Rozporządzenia Ministra Administracji i Cyfryzacji:

• z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratorabezpieczeństwa informacji rejestru zbiorów danych

• z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celuzapewniania przestrzegania przepisów o ochronie danych osobowych przezadministratora bezpieczeństwa informacji

• z dnia 10 grudnia 2014 roku w sprawie wzorów zgłoszeń powołania i odwołaniaadministratora bezpieczeństwa informacji

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunkówtechnicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemyinformatyczne służące do przetwarzania danych osobowych

www.PortalODO.com

Stosowanie ustawy

Ustawa określa zasady postępowania przy przetwarzaniudanych osobowych oraz prawa osób fizycznych, których daneosobowe są lub mogą być przetwarzane w zbiorach danych.

Ustawę stosuje się do przetwarzania danych osobowych:

• w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorachewidencyjnych,

• w systemach informatycznych, także w przypadku przetwarzania danychpoza zbiorem danych.

www.PortalODO.com

Stosowanie ustawy

Ustawę stosuje się do organów państwowych, organów samorząduterytorialnego oraz do państwowych i komunalnych jednostekorganizacyjnych.

Ustawę stosuje się również do:

• 1) podmiotów niepublicznych realizujących zadania publiczne,

• 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobamiprawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową,zawodową lub dla realizacji celów statutowych

• które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej,albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środkówtechnicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

www.PortalODO.com

System ochrony danych osobowychprzetwarzanie

danych osobowych w przypadkach

wymienionych w ustawie

Zapewnienia jawności

przetwarzania danych

uwzględnienie uprawnień podmiotu

danych

odpowiednie zabezpieczenie

danych osobowych

www.PortalODO.com

Dane osobowewszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

osobą możliwą do zidentyfikowania jest taka, której tożsamość można określić bezpośrednio lub pośrednio

informacji nie uważa się za umożliwiające określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań

www.PortalODO.com

Imię• i nazwisko

PESEL,• NIP, numer dowodu osobistego

Informacje• o majątku

Wykształcenie,• przebieg kariery zawodowej

Cechy• osobowościowe, sposób spędzania wolnegoczasu

Wyniki• badań medycznych, informacje o chorobach

Adres• IP, numer telefonu, adres e-mail

Dane osobowe - przykłady

www.PortalODO.com

Zbiór danych

każdy posiadający strukturę

zestaw danych o charakterze osobowym

dostępnych według określonych kryteriów

niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie

www.PortalODO.com

Przykładowe zbiory danych

osobowych Klienci

Kontrahenci

Dłużnicy

PracownicyKandydaci do

Potencjalni klienci

Odbiorcy newslettera

Osoby składające reklamacje

www.PortalODO.com

jakiekolwiek operacje wykonywane na danych osobowych, takie jak:

• zbieranie,

• utrwalanie,

• przechowywanie,

• opracowywanie,

• zmienianie,

• udostępnianie i usuwanie

a zwłaszcza te, które wykonuje się w systemach informatycznych

Przetwarzanie danych osobowych

www.PortalODO.com

Podmiot decydujący o celach i środkach przetwarzania danych

• z powyższego pojęcia wyłączone są osoby fizyczne przetwarzające daneosobowe jedynie w celach osobistych lub domowych, bo do nich ustawy niestosujemy,

• administratorem danych osobowych nie jest osoba zajmująca kierowniczestanowisko, czy pracownik, któremu powierzono przetwarzanie danychosobowych,

• nie jest konieczne, by administrator realizował wszystkie czynności składającesię na pojęcie przetwarzania danych, wystarczy, że podejmuje decyzję, byprzykładowo jedynie zbierać dane osobowe,

• nie jest administratorem danych procesor (podmiot, któremu powierzonoprzetwarzanie danych osobowych).

Administrator danych

www.PortalODO.com

DOLiS/DEC- 570/13/32271,32276,32280,32284

Na podstawie ww. przepisu S. w celu dochodzenia ww. roszczeń powierzył Kancelarii dane osoboweSkarżących w zakresie, w jakim nimi dysponuje, zgodnie z umową z dnia [...] grudnia2012 r. o współpracy, na mocy której zlecono Kancelarii, a ta zobowiązała się do świadczenia obsługiprawnej w zakresie dochodzenia należności od członków S. na drodze sądowej i egzekucyjnej.Stwierdzić należy, że umowa ta wypełniała przesłanki z art. 31 ust. 1 ustawy, gdyż została zawarta wformie pisemnej oraz określała zakres i cel powierzonych do przetwarzania danych.

Podkreślić należy, że udostępnienie danych osobowych Skarżących między tymi podmiotami na podstawie ww. umowy powierzenia przetwarzania danych osobowych nie spowodowało zmiany administratora danych, którym nadal pozostaje S., natomiast Kancelaria przetwarza te dane wyłącznie w celu i zakresie przewidzianym we wskazanej umowie jako podmiot, o którym mowa w art. 31 ustawy. Zaznaczyć należy, że to powierzenie nie nakładało na S. obowiązku uzyskiwania zgody Skarżących na udostępnienie ich danych osobowych Kancelarii, bo uprawnienie administratora danych do podejmowania tych czynności wynikało z art. 31 ustawy.

www.PortalODO.com

PowierzenieMarketing

Usługi informatyczne

Doradztwo podatkowe

Księgowość

Kadry i płace

Obsługa prawna

Niszczenie dokumentów

www.PortalODO.com

Powierzenie przetwarzania danych

w oparciu o umowę na piśmie o przetwarzaniu

danych

wyłącznie w zakresie i celu przewidzianym w

tej umowie

podmiot, któremu powierzono dane

zabezpiecza je zgodnie z wymaganiami u.o.d.o.

Administrator może powierzyć innemu podmiotowi przetwarzanie danych:

www.PortalODO.com

Inne ważne pojęcia

• wyznaczona przez ADO i zarejestrowana w GIODO osoba, nadzorująca przestrzeganie zasad ochrony danych osobowych

Administrator bezpieczeństwa informacji (ABI)

• zespół informatyków wyznaczony przez ADO, odpowiedzialny za prawidłowe funkcjonowanie systemów informatycznych, sprzętu, oprogramowania i jego konserwację

Administrator Systemu

Informatycznego (ASI)

www.PortalODO.com

Zasady i przesłanki przetwarzania

www.PortalODO.com

Legalność

Celowość

Proporcjonalność

Ograniczenie czasowe

Merytoryczna poprawność

Zasady przetwarzania

www.PortalODO.com

Kiedy można przetwarzać dane osobowe?

Tylko w przypadkach wymienionych w ustawie – gdy:

• osoba, której dane dotyczą, wyrazi na to zgodę,

• jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązkuwynikającego z przepisu prawa,

• jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jejstroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowyna żądanie osoby, której dane dotyczą,

• jest niezbędne do wykonania określonych prawem zadań realizowanych dladobra publicznego,

• jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celówrealizowanych przez administratorów danych albo odbiorców danych, aprzetwarzanie nie narusza praw i wolności osoby, której dane dotyczą

www.PortalODO.com

Dane osobowe wrażliwe

dane ujawniające:

• pochodzenie rasowe lub etniczne,

• poglądy polityczne,

• przekonania religijne lub filozoficzne,

• przynależność wyznaniową, partyjną lub związkową,

• jak również dane o stanie zdrowia, kodzie genetycznym,nałogach lub życiu seksualnym oraz dane dotyczące skazań iinnych orzeczeń

www.PortalODO.com

Dane osobowe wrażliwe można przetwarzać gdy:

osoba, której dane dotyczą, wyrazi na to zgodę na piśmie

przepis innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą

przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której danedotyczą lub osób niepełnoletnich / ubezwłasnowolnionych

jest to niezbędne do wykonania statutowych zadań kościołów, stowarzyszeń, fundacji, instytucjipolitycznych, naukowych, religijnych, związkowych

www.PortalODO.com

Cd. - Dane osobowe wrażliwe można przetwarzać, gdy:

są one niezbędne do dochodzenia praw przed sądem

dotyczą zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest ustawowy

dotyczą ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów, zarządzaniaudzielaniem usług medycznych

dotyczą danych upublicznionych

umożliwiają prowadzenie badań naukowych lub uzyskanie dyplomu lub stopnia naukowego

jest prowadzone w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego wpostępowaniu sądowym lub administracyjnym

www.PortalODO.com

Wymogi kwalifikacyjne

Administratorem bezpieczeństwa informacji może być osoba, która:

• ma pełną zdolność do czynności prawnych oraz korzysta z pełnipraw publicznych

• posiada odpowiednią wiedzę wzakresie ochrony danych osobowych

• nie była karana za umyślne przestępstwoABI – osoba fizyczna

Możliwość powoływania zastępców ABI

www.PortalODO.com

Pozycja ABI

Kierownik jednostki organizacyjnej lub os. fiz. Będąca ADO

ASI/ zastępca ABI

Personel

www.PortalODO.com

Zadania ABI

Zapewnianie przestrzegania przepisów o ochronie danych osobowych, wszczególności przez:

• sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ODO oraz opracowaniew tym zakresie sprawozdania dla ADO

• nadzorowanie opracowania i aktualizowania dokumentacji ODO oraz przestrzegania zasad wniej określonych

• zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisamio ODO

Prowadzenie rejestru zbiorów danych

Możliwość powierzenia ABI innych obowiązków, o ile nie naruszy toprawidłowego wykonywania powyższych zadań

www.PortalODO.com

Obowiązki administratora danych

www.PortalODO.com

Obowiązki administratora danych

Przetwarzanie zgodnie z

zasadami UODO

Obowiązki informacyjne

Obowiązki rejestracyjne

Obowiązki dokumentacyjne

Obowiązki zabezpieczenia

danych

Obowiązki kontrolne i nadzorcze

www.PortalODO.com

ADO zbiera dane od osoby, której dotyczą –informuje o:

adresie swojej siedziby i pełnej nazwie, a w przypadku gdyadministratorem danych jest osoba fizyczna - o miejscu swojegozamieszkania oraz imieniu i nazwisku

celu zbierania danych, a w szczególności o znanych mu w czasieudzielania informacji lub przewidywanych odbiorcach lub kategoriachodbiorców danych

prawie dostępu do treści swoich danych oraz ich poprawiania

dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązekistnieje, o jego podstawie prawnej

Obowiązki informacyjne administratora danych

www.PortalODO.com

Administrator zbiera dane nie od osoby, której dotyczą

Moment informacji- bezpośrednio po utrwaleniu danych

Obowiązku nie trzeba realizować, gdy:

• przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzyosoby, której dane dotyczą,

• dane te są niezbędne do badań naukowych, dydaktycznych, historycznych,statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lubwolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania,

• dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1,na podstawie przepisów prawa,

• osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.

www.PortalODO.com

Uprawnienia podmiotu danych

Prawo do informacji o:

• administratorze danych, przetwarzanych danych, celu i czasie ich przetwarzania, sposobieudostępniania danych oraz źródle ich pochodzenia

• 30 dni na udzielenie informacji, na żądanie zainteresowanego w formie pisemnej

• podmiot danych może korzystać z tego prawa raz na 6 miesięcy

Prawo do poprawiania danych, wstrzymania ich przetwarzania lub usunięcia:

• jeżeli są one nieaktualne, niekompletne, nieprawdziwe

• zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, w jakim były zebrane

• jeżeli ADO nie realizuje tego prawa, to przysługuje wniosek do GIODO o nakazanie dopełnieniaobowiązku

• w takim przypadku ADO musi poinformować bez zbędnej zwłoki innych ADO, którym udostępniłzbiór o uaktualnieniu lub sprostowaniu danych

www.PortalODO.com

Obowiązek rejestracyjny

Zasada

• Obowiązek zgłaszania zbiorów danych przez ADO do rejestruprowadzonego przez GIODO

• Wyjątki – określone w ustawie – interpretowane wąsko

Cel prowadzenia rejestru

• zapewnienie jawności zbierania danych oraz celu ich zbierania (każdy maprawo przeglądać rejestr)

• ułatwienie GIODO realizacji jego kompetencji kontrolnych

www.PortalODO.com

Brak obowiązku zgłaszania zbiorów danych:

przetwarzanych w związku z zatrudnieniem u ADO, świadczeniem im usług na podstawie umów cywilnoprawnych,a także dotyczących osób u nich zrzeszonych lub uczących się;

dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego,rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;

tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, radgmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta,burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;

dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonaniatymczasowego aresztowania lub kary pozbawienia wolności

www.PortalODO.com

Brak obowiązku zgłaszania zbiorów danych:

przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;

powszechnie dostępnych;

przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lubstopnia naukowego;

przetwarzanych w zakresie drobnych bieżących spraw życia codziennego;

przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiemzbiorów zawierających dane, o których mowa w art. 27 ust. 1.

www.PortalODO.com

Korelat zwolnienia ADO z obowiązku rejestracji zbiorów – obowiązek prowadzenia rejestru zbiorów przez ABI

Korzyść z powołania ABI – zwolnienie z obowiązku rejestracji zbiorów niezawierających danych wrażliwych w przypadku powołania i zgłoszenia ABI

Art. 43 ust. 1a:

Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i

zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ust. 2.

Dodatkowe zwolnienie

www.PortalODO.com

Zabezpieczenie danych

www.PortalODO.com

Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjnezapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń orazkategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ichudostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną,przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Art. 36. 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzaniadanych oraz środki, o których mowa w ust. 1.

Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie daneosobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

www.PortalODO.com

Zabezpieczenie danych osobowych

Środki techniczne i organizacyjne

zapewniające ochronę przetwarzanych danych

Dokumentacja przetwarzania danych

www.PortalODO.com

Zabezpieczenie danych osobowych

Infrastruktura:

• Środki ochrony fizycznej

• Środki ochrony informatycznej

Organizacja:

• Polityki i instrukcje

• Procedury

• Regulaminy

www.PortalODO.com

Bezpieczeństwo

Poufność

• rozumie się przez to właściwość zapewniającą, że dane nie są udostępnianenieupoważnionym podmiotom

Integralność

• rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostałyzmienione lub zniszczone w sposób nieautoryzowany

Rozliczalność

• rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą byćprzypisane w sposób jednoznaczny tylko temu podmiotowi;

www.PortalODO.com

• Polityka bezpieczeństwa

• Instrukcja zarządzania systemem informatycznym

Dokumentacja ochrony danych

osobowych

www.PortalODO.com

Polityka bezpieczeństwa

To zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony iprzepływu danych osobowych wewnątrz organizacji.

Powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych, tj.:

• do zabezpieczenia danych przetwarzanych tradycyjnie

• do danych przetwarzanych w systemach informatycznych

Cel polityki bezpieczeństwa:

• wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, którenależy stosować, aby właściwie wykonać obowiązki administratora danych w zakresiezabezpieczenia danych osobowych.

www.PortalODO.com

PB Wyciąg zasad dla

użytkownikówPowołanie

ABI/ASI Wykaz zbiorów

danych Opis struktury

zbiorów

Lokalizacja przetwarzania

Przepływ danych Zastosowane

środki techniczne i organizacyjne

Wzór upoważnień

Ewidencja upoważnień

Plan szkoleńLista osób

przeszkolonychWzór umowy powierzenia

Wzór oświadczeń i umów o poufności

Plan sprawdzeń

Wzór sprawozdania ze

sprawdzenia

Instrukcja alarmowa

Rejestr powierzeń i udostępnień

Wzory klauzul informacyjnych

Wzór rejestru ABI

www.PortalODO.com

Upoważnienie

upoważniam pana Jana Kowalskiego członka personelu Spółki XYZ doprzetwarzania danych osobowych w następujących zbiorach i wnastępujących zakresach i systemach (tabela poniżej):

Legenda: WG – wgląd, W – wprowadzanie, M – modyfikacja, U – usuwanie,A – archiwizacja.

Nazwa systemu informatycznego /zbioru

Zakres operacji przetwarzania DO

Zbiór danych pracowników W, WG, M, A

Zbiór kandydatów do pracy W, WG, M, U

www.PortalODO.com

Ewidencja upoważnień

Imię i nazwisko osoby upoważnionej

Identyfikator Data nadania upoważnienia

Data ustania upoważnienia

Numer upoważnienia

Jan Kowalski j. kowalski 16.09.2015 16.09.2016 1/2015

www.PortalODO.com

Instrukcjazarządzaniasystememinformatycznym

Ogólne informacje o systemach informatycznych

Opis zastosowanych zabezpieczeń

Możliwe opracowanie kilku instrukcji – w przypadkukorzystania z kilku odmiennych systemów informatycznych

Elementy określone w rozporządzeniu

www.PortalODO.com

Instrukcja zarządzania systemem informatycznym zawiera m.in..

• procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności

• stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem

• procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu

• procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania

• procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych

• sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych

www.PortalODO.com

Poziomy zabezpieczeń DO w systemach informatycznych

podstawowy

• w systemie informatycznym nie ma danych wrażliwych

• żadne z urządzeń służących do przetwarzania danych nie jest podłączone do siecipublicznej

podwyższony

• w systemie informatycznym są przetwarzane dane wrażliwe

żadne• z urządzeń służących do przetwarzania danych nie jest podłączone do siecipublicznej

wysoki

• przynajmniej jedno urządzenie służące do przetwarzania danych jest połączone z sieciąpubliczną

www.PortalODO.com

Poziom wysoki

zabezpieczenie przed dostępem nieuprawnionych

kontrola dostępu do systemu, odrębne identyfikatory, dostęp po uwierzytelnieniu

system zabezpiecza się przed:

wirusami, programami szpiegującymi•

utratą danych spowodowaną awarią zasilania lub zakłóceniami sieci•

przy korzystaniu z komputerów przenośnych zachowanie szczególnej ostrożności przy ich transporcie i przechowywaniu

www.PortalODO.com

Poziom wysoki

identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, niemoże być przydzielony innej osobie

zmiana haseł następuje nie rzadziej niż co 30 dni. Składa się ono co najmniej z 8znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne

urządzenia i nośniki zawierające dane osobowe wrażliwe, które zabiera się poza obszarprzetwarzania, zabezpiecza się w sposób zapewniający poufność i integralność tychdanych

www.PortalODO.com

kopie zapasowe:

przechowuje• się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją,uszkodzeniem lub zniszczeniem;

usuwa• się niezwłocznie po ustaniu ich użyteczności.

urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe,przeznaczone do:

• likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadzasię w sposób uniemożliwiający ich odczytanie;

•przekazania podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się wcześniej zapisu tychdanych, w sposób uniemożliwiający ich odzyskanie;

•naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albonaprawia się je pod nadzorem osoby upoważnionej przez administratora danych.

Poziom wysoki

www.PortalODO.com

System informatyczny służący do przetwarzania danych osobowych chroni się przedzagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lublogicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.

W przypadku zastosowania logicznych zabezpieczeń, o których mowa powyżej,obejmują one:

•kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a sieciąpubliczną;

•kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych

•Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych douwierzytelnienia, które są przesyłane w sieci publicznej

Poziom wysoki

www.PortalODO.com

Zabezpieczenia fizyczne

Odpowiednia lokalizacja i zabezpieczenie

pomieszczeń

Ustalenie zasad dostępu do pomieszczeń – osoby

uprawnione do dostępu, zasady zamykania

pomieszczeń (polityka kluczy)

Szczególna uwaga: pomieszczenie serwerowni,

pomieszczenie ASI, pomieszczenie, w którym przechowywane są kopie

zapasowe

Odpowiednie ustawienia monitorów (szczególna uwaga: przy oknach, w

sekretariatach)

Zasady niszczenia dokumentów i utylizacji

elektronicznych nośników danych

Polityka czystego ekranu i czystego biurka

Wygaszacze ekranów, automatyczne

wylogowywanie, filtry prywatyzujące

Zasady kończenia pracy –chowanie dokumentów,

niszczenie zbędnych wydruków

www.PortalODO.com

Kontrola przestrzegania ustawy

www.PortalODO.com

Kontrola przestrzegania ustawy

kontrola zgodności przetwarzania danych

osobowych z przepisami ustawy należy do GIODO

do kontroli upoważnieni przez GIODO pracownicy

Biura GIODO

kontrolujący muszą przedstawić legitymację

służbową oraz upoważnienie do

przeprowadzenia kontroli

www.PortalODO.com

KONTROLA GIODO – zakres przedmiotowy

przesłanki legalności przetwarzania

zakres i cel przetwarzania

merytoryczna poprawność danych i ich adekwatność do celu

obowiązek informacyjny

zgłoszenie zbioru do rejestracji

zabezpieczenie danych

www.PortalODO.com

Uprawnienia kontrolerów

wstępu, w godzinach od 6°° do 22°° do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych

przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą

żądania złożenia wyjaśnień

przesłuchiwania osób

wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii

przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych

www.PortalODO.com

Zakończenie kontroli

sporządzany jest protokół, którego jeden egzemplarz

pozostawiany jest u ADO

ADO może zgłosić do protokołu

zastrzeżenia wraz z ich uzasadnieniem

w przypadku stwierdzenia uchybień

kontroler występuje do GIODO o podjęcie

dalszych kroków administracyjnych

www.PortalODO.com

Środki administracyjne podejmowane przez GIODO

Decyzja administracyjna nakazująca przywrócenie stanu zgodnego zprawem

jej przedmiotem może być w szczególności:

• usunięcie uchybień

• uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych

• zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe

• wstrzymanie przekazywania danych osobowych do państwa trzeciego

• zabezpieczenie danych lub przekazanie ich innym podmiotom

• usunięcie danych osobowych

www.PortalODO.com

Odpowiedzialność za naruszenia systemu ochrony danych osobowych

www.PortalODO.com

Sankcje karne

GIODO ma obowiązek skierowania zawiadomienia o podejrzeniu przestępstwa wykrytego przy okazji swojej

działalności

obejmuje to przestępstwa sankcjonujące naruszenia ustawy o ochronie danych

osobowych

popełnione przez ADO lub jego pracownika

www.PortalODO.com

Sankcje karne

Przetwarzanie danych osobowych bez uprawnienia

Udostępnienie danych osobom nieupoważnionym

Choćby nieumyślne naruszenie obowiązku zabezpieczenia danych przed zabranie przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem

Zaniechanie zgłoszenia do rejestracji zbioru danych

Zaniechanie poinformowania osoby której dane dotyczą o jej prawach lub przekazania jej informacji umożliwiających korzystanie z jej uprawnień

Podlegają karze grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3 lat

www.PortalODO.com

Rozporządzenie ogólne

www.PortalODO.com

Cele rozporządzenia

Wysoki i spójny poziom ochrony osób

fizycznych

Usunięcie przeszkód w przepływie danych

osobowych

Pewność i przejrzystość prawa

dla mikroprzedsiębiorców

i MŚP

Ujednolicenie poziomu prawnie

egzekwowalnych praw

Ujednolicenie poziomu obowiązków i zadań ADO i procesorów

www.PortalODO.com

Prawa podmiotu danych

www.PortalODO.com

Zasada przejrzystości

Zasada - ADO podejmuje odpowiednie środki, aby w zwięzłej,przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostymjęzykiem udzielić osobie, której dane dotyczą, wszelkich informacji

Informacji• udziela się na piśmie lub innymi sposobami, a w stosownym przypadku –elektronicznie np. za pomocą strony internetowej

Gdy• komunikaty skierowane do dziecka – tak prosty i łatwy język by dziecko mogłozrozumieć

Administrator ułatwia osobie, której dane dotyczą, korzystaniez przysługujących jej praw

www.PortalODO.com

Zasada przejrzystości i prawa podmiotu danych

Dwie grupy przepisów

Dotyczące• obowiązków informacyjnych (art. 13 i art. 14)

Dotyczące• uprawnień podmiotów danych (art. 15-22) – prawo:

dostępu,•

do• poprawienia,

do• usunięcia,

do• ograniczenia przetwarzania,

do• przenoszenia danych,

do• sprzeciwu,

• do niepodlegania profilowaniu

Realizacja w/w obowiązków i uprawnień – co do zasady wolna odopłat

www.PortalODO.com

Administrator (i podmiot przetwarzający)

OBOWIĄZKI

www.PortalODO.com

Obowiązki

• ADO wdraża odpowiednie środkitechniczne i organizacyjne

• takie jak pseudonimizacja,zaprojektowane w celu skutecznejrealizacji zasad ochrony danych

• aby domyślnie przetwarzane byływyłącznie te dane osobowe, które sąniezbędne dla osiągnięcia każdegokonkretnego celu przetwarzania

Uwzględnianieochronydanych w fazieprojektowaniaoraz domyślnaochronadanych

www.PortalODO.com

Szacowanie zagrożeń właściwych dla przetwarzania danych i ich skutków

Przed wdrożeniem zabezpieczeń ADO musi ocenićprawdopodobieństwo i wagę zagrożenia dla praw i wolności osoby,której dane dotyczą

• Co decyduje? – charakter DO, zakres DO, skala, sposób i celprzetwarzania, źródło DO

• Rozporządzenie zachowuje technologiczną neutralność

• Sprawdzone rozwiązania – zatwierdzone kodeksy postępowania,certyfikacja, wytyczne Europejskiej Rady Ochrony Danych, sugestieDPO;

www.PortalODO.com

Bezpieczeństwo przetwarzania

ADO i procesor wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiadający zagrożeniom –

uwzględniając

pseudonimizację i szyfrowanie danych osobowych;

zdolność do zapewnienia na bieżąco poufności, integralności, dostępności i odporności systemów i usług przetwarzających dane osobowe;

zdolność do szybkiego przywrócenia dostępności danych i dostępu do nich w razie incydentu fizycznego lub technicznego;

regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

www.PortalODO.com

Obowiązki

ADO prowadzi rejestr podlegających mu czynności przetwarzania •danych osobowych.

• W rejestrze tym zamieszcza się następujące informacje:

imię i• nazwisko lub nazwę oraz dane kontaktowe ADO oraz wszelkich współadministratorów, przedstawiciela administratora oraz DPO;

cele przetwarzania;•

opis kategorii osób, których dane dotyczą, oraz kategorii danych •osobowych;

kategorie odbiorców, którym dane osobowe zostały lub zostaną •ujawnione,

planowane terminy usunięcia poszczególnych kategorii danych;•

ogólny opis technicznych i• organizacyjnych środków bezpieczeństwa;

Rejestrowanie czynności przetwarzania

www.PortalODO.com

Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu

W przypadku naruszenia ODO, ADO bez zbędnej zwłoki –jeżeli to wykonalne, nie później niż 72 h po stwierdzeniunaruszenia – zgłasza je organowi nadzorczemu

chyba że jest mało prawdopodobne, by naruszenie toskutkowało zagrożeniem dla praw i wolności osóbfizycznych

do zgłoszenia przekazanego organowi nadzorczemu poupływie 72 godzin dołącza się wyjaśnienie przyczynopóźnienia

www.PortalODO.com

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

Jeżeli naruszenie ochrony danych osobowych może nieść duże zagrożenie dla praw i wolności osób fizycznych, ADO bez zbędnej zwłoki zawiadamia podmiot danych o takim naruszeniu.

Zawiadomienie napisane jasnym i prostym językiem

Zawiadomienie nie jest wymagane, jeżeli:

•ADO wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych, których dotyczy naruszenie;

•ADO przedsięwziął następnie środki eliminujące prawdopodobieństwo dużego zagrożenia dla praw i wolności osoby, której dane dotyczą,

•lub wymagałoby ono niewspółmiernie dużego wysiłku.

www.PortalODO.com

Inspektor ochrony danych

Obligatoryjne powołanie inspektora ochrony danych (DPO), gdy:

• przetwarzania dokonuje organ lub podmiot publiczny (z wyjątkiemsądów w zakresie sprawowania przez nie wymiaru sprawiedliwości)

• główna działalność administratora lub podmiotu przetwarzającegopolega na operacjach przetwarzania, które ze względu na swójcharakter, zakres lub cele wymagają regularnego i systematycznegomonitorowania osób, których dane dotyczą na dużą skalę

• główna działalność administratora lub podmiotu przetwarzającegopolega na przetwarzaniu na dużą skalę danych osobowychszczególnych kategorii, a także danych o wyrokach skazujących i oprzestępstwach.

www.PortalODO.com

Administracyjne kary pieniężne

Możliwość nakładania kar – organ nadzorczy

• Zależne od okoliczności

• Oceniane indywidualnie

• Stosowane obok lub zamiast środków określonych w art.58 ust. 2 RODO

Nałożenie kary i jej wysokość:

www.PortalODO.com

Administracyjne kary pieniężne

Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie administracyjnej karze

pieniężnej w wysokości do:

10 000 000 EUR, a w przypadku

przedsiębiorstwa – w wysokości do 2 %

20 000 000 EUR, ao w przypadku

przedsiębiorstwa – w wysokości do 4 %

jego całkowitego rocznego

światowego obrotu z poprzedniego roku

obrotowego, przy czym zastosowanie ma kwota wyższa:

www.PortalODO.com

DZIĘKUJEMY ZA UWAGĘ!

dr Dominik Lubaszradca prawny

dominik.lubasz@lubaszwspolnicy.pltel. kom.: +48 509 824 632

Katarzyna Witkowskaprawnik

katarzyna.witkowska@lubasziwspolnicy.pl tel. kom.: + 48 512 987 244

· 2019. 3. 19. · Zabezpieczanie danych a tajemnica zawodowa Art.15 •Ust. 1 Radca prawny jest...

Documents

Transcript of · 2019. 3. 19. · Zabezpieczanie danych a tajemnica zawodowa Art.15 •Ust. 1 Radca prawny jest...

Zabezpieczanie aplikacji webowych w ASPsecurity.psnc.pl/files/startup_270209.pdf · Zabezpieczanie aplikacji webowych w ASP.NET Gerard Frankowski Zesp ół Bezpiecze ństwa PCSS Warsztaty

Zabezpieczanie haseł w systemach informatycznychyadda.icm.edu.pl/yadda/element/bwmeta1.element.baztech-6... · 2018-07-04 · Zabezpieczanie haseŁ w systemach informatycznych 75

Eksploatowanie i zabezpieczanie urz ądze ń komputerowych ... · Poradnik stanowi obudow ę dydaktyczn ą programu jednostki modułowej 312[02].Z1.04 „Eksploatowanie i zabezpieczanie

Raport GT - ocena i zabezpieczanie potrzeb kapitałowych

Tłumaczeniecf1-czarymary.statiki.pl/images/files/ILL/ILLUMINATIO69.pdfStożek mocy..... 50 Modlitwy codzienne ..... 51 Odpowiednie przygotowania..... 53 Przysięga zachowania tajemnicy

GDPR –wdrożenie krok po kroku - ORION · 2017-06-23 · Krok 3 : Zaawansowane zabezpieczanie danych - Zabezpieczanie baz danych: - Weryfikacja praw dostępu - Kontrola podatności

Zabezpieczanie systemu Windows · Zabezpieczanie systemu Windows Michał Melewski ... – Kontrola dostępu – GroupPolicy Objects ... • Dostępność –ciągle mamy dostęp do

WYKAZANIE ZASADNOŚCI TAJEMNICY PRZEDSIĘBIORSTWA ...

2008-04-PrzeglBud-28_Wzmacnianie i zabezpieczanie istniejących obiektów w sąsiedztwie realizowanych budy

TAJEMNICY - dominikborowski.eudominikborowski.eu/web_documents/tajemnica_w_strategiach... · zagadki. Narracja realizuje ... Pobyt w nowym miejscu nie zaczyna sie zbyt milo dla nastolatki,

TEMAT: Postawa. Przestrzeganie tajemnicy zawodowej.zste.myslenice.pl/images/e-materialy_zste/RT/Klasa-2-M... · 2020. 3. 14. · Przestrzeganie tajemnicy zawodowej. TEMAT: Kreatywność.

Odkrycie i Ujawnienie Najwiekszej Tajemnicy Masonerii

„Ochrona wizerunku, ADRESATA KORESPONDENCJI I TAJEMNICY ŹRÓDEŁ INFORMACJI”

Benchmarking - aspekty prawne | Aneta Pankowska, Radca Prawny RKKW

Radca Prawny nr 164 / marzec-kwiecień 2016

12. Zabezpieczanie dostępu do danych

Zabezpieczanie konstrukcji budynków przed skutkami wystąpienia ...

Zabezpieczanie aplikacji i systemów · Zabezpieczanie aplikacji i systemów Marek Zachara ... Procedury uzyskiwania i odwoływania dostępu Security by design Walidacja danych Hasła...

Własność intelektualna w uczelni - kpnir.pwr.wroc.pl · Ochrona własności intelektualnej Prawa własności przemysłowej ochrona tajemnicy przedsiębiorcy (know how) - ochrona

Piotr Michalak - Pełnomocnik Prezesa ULC ds. Zarządzania Bezpieczeństwem, Radca Generalny