· 2019. 3. 19. · Zabezpieczanie danych a tajemnica zawodowa Art.15 •Ust. 1 Radca prawny jest...

www.lubasziwspolnicy.pl

PARTNER

www.lubasziwspolnicy.plwww.PortalPrawaIT.com

www.PortalODO.com

Ochrona danych osobowych- szkolenie dla radców prawnych

Szczecin, 11.03.2017 r.


www.PortalODO.com

Najnowsze przykłady ataków

Źródło: https://niebezpiecznik.pl/


www.PortalODO.com

Ataki

Źródło: www.zaufanatrzeciastrona.pl


www.PortalODO.com

Źródło: www.zaufanatrzeciastrona.pl


www.PortalODO.com

Zabezpieczenie danych a tajemnica zawodowa


www.PortalODO.com


Ustawa o radcach prawnych

Kodeks etyki radców prawnych

Regulamin wykonywania zawodu

radcy prawnego


www.PortalODO.com


Art. 3 ustawy o radcach prawnych

ust• . 3. Radca prawny jest obowiazany zachowac w tajemnicywszystko, o czym dowiedział sie w zwiazku z udzieleniem pomocyprawnej.

ust• . 4. Obowiazek zachowania tajemnicy zawodowej nie mozebyc ograniczony w czasie.

ust• . 5. Radca prawny nie moze byc zwolniony z obowiazkuzachowania tajemnicy zawodowej co do faktów, o którychdowiedział sie udzielajac pomocy prawnej lub prowadzac sprawe.


www.PortalODO.com


Dochowanie• tajemnicy zawodowej jestprawem i obowiązkiem radcyprawnego.

Stanowi podstawę zaufania klienta i jest •gwarancją praw i wolności.

Art.9 Kodeksu Etyki


www.PortalODO.com


• 1. Radca Prawny zobowiązany jestwykonywać czynności zawodowesumiennie oraz z należytą starannościąuwzgledniającą profesjonalny charakterdziałania

Art. 12 Kodeksu Etyki


www.PortalODO.com

Zabezpieczanie danych a tajemnica zawodowa

Art.15

• Ust. 1 Radca prawny jest obowiązany zachowaćw tajemnicy wszystkie informacje dotycząceklienta i jego spraw, ujawnione radcy prawnemuprzez klienta bądź uzyskane w inny sposób wzwiązku z wykonywaniem przez niegojakichkolwiek czynności zawodowych niezależnieod źródła tych informacji oraz formy i sposobuich utrwalenia (tajemnica zawodowa)


www.PortalODO.com


Ust. 2

• Tajemnica zawodowa obejmuje równieżwszystkie tworzone przez radcę prawnegodokumenty oraz korespondencję radcyprawnego z klientem i osobamiuczestniczącymi w prowadzeniu sprawy –powstałe dla celów związanych zeświadczeniem pomocy prawnej.


www.PortalODO.com


Art.23 KE

Radca prawny obowiązany jestzabezpieczyć przed niepowołanymujawnieniem wszelkie informacjeobjęte tajemnica zawodową,niezależnie od ich formy isposobu utrwalenia.


www.PortalODO.com


Art. 35 KE - Można wykonywać czynności drogą elektroniczną, jeśli radca prawny:

• 6) Poprzez okresową archiwizację zabezpiecza i dba o dostępność danych przetwarzanych drogąelektroniczną

• 7) Chroni tajemnicę zawodową, informując w treści korespondencji elektronicznej o jej poufnymcharakterze;

Zabezpieczenie uważa się za należyte, jeżeli klient po uprzednim poinformowaniu goo zagrożeniach związanych z korzystaniem z drogi elektronicznej, domyślnie lubwyraźnie zaakceptował stosowane w komunikacji z nim środki, techniki, sposoby,systemy lub standardy komunikacji elektronicznej


www.PortalODO.com

Tajemnica zawodowa a ochrona danych osobowych


www.PortalODO.com

UODO a tajemnice zawodowe

Art. 5 UODO

Jeżeli przepisy odrębnych ustaw, które odnoszą się do

przetwarzania danych, przewidujądalej idącą ich ochronę, niż

wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.


www.PortalODO.com

Tajemnica zawodowa:

radcowie prawni, adwokaci, •

notariusze, komornicy,•

sędziowie, prokuratorzy,•

biegli rewidenci•

doradcy podatkowi,•

i • 40 dalszych zawodów.


www.PortalODO.com

Czy tajemnica zawodowa idzie dalej?

Art. 5 - lex specialis derogat legi generali?

nie dochodzi o uchylenia przepisu ogólnego w całości, ale tylko w takim zakresie, jakiego dotyczy norma szczególna

zastosowanie przepisu o charakterze szczególnym w zakresie, w jakim dotyczy przetwarzania danych osobowych, w pozostałym zakresie należy stosować przepisy ustawy odo


www.PortalODO.com

Zwolnienia ustawowe

Art. 43 ust. 1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

2. przetwarzanych przez właściwe organy dla potrzeb postępowania

sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym

5. dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej,

adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub

biegłego rewidenta,


www.PortalODO.com

Ochrona danych osobowych

Źródła prawa

Podstawy przetwarzania

Zakres stosowania ustawy i kluczowe pojęcia


www.PortalODO.com

Źródła prawa ochrony danych

Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych

Rozporządzenie PE i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku wsprawie ochrony osób fizycznych w związku z przetwarzaniem danychosobowych i w sprawie swobodnego przepływu takich danych orazuchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochroniedanych)


www.PortalODO.com

Źródła prawa ochrony danych

Rozporządzenia Ministra Administracji i Cyfryzacji:

• z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratorabezpieczeństwa informacji rejestru zbiorów danych

• z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celuzapewniania przestrzegania przepisów o ochronie danych osobowych przezadministratora bezpieczeństwa informacji

• z dnia 10 grudnia 2014 roku w sprawie wzorów zgłoszeń powołania i odwołaniaadministratora bezpieczeństwa informacji

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunkówtechnicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemyinformatyczne służące do przetwarzania danych osobowych


www.PortalODO.com

Stosowanie ustawy

Ustawa określa zasady postępowania przy przetwarzaniudanych osobowych oraz prawa osób fizycznych, których daneosobowe są lub mogą być przetwarzane w zbiorach danych.

Ustawę stosuje się do przetwarzania danych osobowych:

• w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorachewidencyjnych,

• w systemach informatycznych, także w przypadku przetwarzania danychpoza zbiorem danych.


www.PortalODO.com

Stosowanie ustawy

Ustawę stosuje się do organów państwowych, organów samorząduterytorialnego oraz do państwowych i komunalnych jednostekorganizacyjnych.

Ustawę stosuje się również do:

• 1) podmiotów niepublicznych realizujących zadania publiczne,

• 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobamiprawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową,zawodową lub dla realizacji celów statutowych

• które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej,albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środkówtechnicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.


www.PortalODO.com

System ochrony danych osobowychprzetwarzanie

danych osobowych w przypadkach

wymienionych w ustawie

Zapewnienia jawności

przetwarzania danych

uwzględnienie uprawnień podmiotu

danych

odpowiednie zabezpieczenie

danych osobowych


www.PortalODO.com

Dane osobowewszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

osobą możliwą do zidentyfikowania jest taka, której tożsamość można określić bezpośrednio lub pośrednio

informacji nie uważa się za umożliwiające określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań


www.PortalODO.com

Imię• i nazwisko

PESEL,• NIP, numer dowodu osobistego

Informacje• o majątku

Wykształcenie,• przebieg kariery zawodowej

Cechy• osobowościowe, sposób spędzania wolnegoczasu

Wyniki• badań medycznych, informacje o chorobach

Adres• IP, numer telefonu, adres e-mail

Dane osobowe - przykłady


www.PortalODO.com

Zbiór danych

każdy posiadający strukturę

zestaw danych o charakterze osobowym

dostępnych według określonych kryteriów

niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie


www.PortalODO.com

Przykładowe zbiory danych

osobowych Klienci

Kontrahenci

Dłużnicy

PracownicyKandydaci do

pracy

Potencjalni klienci

Odbiorcy newslettera

Osoby składające reklamacje


www.PortalODO.com

jakiekolwiek operacje wykonywane na danych osobowych, takie jak:

• zbieranie,

• utrwalanie,

• przechowywanie,

• opracowywanie,

• zmienianie,

• udostępnianie i usuwanie

a zwłaszcza te, które wykonuje się w systemach informatycznych

Przetwarzanie danych osobowych


www.PortalODO.com

Podmiot decydujący o celach i środkach przetwarzania danych

• z powyższego pojęcia wyłączone są osoby fizyczne przetwarzające daneosobowe jedynie w celach osobistych lub domowych, bo do nich ustawy niestosujemy,

• administratorem danych osobowych nie jest osoba zajmująca kierowniczestanowisko, czy pracownik, któremu powierzono przetwarzanie danychosobowych,

• nie jest konieczne, by administrator realizował wszystkie czynności składającesię na pojęcie przetwarzania danych, wystarczy, że podejmuje decyzję, byprzykładowo jedynie zbierać dane osobowe,

• nie jest administratorem danych procesor (podmiot, któremu powierzonoprzetwarzanie danych osobowych).

Administrator danych


www.PortalODO.com

DOLiS/DEC- 570/13/32271,32276,32280,32284

Na podstawie ww. przepisu S. w celu dochodzenia ww. roszczeń powierzył Kancelarii dane osoboweSkarżących w zakresie, w jakim nimi dysponuje, zgodnie z umową z dnia [...] grudnia2012 r. o współpracy, na mocy której zlecono Kancelarii, a ta zobowiązała się do świadczenia obsługiprawnej w zakresie dochodzenia należności od członków S. na drodze sądowej i egzekucyjnej.Stwierdzić należy, że umowa ta wypełniała przesłanki z art. 31 ust. 1 ustawy, gdyż została zawarta wformie pisemnej oraz określała zakres i cel powierzonych do przetwarzania danych.

Podkreślić należy, że udostępnienie danych osobowych Skarżących między tymi podmiotami na podstawie ww. umowy powierzenia przetwarzania danych osobowych nie spowodowało zmiany administratora danych, którym nadal pozostaje S., natomiast Kancelaria przetwarza te dane wyłącznie w celu i zakresie przewidzianym we wskazanej umowie jako podmiot, o którym mowa w art. 31 ustawy. Zaznaczyć należy, że to powierzenie nie nakładało na S. obowiązku uzyskiwania zgody Skarżących na udostępnienie ich danych osobowych Kancelarii, bo uprawnienie administratora danych do podejmowania tych czynności wynikało z art. 31 ustawy.


www.PortalODO.com

PowierzenieMarketing

Usługi informatyczne

Doradztwo podatkowe

Księgowość

Kadry i płace

Obsługa prawna

Niszczenie dokumentów


www.PortalODO.com

Powierzenie przetwarzania danych

w oparciu o umowę na piśmie o przetwarzaniu

danych

wyłącznie w zakresie i celu przewidzianym w

tej umowie

podmiot, któremu powierzono dane

zabezpiecza je zgodnie z wymaganiami u.o.d.o.

Administrator może powierzyć innemu podmiotowi przetwarzanie danych:


www.PortalODO.com

Inne ważne pojęcia

• wyznaczona przez ADO i zarejestrowana w GIODO osoba, nadzorująca przestrzeganie zasad ochrony danych osobowych

Administrator bezpieczeństwa informacji (ABI)

• zespół informatyków wyznaczony przez ADO, odpowiedzialny za prawidłowe funkcjonowanie systemów informatycznych, sprzętu, oprogramowania i jego konserwację

Administrator Systemu

Informatycznego (ASI)


www.PortalODO.com

Zasady i przesłanki przetwarzania


www.PortalODO.com

Legalność

Celowość

Proporcjonalność

Ograniczenie czasowe

Merytoryczna poprawność

Zasady przetwarzania


www.PortalODO.com

Kiedy można przetwarzać dane osobowe?

Tylko w przypadkach wymienionych w ustawie – gdy:

• osoba, której dane dotyczą, wyrazi na to zgodę,

• jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązkuwynikającego z przepisu prawa,

• jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jejstroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowyna żądanie osoby, której dane dotyczą,

• jest niezbędne do wykonania określonych prawem zadań realizowanych dladobra publicznego,

• jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celówrealizowanych przez administratorów danych albo odbiorców danych, aprzetwarzanie nie narusza praw i wolności osoby, której dane dotyczą


www.PortalODO.com

Dane osobowe wrażliwe

dane ujawniające:

• pochodzenie rasowe lub etniczne,

• poglądy polityczne,

• przekonania religijne lub filozoficzne,

• przynależność wyznaniową, partyjną lub związkową,

• jak również dane o stanie zdrowia, kodzie genetycznym,nałogach lub życiu seksualnym oraz dane dotyczące skazań iinnych orzeczeń


www.PortalODO.com

Dane osobowe wrażliwe można przetwarzać gdy:

osoba, której dane dotyczą, wyrazi na to zgodę na piśmie

przepis innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą

przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której danedotyczą lub osób niepełnoletnich / ubezwłasnowolnionych

jest to niezbędne do wykonania statutowych zadań kościołów, stowarzyszeń, fundacji, instytucjipolitycznych, naukowych, religijnych, związkowych


www.PortalODO.com

Cd. - Dane osobowe wrażliwe można przetwarzać, gdy:

są one niezbędne do dochodzenia praw przed sądem

dotyczą zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest ustawowy

dotyczą ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów, zarządzaniaudzielaniem usług medycznych

dotyczą danych upublicznionych

umożliwiają prowadzenie badań naukowych lub uzyskanie dyplomu lub stopnia naukowego

jest prowadzone w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego wpostępowaniu sądowym lub administracyjnym


www.PortalODO.com

ABI


www.PortalODO.com

Wymogi kwalifikacyjne

Administratorem bezpieczeństwa informacji może być osoba, która:

• ma pełną zdolność do czynności prawnych oraz korzysta z pełnipraw publicznych

• posiada odpowiednią wiedzę wzakresie ochrony danych osobowych

• nie była karana za umyślne przestępstwoABI – osoba fizyczna

Możliwość powoływania zastępców ABI


www.PortalODO.com

Pozycja ABI

Kierownik jednostki organizacyjnej lub os. fiz. Będąca ADO

ABI

ASI/ zastępca ABI

Personel


www.PortalODO.com

Zadania ABI

Zapewnianie przestrzegania przepisów o ochronie danych osobowych, wszczególności przez:

• sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ODO oraz opracowaniew tym zakresie sprawozdania dla ADO

• nadzorowanie opracowania i aktualizowania dokumentacji ODO oraz przestrzegania zasad wniej określonych

• zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisamio ODO

Prowadzenie rejestru zbiorów danych

Możliwość powierzenia ABI innych obowiązków, o ile nie naruszy toprawidłowego wykonywania powyższych zadań


www.PortalODO.com

Obowiązki administratora danych


www.PortalODO.com

Obowiązki administratora danych

Przetwarzanie zgodnie z

zasadami UODO

Obowiązki informacyjne

Obowiązki rejestracyjne

Obowiązki dokumentacyjne

Obowiązki zabezpieczenia

danych

Obowiązki kontrolne i nadzorcze


www.PortalODO.com

ADO zbiera dane od osoby, której dotyczą –informuje o:

adresie swojej siedziby i pełnej nazwie, a w przypadku gdyadministratorem danych jest osoba fizyczna - o miejscu swojegozamieszkania oraz imieniu i nazwisku

celu zbierania danych, a w szczególności o znanych mu w czasieudzielania informacji lub przewidywanych odbiorcach lub kategoriachodbiorców danych

prawie dostępu do treści swoich danych oraz ich poprawiania

dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązekistnieje, o jego podstawie prawnej

Obowiązki informacyjne administratora danych


www.PortalODO.com

Administrator zbiera dane nie od osoby, której dotyczą

Moment informacji- bezpośrednio po utrwaleniu danych

Obowiązku nie trzeba realizować, gdy:

• przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzyosoby, której dane dotyczą,

• dane te są niezbędne do badań naukowych, dydaktycznych, historycznych,statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lubwolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania,

• dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1,na podstawie przepisów prawa,

• osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.


www.PortalODO.com

Uprawnienia podmiotu danych

Prawo do informacji o:

• administratorze danych, przetwarzanych danych, celu i czasie ich przetwarzania, sposobieudostępniania danych oraz źródle ich pochodzenia

• 30 dni na udzielenie informacji, na żądanie zainteresowanego w formie pisemnej

• podmiot danych może korzystać z tego prawa raz na 6 miesięcy

Prawo do poprawiania danych, wstrzymania ich przetwarzania lub usunięcia:

• jeżeli są one nieaktualne, niekompletne, nieprawdziwe

• zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, w jakim były zebrane

• jeżeli ADO nie realizuje tego prawa, to przysługuje wniosek do GIODO o nakazanie dopełnieniaobowiązku

• w takim przypadku ADO musi poinformować bez zbędnej zwłoki innych ADO, którym udostępniłzbiór o uaktualnieniu lub sprostowaniu danych


www.PortalODO.com

Obowiązek rejestracyjny

Zasada

• Obowiązek zgłaszania zbiorów danych przez ADO do rejestruprowadzonego przez GIODO

• Wyjątki – określone w ustawie – interpretowane wąsko

Cel prowadzenia rejestru

• zapewnienie jawności zbierania danych oraz celu ich zbierania (każdy maprawo przeglądać rejestr)

• ułatwienie GIODO realizacji jego kompetencji kontrolnych


www.PortalODO.com

Brak obowiązku zgłaszania zbiorów danych:

przetwarzanych w związku z zatrudnieniem u ADO, świadczeniem im usług na podstawie umów cywilnoprawnych,a także dotyczących osób u nich zrzeszonych lub uczących się;

dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego,rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;

tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, radgmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta,burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;

dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonaniatymczasowego aresztowania lub kary pozbawienia wolności


www.PortalODO.com

Brak obowiązku zgłaszania zbiorów danych:

przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;

powszechnie dostępnych;

przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lubstopnia naukowego;

przetwarzanych w zakresie drobnych bieżących spraw życia codziennego;

przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiemzbiorów zawierających dane, o których mowa w art. 27 ust. 1.


www.PortalODO.com

Korelat zwolnienia ADO z obowiązku rejestracji zbiorów – obowiązek prowadzenia rejestru zbiorów przez ABI

Korzyść z powołania ABI – zwolnienie z obowiązku rejestracji zbiorów niezawierających danych wrażliwych w przypadku powołania i zgłoszenia ABI

Art. 43 ust. 1a:

Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i

zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ust. 2.

Dodatkowe zwolnienie


www.PortalODO.com

Zabezpieczenie danych


www.PortalODO.com

Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjnezapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń orazkategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ichudostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną,przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Art. 36. 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzaniadanych oraz środki, o których mowa w ust. 1.

Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie daneosobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.


www.PortalODO.com

Zabezpieczenie danych osobowych

Środki techniczne i organizacyjne

zapewniające ochronę przetwarzanych danych

Dokumentacja przetwarzania danych


www.PortalODO.com

Zabezpieczenie danych osobowych

Infrastruktura:

• Środki ochrony fizycznej

• Środki ochrony informatycznej

Organizacja:

• Polityki i instrukcje

• Procedury

• Regulaminy


www.PortalODO.com

Bezpieczeństwo

Poufność

• rozumie się przez to właściwość zapewniającą, że dane nie są udostępnianenieupoważnionym podmiotom

Integralność

• rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostałyzmienione lub zniszczone w sposób nieautoryzowany

Rozliczalność

• rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą byćprzypisane w sposób jednoznaczny tylko temu podmiotowi;


www.PortalODO.com

• Polityka bezpieczeństwa

• Instrukcja zarządzania systemem informatycznym

Dokumentacja ochrony danych

osobowych


www.PortalODO.com

Polityka bezpieczeństwa

To zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony iprzepływu danych osobowych wewnątrz organizacji.

Powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych, tj.:

• do zabezpieczenia danych przetwarzanych tradycyjnie

• do danych przetwarzanych w systemach informatycznych

Cel polityki bezpieczeństwa:

• wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, którenależy stosować, aby właściwie wykonać obowiązki administratora danych w zakresiezabezpieczenia danych osobowych.


www.PortalODO.com

PB Wyciąg zasad dla

użytkownikówPowołanie

ABI/ASI Wykaz zbiorów

danych Opis struktury

zbiorów

Lokalizacja przetwarzania

Przepływ danych Zastosowane

środki techniczne i organizacyjne

Wzór upoważnień

Ewidencja upoważnień

Plan szkoleńLista osób

przeszkolonychWzór umowy powierzenia

Wzór oświadczeń i umów o poufności

Plan sprawdzeń

Wzór sprawozdania ze

sprawdzenia

Instrukcja alarmowa

Rejestr powierzeń i udostępnień

Wzory klauzul informacyjnych

Wzór rejestru ABI


www.PortalODO.com

Upoważnienie

upoważniam pana Jana Kowalskiego członka personelu Spółki XYZ doprzetwarzania danych osobowych w następujących zbiorach i wnastępujących zakresach i systemach (tabela poniżej):

Legenda: WG – wgląd, W – wprowadzanie, M – modyfikacja, U – usuwanie,A – archiwizacja.

Nazwa systemu informatycznego /zbioru

Zakres operacji przetwarzania DO

Zbiór danych pracowników W, WG, M, A

Zbiór kandydatów do pracy W, WG, M, U


www.PortalODO.com

Ewidencja upoważnień

Imię i nazwisko osoby upoważnionej

Identyfikator Data nadania upoważnienia

Data ustania upoważnienia

Numer upoważnienia

Jan Kowalski j. kowalski 16.09.2015 16.09.2016 1/2015


www.PortalODO.com

Instrukcjazarządzaniasystememinformatycznym

Ogólne informacje o systemach informatycznych

Opis zastosowanych zabezpieczeń

Możliwe opracowanie kilku instrukcji – w przypadkukorzystania z kilku odmiennych systemów informatycznych

Elementy określone w rozporządzeniu


www.PortalODO.com

Instrukcja zarządzania systemem informatycznym zawiera m.in..

• procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności

• stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem

• procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu

• procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania

• procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych

• sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych


www.PortalODO.com

Poziomy zabezpieczeń DO w systemach informatycznych

podstawowy

• w systemie informatycznym nie ma danych wrażliwych

• żadne z urządzeń służących do przetwarzania danych nie jest podłączone do siecipublicznej

podwyższony

• w systemie informatycznym są przetwarzane dane wrażliwe

żadne• z urządzeń służących do przetwarzania danych nie jest podłączone do siecipublicznej

wysoki

• przynajmniej jedno urządzenie służące do przetwarzania danych jest połączone z sieciąpubliczną


www.PortalODO.com

Poziom wysoki

zabezpieczenie przed dostępem nieuprawnionych

kontrola dostępu do systemu, odrębne identyfikatory, dostęp po uwierzytelnieniu

system zabezpiecza się przed:

wirusami, programami szpiegującymi•

utratą danych spowodowaną awarią zasilania lub zakłóceniami sieci•

przy korzystaniu z komputerów przenośnych zachowanie szczególnej ostrożności przy ich transporcie i przechowywaniu


www.PortalODO.com

Poziom wysoki

identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, niemoże być przydzielony innej osobie

zmiana haseł następuje nie rzadziej niż co 30 dni. Składa się ono co najmniej z 8znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne

urządzenia i nośniki zawierające dane osobowe wrażliwe, które zabiera się poza obszarprzetwarzania, zabezpiecza się w sposób zapewniający poufność i integralność tychdanych


www.PortalODO.com

kopie zapasowe:

przechowuje• się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją,uszkodzeniem lub zniszczeniem;

usuwa• się niezwłocznie po ustaniu ich użyteczności.

urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe,przeznaczone do:

• likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadzasię w sposób uniemożliwiający ich odczytanie;

•przekazania podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się wcześniej zapisu tychdanych, w sposób uniemożliwiający ich odzyskanie;

•naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albonaprawia się je pod nadzorem osoby upoważnionej przez administratora danych.

Poziom wysoki


www.PortalODO.com

System informatyczny służący do przetwarzania danych osobowych chroni się przedzagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lublogicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.

W przypadku zastosowania logicznych zabezpieczeń, o których mowa powyżej,obejmują one:

•kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a sieciąpubliczną;

•kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych

•Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych douwierzytelnienia, które są przesyłane w sieci publicznej

Poziom wysoki


www.PortalODO.com

Zabezpieczenia fizyczne

Odpowiednia lokalizacja i zabezpieczenie

pomieszczeń

Ustalenie zasad dostępu do pomieszczeń – osoby

uprawnione do dostępu, zasady zamykania

pomieszczeń (polityka kluczy)

Szczególna uwaga: pomieszczenie serwerowni,

pomieszczenie ASI, pomieszczenie, w którym przechowywane są kopie

zapasowe

Odpowiednie ustawienia monitorów (szczególna uwaga: przy oknach, w

sekretariatach)

Zasady niszczenia dokumentów i utylizacji

elektronicznych nośników danych

Polityka czystego ekranu i czystego biurka

Wygaszacze ekranów, automatyczne

wylogowywanie, filtry prywatyzujące

Zasady kończenia pracy –chowanie dokumentów,

niszczenie zbędnych wydruków


www.PortalODO.com

Kontrola przestrzegania ustawy


www.PortalODO.com

Kontrola przestrzegania ustawy

kontrola zgodności przetwarzania danych

osobowych z przepisami ustawy należy do GIODO

do kontroli upoważnieni przez GIODO pracownicy

Biura GIODO

kontrolujący muszą przedstawić legitymację

służbową oraz upoważnienie do

przeprowadzenia kontroli


www.PortalODO.com

KONTROLA GIODO – zakres przedmiotowy

przesłanki legalności przetwarzania

zakres i cel przetwarzania

merytoryczna poprawność danych i ich adekwatność do celu

obowiązek informacyjny

zgłoszenie zbioru do rejestracji

zabezpieczenie danych


www.PortalODO.com

Uprawnienia kontrolerów

wstępu, w godzinach od 6°° do 22°° do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych

przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą

żądania złożenia wyjaśnień

przesłuchiwania osób

wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii

przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych


www.PortalODO.com

Zakończenie kontroli

sporządzany jest protokół, którego jeden egzemplarz

pozostawiany jest u ADO

ADO może zgłosić do protokołu

zastrzeżenia wraz z ich uzasadnieniem

w przypadku stwierdzenia uchybień

kontroler występuje do GIODO o podjęcie

dalszych kroków administracyjnych


www.PortalODO.com

Środki administracyjne podejmowane przez GIODO

Decyzja administracyjna nakazująca przywrócenie stanu zgodnego zprawem

jej przedmiotem może być w szczególności:

• usunięcie uchybień

• uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych

• zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe

• wstrzymanie przekazywania danych osobowych do państwa trzeciego

• zabezpieczenie danych lub przekazanie ich innym podmiotom

• usunięcie danych osobowych


www.PortalODO.com

Odpowiedzialność za naruszenia systemu ochrony danych osobowych


www.PortalODO.com

Sankcje karne

GIODO ma obowiązek skierowania zawiadomienia o podejrzeniu przestępstwa wykrytego przy okazji swojej

działalności

obejmuje to przestępstwa sankcjonujące naruszenia ustawy o ochronie danych

osobowych

popełnione przez ADO lub jego pracownika


www.PortalODO.com

Sankcje karne

Przetwarzanie danych osobowych bez uprawnienia

Udostępnienie danych osobom nieupoważnionym

Choćby nieumyślne naruszenie obowiązku zabezpieczenia danych przed zabranie przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem

Zaniechanie zgłoszenia do rejestracji zbioru danych

Zaniechanie poinformowania osoby której dane dotyczą o jej prawach lub przekazania jej informacji umożliwiających korzystanie z jej uprawnień

Podlegają karze grzywny, ograniczenia wolności lub pozbawienia wolności do lat 3 lat


www.PortalODO.com

Rozporządzenie ogólne


www.PortalODO.com

Cele rozporządzenia

Wysoki i spójny poziom ochrony osób

fizycznych

Usunięcie przeszkód w przepływie danych

osobowych

Pewność i przejrzystość prawa

dla mikroprzedsiębiorców

i MŚP

Ujednolicenie poziomu prawnie

egzekwowalnych praw

Ujednolicenie poziomu obowiązków i zadań ADO i procesorów


www.PortalODO.com

Prawa podmiotu danych


www.PortalODO.com

Zasada przejrzystości

Zasada - ADO podejmuje odpowiednie środki, aby w zwięzłej,przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostymjęzykiem udzielić osobie, której dane dotyczą, wszelkich informacji

Informacji• udziela się na piśmie lub innymi sposobami, a w stosownym przypadku –elektronicznie np. za pomocą strony internetowej

Gdy• komunikaty skierowane do dziecka – tak prosty i łatwy język by dziecko mogłozrozumieć

Administrator ułatwia osobie, której dane dotyczą, korzystaniez przysługujących jej praw


www.PortalODO.com

Zasada przejrzystości i prawa podmiotu danych

Dwie grupy przepisów

Dotyczące• obowiązków informacyjnych (art. 13 i art. 14)

Dotyczące• uprawnień podmiotów danych (art. 15-22) – prawo:

dostępu,•

do• poprawienia,

do• usunięcia,

do• ograniczenia przetwarzania,

do• przenoszenia danych,

do• sprzeciwu,

• do niepodlegania profilowaniu

Realizacja w/w obowiązków i uprawnień – co do zasady wolna odopłat


www.PortalODO.com

Administrator (i podmiot przetwarzający)

OBOWIĄZKI


www.PortalODO.com

Obowiązki

• ADO wdraża odpowiednie środkitechniczne i organizacyjne

• takie jak pseudonimizacja,zaprojektowane w celu skutecznejrealizacji zasad ochrony danych

• aby domyślnie przetwarzane byływyłącznie te dane osobowe, które sąniezbędne dla osiągnięcia każdegokonkretnego celu przetwarzania

Uwzględnianieochronydanych w fazieprojektowaniaoraz domyślnaochronadanych


www.PortalODO.com

Szacowanie zagrożeń właściwych dla przetwarzania danych i ich skutków

Przed wdrożeniem zabezpieczeń ADO musi ocenićprawdopodobieństwo i wagę zagrożenia dla praw i wolności osoby,której dane dotyczą

• Co decyduje? – charakter DO, zakres DO, skala, sposób i celprzetwarzania, źródło DO

• Rozporządzenie zachowuje technologiczną neutralność

• Sprawdzone rozwiązania – zatwierdzone kodeksy postępowania,certyfikacja, wytyczne Europejskiej Rady Ochrony Danych, sugestieDPO;


www.PortalODO.com

Bezpieczeństwo przetwarzania

ADO i procesor wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiadający zagrożeniom –

uwzględniając

pseudonimizację i szyfrowanie danych osobowych;

zdolność do zapewnienia na bieżąco poufności, integralności, dostępności i odporności systemów i usług przetwarzających dane osobowe;

zdolność do szybkiego przywrócenia dostępności danych i dostępu do nich w razie incydentu fizycznego lub technicznego;

regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.


www.PortalODO.com

Obowiązki

ADO prowadzi rejestr podlegających mu czynności przetwarzania •danych osobowych.

• W rejestrze tym zamieszcza się następujące informacje:

imię i• nazwisko lub nazwę oraz dane kontaktowe ADO oraz wszelkich współadministratorów, przedstawiciela administratora oraz DPO;

cele przetwarzania;•

opis kategorii osób, których dane dotyczą, oraz kategorii danych •osobowych;

kategorie odbiorców, którym dane osobowe zostały lub zostaną •ujawnione,

planowane terminy usunięcia poszczególnych kategorii danych;•

ogólny opis technicznych i• organizacyjnych środków bezpieczeństwa;

Rejestrowanie czynności przetwarzania


www.PortalODO.com

Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu

W przypadku naruszenia ODO, ADO bez zbędnej zwłoki –jeżeli to wykonalne, nie później niż 72 h po stwierdzeniunaruszenia – zgłasza je organowi nadzorczemu

chyba że jest mało prawdopodobne, by naruszenie toskutkowało zagrożeniem dla praw i wolności osóbfizycznych

do zgłoszenia przekazanego organowi nadzorczemu poupływie 72 godzin dołącza się wyjaśnienie przyczynopóźnienia


www.PortalODO.com

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

Jeżeli naruszenie ochrony danych osobowych może nieść duże zagrożenie dla praw i wolności osób fizycznych, ADO bez zbędnej zwłoki zawiadamia podmiot danych o takim naruszeniu.

Zawiadomienie napisane jasnym i prostym językiem

Zawiadomienie nie jest wymagane, jeżeli:

•ADO wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych, których dotyczy naruszenie;

•ADO przedsięwziął następnie środki eliminujące prawdopodobieństwo dużego zagrożenia dla praw i wolności osoby, której dane dotyczą,

•lub wymagałoby ono niewspółmiernie dużego wysiłku.


www.PortalODO.com

Inspektor ochrony danych

Obligatoryjne powołanie inspektora ochrony danych (DPO), gdy:

• przetwarzania dokonuje organ lub podmiot publiczny (z wyjątkiemsądów w zakresie sprawowania przez nie wymiaru sprawiedliwości)

• główna działalność administratora lub podmiotu przetwarzającegopolega na operacjach przetwarzania, które ze względu na swójcharakter, zakres lub cele wymagają regularnego i systematycznegomonitorowania osób, których dane dotyczą na dużą skalę

• główna działalność administratora lub podmiotu przetwarzającegopolega na przetwarzaniu na dużą skalę danych osobowychszczególnych kategorii, a także danych o wyrokach skazujących i oprzestępstwach.


www.PortalODO.com

Administracyjne kary pieniężne

Możliwość nakładania kar – organ nadzorczy

• Zależne od okoliczności

• Oceniane indywidualnie

• Stosowane obok lub zamiast środków określonych w art.58 ust. 2 RODO

Nałożenie kary i jej wysokość:


www.PortalODO.com

Administracyjne kary pieniężne

Naruszenia przepisów dotyczących następujących kwestii podlegają zgodnie administracyjnej karze

pieniężnej w wysokości do:

10 000 000 EUR, a w przypadku

przedsiębiorstwa – w wysokości do 2 %

lub

20 000 000 EUR, ao w przypadku

przedsiębiorstwa – w wysokości do 4 %

jego całkowitego rocznego

światowego obrotu z poprzedniego roku

obrotowego, przy czym zastosowanie ma kwota wyższa:


www.PortalODO.com

DZIĘKUJEMY ZA UWAGĘ!

dr Dominik Lubaszradca prawny

[email protected]. kom.: +48 509 824 632

Katarzyna Witkowskaprawnik

[email protected] tel. kom.: + 48 512 987 244

· 2019. 3. 19. · Zabezpieczanie danych a tajemnica zawodowa Art.15 •Ust. 1 Radca prawny jest...

Documents

Transcript of · 2019. 3. 19. · Zabezpieczanie danych a tajemnica zawodowa Art.15 •Ust. 1 Radca prawny jest...