NOWE ABI - oil.koszalin.pl RODO/OIL ZADABIODO... · Zazdrość – inny „abi ... MEDYCYNA ART. 31...
Transcript of NOWE ABI - oil.koszalin.pl RODO/OIL ZADABIODO... · Zazdrość – inny „abi ... MEDYCYNA ART. 31...
Autor: Jarosław J. FELIŃSKI Wykładowca akademicki UJ - AGH KRAKÓW WIT Warszawa, DSW Wrocław, WSAP Szczecin, WSE Białystok Audytor wiodący ISO PN – 27001 ISMS
Zadania
Użytkowników, Inspektora ODO i Administratora Danych
w świetle zmian RODO 2018 © Copyright by Jarosław J. Feliński, wszelkie prawa autorskie zastrzeżone
RODO 2018
„RODO to nie Rodeo"
PROGRAM SZKOLENIA
POLITYKA BEZPIECZEŃSTWA INFORMACJI A POLITYKA OCHRONY
DANYCH wg RODO
określenie podstawowych nowych pojęć RODO; zakres obowiązywania PBI w obecnym stanie
prawnym i przekształcenie w nową formę POLITYKA OCHRONY DANYCH,
legalność przetwarzania danych osobowych, w ujęciu nowych delegacji RODO w polskich przepisach prawa,
KWALIFIKACJE ZAWODOWE INSPEKTORA OCHRONY DANYCH
OSOBOWYCH
zadania INSPEKTORA OCHRONY DANYCH OSOBOWYCH;
zadania ASI i Kierowników komórek organizacyjnych;
zalecenia organizacyjne i techniczne, omówienie sposobu prowadzenia nadzoru i
WŁĄCZANIA WE WSZYSTKIE SPRAWY ODO; zgodność instrukcji POD z innymi regulacjami
wewnętrznymi;
ZASADY ORGANIZACJI OCHRONY DANYCH OSOBOWYCH
prawa klientów / interesantów w zakresie ochrony prywatności wg RODO;
nowe prawa OSÓB wg RODO i ustaw krajowych, zasady informowania PT Klientów o prawach zgodnie z
RODO; kryteria powierzania i zabezpieczania danych osobowych
wg RODO; uprawnienia pracowników/użytkowników w obszarach
przetwarzanych danych; zmiana ABI na INSPEKTORA OCHRONY DANYCH
OSOBOWYCH; kwalifikacje zawodowe i audytowe – konieczne minimum;
zmiana w kategorii - ODPOWIEDZIALNOŚĆ UŻYTKOWNIKÓW.
AUDYT BEZP.INFORMACJI IODO wg PN ISO 27001
„ RODO ZADANIA ADMINISTRATORA DANYCH OSOBOWYCH”
OIL, KOMISJE, RZECZNIK, – NZOZ – GABINET STOMATOLOGICZNY – KLINIKA – GABINET MED. ESTETYCZNEJ
JAKA JEST PODSTAWA PRAWNA GROMADZENIA DANYCH PACJENTA? KTO POSIADA UPRAWNIENIE I Z CZEGO WYNIKAJĄCE DO PRZETWARZANIA DANYCH? CO WIDZĄ PODMIOTY PRZETWARZANIA? JAKIE WARUNKI OKREŚLONO WYKONAWCOM USŁUG np. IT, LABORATORIUM INNE
14
ANALIZA RYZYKA I OCENA SKUTKÓW RODO
RODO TO NIE RODeO tylko uporządkowane działanie ofert i usług procesowe w zarządzaniu jednostką
RODO
RODO
RODO
RODO
GDPR
wdrożenie RODO wdrożenie 1. nauczenie kogoś wykonywania rutynowych czynności; 2. podjęcie jakiegoś działania; 3. rozpoczęcie stosowania czegoś w praktyce wdrożenie dopuszczalne w grach wdrożyć wprowadzić w stan używalności (najczęściej w odniesieniu do systemów informatycznych)
https://cm.enel.pl/polityka-prywatnosci/
Funkcjonalne systemy…
KTO Z PAŃSTWA ZGŁASZA SIĘ NA IODO?
POLITYKA PRYWATNOŚCI Centrum Medyczne ENEL-MED S.A. zgodnie z art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r., nr 101, poz. 926, z późn.zm.) przekazuje poniżej informacje na temat przechowywania, przetwarzania i celów przetwarzania
danych, mającą charakter zapewnienia o zachowaniu należytej staranności po stronie
Centrum Medycznego ENEL-MED.
HTTP://WWW.ROGOWSKI.PL/O-
KLINICE/PRACA/
Funkcjonalne systemy…
KTO Z PAŃSTWA ZGŁASZA SIĘ NA IODO?
HTTP://WWW.ROGOWSKI.PL/O-KLINICE/PRACA/
Prosimy o umieszczenie w CV następującej oraz o klauzuli: „Wyrażam zgodę na przetwarzanie moich danych osobowych dla potrzeb niezbędnych do realizacji procesu rekrutacji (zgodnie z
[!!! ...] Ustawą z dnia 29.08.1997 roku o Ochronie Danych
Osobowych; (tekst jednolity: Dz. U. 2016 r. poz. 922).”
Aplikację wraz ze zdjęciem prosimy kierować na
adres mailowy: [email protected]
19
Konstytucyjne i ustawowe zasady ochrony danych osobowych
Pycha – jestem najlepszym ABI’m, po jednym dniu... Chciwość – wszyscy ADO są / będą moimi klientami - niebawem.... Nieczystość – /nie/ znam podstaw prawnych przetwarzania ... Zazdrość – inny „abi” ma o 1 ADO więcej Nieumiarkowanie w [… ] – ilości przetwarzanych danych z kolizją adekwatności co do celu Gniew – jak to ja nie wiem? WIEM WSZYSTKO Lenistwo – już wszystko mam /tabelki/, „WIĘC SPOKO”
• Przykładami powszechnie stosowanych elektronicznych usług są:
• e ~ sądy,
• e ~ administracja,
• e ~ WUŚ;
• e ~ PUAP;
• e ~ szkoła;
• e ~ recepta; • e ~ L4 itd.;
• e ~ pacjent; • e ~ student
a każda z tych usług to BAZA OKREŚLONYCH DANYCH [AKTYWÓW INFORMACYJNYCH] podlegających ochronie ustawowej.
21
Konstytucyjne i ustawowe zasady ochrony danych osobowych
KROK 1 WDROŻENIOWY
ORGANIZACJA OCHRONY DANYCH WG RODO
KLASYFIKACJA PRZEPISÓW
22
Konstytucja
RP - art. 51
UODO
+ Kodeks Pracy i inne przepisy
resortowe
Rozporządzenia MSWiA i KRI
STATUT - REGULAMINY ORG. - PRACY
Paragraf 20 ust.2 6 szkolenia 14 audyt
ZAKRESY ODPOWIEDZIALNOŚCI
Kierowników i UŻYTKOWNIKÓW
Konstytucyjne
i ustawowe zasady
ochrony danych
osobowych
Zarządzanie informacją – zakres i definicje
23
Dane o OSOBIE
W KATEGORIACH PRZETWARZANIA
Ochrona danych
Czym jest Identyfikacja Personalna „PRZEDMIOT – PRODUKT”
Gdzie jest Instytucje i biznes
Ochrona prywatności
Personalizacja i lokalizacja; zachowania,
Operatorzy
Ochrona intymności
Uczucia, Odczucia, Diagnozy Komentarze, Opinie, Opisy
e ~ Społeczności
1. Przychodzi PT Klient i składając wniosek art. 32 ust. 1 UODO prosi o wyliczenie się ze stosowania art. 24 tj obowiązku informacyjnego wg UODO i RODO - co powinien wykonać ABIODO?
- okazać zapisy PBI, czy IZSI [dane w stacjach roboczych?];
- opisać charakter czynności, operacji, klasyfikacji i kategoryzacji danych?;
- odesłać do ...
2. Wpływa wniosek o wykazanie podstaw przetwarzania danych z podmiotem usług zewnętrznych, który utracił dane tego Klienta - ABIODO działa poprzez: - odesłanie do ABIODO podmiotu usług zewnętrznych ?
- samodzielnie wyjaśnia zdarzenie?
- podaje wykładnię orzecznictwa XI 2017 SN?
Funkcjonalne systemy…
„ NOWELE I ODO”
od 1997 UODO – 2011/03/07 - art. 29 – 30 = 2014.12.31
UODO – 01.01 2015 /2018
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGOI RADY w sprawie ochrony osób
fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych
(ogólne rozporządzenie o ochronie danych) –
INSPEKTOR OCHRONY DANYCH – 25
maja 2016
Zakres działań ABI określony zmianami 2015 - 2018
1997 -2014 BRAK ZADAŃ USTAWOWYCH
Art. - 36a 01.01.2015 24.05.2018 POWOŁANIE ABI ZGŁOSZENIE ABI DZIAŁANIA ABI =========================
Art. 36b
DYREKTOR = ADO i ABI
25 maja 2018 Inspektor Ochrony Danych Osobowych
Kompleksowe zarządzanie bezpieczeństwem informacji
ZAKRES NOWYCH
ZADAŃ W RODO
ZAKRES ZADAŃ
W UODO 2015 - 2018
Organizacyjne, techniczne i fizyczne…
• Konieczne jest związanie zakresów obowiązków
pracowników z zagadnieniami dotyczącymi
bezpieczeństwa informacji.
32
Obiegówka?
IODO
KADRY
KKO
ABIODO
ASI
UŻYTKOWNIK
34
Konstytucyjne i ustawowe zasady ochrony danych osobowych
KROK 2 WDROŻENIOWY
INSPEKTOR OCHRONY DANYCH OSOBOWYCH
WG RODO
WYZNACZENIE
INTERDYSCYPLINARNOŚĆ ZAWODOWA
ABI
IODO
20% PRAWNIK
20% IT
20% PEDAGOG.
20% PSYCHOLOG. / SOCJOLOG.
20% ZARZĄDCA
Nie jest referentem ds. upoważnień i oświadczeń, tabel i rejestrów jednostki organizacyjnej.
Porównanie przepisów:
Art. 36a ust. 5 pkt 2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
Art. 37 ust. 5.Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39./RODO/
!!! Art. 2 pkt 2) edukacja formalna – kształcenie realizowane przez publiczne i niepubliczne szkoły oraz inne podmioty systemu oświaty, uczelnie oraz inne podmioty systemu szkolnictwa wyższego, w ramach programów, które prowadzą do uzyskania kwalifikacji pełnych, kwalifikacji nadawanych po ukończeniu studiów podyplomowych,
Porównanie przepisów
100 % ryzyka AB I ODO
nie posiada kompetencji
ma wiedzę? UODO, nie ma kwalifikacji RODO,
nie jest audytorem BI KRI wg PN 27001 i rodzina 2700x
48
Aktualizacja Polityki Bezpieczeństwa Informacji …
Administrator Danych Osobowych –
ZADANIA 2015 – IODO 2018
Art. 36a ust. 1 – POWOŁANIE ABI
Ust. 4 - POWIERZENIE CZYNNOŚCI
DODATKOWYCH
Ust. 6 POWOŁANIE ZASTĘPCÓW
Ust. 7 – PODLEGŁOŚĆ ABI - IODO
Ust. 8 – ZAPEWNIENIE ŚRODKÓW
Art. 46b – ZGŁOSZENIE, ZMIANA lub ODWOŁANIE ABI
54
Konstytucyjne i ustawowe zasady ochrony danych osobowych
KROK 3 WDROŻENIOWY
ORGANIZACJA OCHRONY DANYCH WG RODO
KLASYFIKACJA KATEGORII DANYCH ORAZ OPERACJI
„Zakres aktualizacji PBI… art.36 UODO / RODO
• Klasyfikacja ABI 2015:
1. przepisów prawa
2. -- przepisów prawa organizacji
3. -- kategorii danych
4. -- kategorii zbiorów
5. -- kategorii przetwarzania
6. -- kategorii użytkowników
„Zakres aktualizacji PBI… art.36 UODO/ RODO
• Klasyfikacja użytkowników:
1. wnioski, formularze
2. -- pisma, etc
3. -- sprawy personalne
4. -- cctv – ochrona
5. -- KURATORZY SPOŁECZNI
„KLASYFIKACJA - OPERACJI - PRZETWARZANIA DANYCH”
>> Przetwarzanie danych- to wszelkie operacje
wykonywane na danych osobowych;
A.UDOSTĘPNIANIE – ART.23 [~] =
WNIOSEK
B. POWIERZANIE – ART. 31= UMOWA
C.PRZESYŁANIE / TRANSFER = ART.23[~]
USTAWA / Y
D. Usuwanie danych - to trwałe zniszczenie danych
osobowych uniemożliwiające identyfikację osoby;
§ 20. KRI
58
Konstytucyjne i ustawowe zasady ochrony danych osobowych
KROK 3 WDROŻENIOWY
ORGANIZACJA OCHRONY DANYCH WG RODO
AUDYT BEZPIECZEŃSTWA INFORMACJI
62
Aktualizacja Polityki Bezpieczeństwa Informacji …
Administrator Danych Osobowych –
ZADANIA 2015
Art. 36a ust. 1 – POWOŁANIE ABI
ZADANIE 2018
IODO 2018
64
Aktualizacja Polityki Bezpieczeństwa Informacji …
Administrator Bezpieczeństwa Informacji – 2015
Art. 19b ust. 1 – GIODO po rejestracji ABI .. poleca…
ust. – 2 poprzez ADO SPRAWOZDANIE do GIODO…
Art. 36a ust. 2 pkt 1 lit. a – c - ZADANIA
1. Sprawdzanie, [planowana kontrola okresowa]
2. Nadzorowanie, [kontrola bieżąca]
3. Zapoznanie [szkolenie]
4. ust. 2 pkt 2 – REJESTR ZBIORÓW
5. Art. 36c – SPRAWOZDANIE [GIODO, ADO]
6. Art. 36 c pkt 5 - SPRAWDZENIE
66
Aktualizacja Polityki Bezpieczeństwa Informacji …
Procesowe zasady tworzenia dokumentacji:
• SIWBI – specyfikacja istotnych warunków bezpieczeństwa informacji;
• Inwentaryzacja aktywów;
• Analiza potrzeb placówki;
• Określenie możliwości budżetowych;
• Struktura organizacyjna;
• Dywersyfikacja zadań;
• Wdrożenie dokumentacji;
• Szkolenia informacyjne;
• Amortyzacja sprzętu IT - wiedzy użytkowników;
• WSPARCIE? – zewnętrzne / niezależne konsultacje [obiektywizm]
Zakres aktualizacji PBI… art.36 - aktywa
ŚRODKI FIZYCZNEJ OCHRONY DANYCH
PERSONEL / USŁUGI ZASOBY/ zbiory
ŚRODKI TECHNICZNE
WARUNKI TECHNICZNE PROCEDURY
ŚRODKI ORGANIZACYJNE
STRUKTURA ZADANIA
• Analiza statutu i prawa miejscowego
• pod wzgl. zgodności z PBI PBI
zgodność
zapisów
INSTRUKCJA KANCEL. - JRWA
ZGODNOŚĆ ZAPISÓW UODO
– KRI i KZ
* centralizacja i decentralizacja procesów zabezpieczenia informacji uprawnia do stosowania przez
administratorów innych rozwiązań organizacyjnych np. lokalne zakresy odpowiedzialności
ADMINISTRATOR
DANYCH (KJO)
Administrator Bezpieczeństwa Informacji (ABI)
Administrator Systemu Informatycznego (ASI)
PODLEGA BEZPOŚREDNIO
ZGODNIE Z ART. 36 UST 1 W OPARCIU O SCHEMAT ORGANIZACYJNY
ADO
MEDYCYNA
ART. 31
ZUS
ART.23/1/1
SIO
ART.23/1/2
PODWYKO -
- NAWCA /
LABORAT.
U. SKARB.
ART.23 […]
POWIERZENIE - ART.31 „PODPOWIERZENIE „ – DALSZE POWIERZENIE
76
Konstytucyjne i ustawowe zasady ochrony danych osobowych
KROK 4 WDROŻENIOWY
ORGANIZACJA OCHRONY DANYCH WG RODO
SZCZEGÓLNE ZADANIA IODO W TRAKCIE WYBORÓW
2018
78
Aktualizacja Polityki Bezpieczeństwa Informacji …
• ZADANIA IODO
• METODOLOGIA AUDYTU BI ISO PN 27001
• Zaangażowanie Kierownictwa w procesie tworzenia PBI
• Odpowiednie reagowanie na wdrożenie nowych przepisów
• PBI zgodna z celami statutowymi • Powszechna edukacja, okresowe szkolenia doskonalące i
informowanie
• Planowanie środków na rozwijanie bezpieczeństwa [UODO i 117 SIO]
25 MAJA 2018
IOD WŁASNY LUB ZEWNĘTRZNY
2015 - V 2018
ABI - WŁASNY LUB ZEWNĘTRZNY
ADO /ABI 2014
ABI [WŁASNY] OBOWIĄZKOWY
PODSUMOWANIE
80
Aktualizacja Polityki Bezpieczeństwa Informacji …
Art. 266. § 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Art. 267. § 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.
§ 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.
Jarosław Feliński - Praktyk, wykładowca wyższych uczelni; (wykładowca na studiach podyplomowych z problematyki zarządzania bezpieczeństwem informacji: Uniwersytetu Jagiellońskiego w Krakowie; AGH Kraków; DSW Wrocław; WSAP Szczecin; Wyższej Szkoły Informatyki Stosowanej i Zarządzania pod auspicjami Polskiej Akademii Nauk WIT Warszawa, WSE Białystok, Twórca autorskiego programu podyplomowych studiów zarządzania bezpieczeństwem informacji dla ABI 2013 i IODO 2017– kierownik studiów podyplomowych w roku akademickim od 2013 – 2017/2018. Autor programu studiów podyplomowych „Inspektor Ochrony Danych Osobowych – poziom zaawansowany” w WSISiZ PAN Warszawa - 2017/2018. Audytor Wiodący PN ISO/IEC 27001 [IRCA]. Od 2016 konsultant i ABI wybranych placówek oświatowych Miasta Stołecznego Warszawy. W latach 2009-2011 wykładowca i uczestnik Projektu FRDL Warszawa / Gdańsk – 5.2 POIG – o charakterze proinnowacyjnym: „Opracowanie i wdrożenie systemu wsparcia przedsiębiorstw kluczowych technologii wspomagających w zakresie zarządzania wiedzą”, dofinansowanego ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Innowacyjna Gospodarka. Prezes Stowarzyszenia Inspektorów Ochrony Danych Osobowych w Polsce.