NOWE ABI - oil.koszalin.pl RODO/OIL ZADABIODO... · Zazdrość – inny „abi ... MEDYCYNA ART. 31...

84
Autor: Jarosław J. FELIŃSKI Wykładowca akademicki UJ - AGH KRAKÓW WIT Warszawa, DSW Wrocław, WSAP Szczecin, WSE Białystok Audytor wiodący ISO PN – 27001 ISMS Zadania Użytkowników, Inspektora ODO i Administratora Danych w świetle zmian RODO 2018 © Copyright by Jarosław J. Feliński, wszelkie prawa autorskie zastrzeżone RODO 2018 „RODO to nie Rodeo"

Transcript of NOWE ABI - oil.koszalin.pl RODO/OIL ZADABIODO... · Zazdrość – inny „abi ... MEDYCYNA ART. 31...

Autor: Jarosław J. FELIŃSKI Wykładowca akademicki UJ - AGH KRAKÓW WIT Warszawa, DSW Wrocław, WSAP Szczecin, WSE Białystok Audytor wiodący ISO PN – 27001 ISMS

Zadania

Użytkowników, Inspektora ODO i Administratora Danych

w świetle zmian RODO 2018 © Copyright by Jarosław J. Feliński, wszelkie prawa autorskie zastrzeżone

RODO 2018

„RODO to nie Rodeo"

PROGRAM SZKOLENIA

POLITYKA BEZPIECZEŃSTWA INFORMACJI A POLITYKA OCHRONY

DANYCH wg RODO

określenie podstawowych nowych pojęć RODO; zakres obowiązywania PBI w obecnym stanie

prawnym i przekształcenie w nową formę POLITYKA OCHRONY DANYCH,

legalność przetwarzania danych osobowych, w ujęciu nowych delegacji RODO w polskich przepisach prawa,

KWALIFIKACJE ZAWODOWE INSPEKTORA OCHRONY DANYCH

OSOBOWYCH

zadania INSPEKTORA OCHRONY DANYCH OSOBOWYCH;

zadania ASI i Kierowników komórek organizacyjnych;

zalecenia organizacyjne i techniczne, omówienie sposobu prowadzenia nadzoru i

WŁĄCZANIA WE WSZYSTKIE SPRAWY ODO; zgodność instrukcji POD z innymi regulacjami

wewnętrznymi;

ZASADY ORGANIZACJI OCHRONY DANYCH OSOBOWYCH

prawa klientów / interesantów w zakresie ochrony prywatności wg RODO;

nowe prawa OSÓB wg RODO i ustaw krajowych, zasady informowania PT Klientów o prawach zgodnie z

RODO; kryteria powierzania i zabezpieczania danych osobowych

wg RODO; uprawnienia pracowników/użytkowników w obszarach

przetwarzanych danych; zmiana ABI na INSPEKTORA OCHRONY DANYCH

OSOBOWYCH; kwalifikacje zawodowe i audytowe – konieczne minimum;

zmiana w kategorii - ODPOWIEDZIALNOŚĆ UŻYTKOWNIKÓW.

AUDYT BEZP.INFORMACJI IODO wg PN ISO 27001

„ RODO ZADANIA ADMINISTRATORA DANYCH OSOBOWYCH”

OIL, KOMISJE, RZECZNIK, – NZOZ – GABINET STOMATOLOGICZNY – KLINIKA – GABINET MED. ESTETYCZNEJ

JAKA JEST PODSTAWA PRAWNA GROMADZENIA DANYCH PACJENTA? KTO POSIADA UPRAWNIENIE I Z CZEGO WYNIKAJĄCE DO PRZETWARZANIA DANYCH? CO WIDZĄ PODMIOTY PRZETWARZANIA? JAKIE WARUNKI OKREŚLONO WYKONAWCOM USŁUG np. IT, LABORATORIUM INNE

Okręgowa Izba Lekarska w Koszalinie

Okręgowa Izba Lekarska w Koszalinie

27/01/2018 = 36 b UODO

Okręgowa Izba Lekarska w Koszalinie

!!! Niezgodność z RODO

PRZYKŁADY Z SIECI

PRZYKŁADY Z SIECI

PRZYKŁADY Z SIECI

„ZADANIA

ADMINISTRATORA

DANYCH

OSOBOWYCH”

ODPORNOŚĆ NA…

14

ANALIZA RYZYKA I OCENA SKUTKÓW RODO

RODO TO NIE RODeO tylko uporządkowane działanie ofert i usług procesowe w zarządzaniu jednostką

RODO

RODO

RODO

RODO

GDPR

wdrożenie RODO wdrożenie 1. nauczenie kogoś wykonywania rutynowych czynności; 2. podjęcie jakiegoś działania; 3. rozpoczęcie stosowania czegoś w praktyce wdrożenie dopuszczalne w grach wdrożyć wprowadzić w stan używalności (najczęściej w odniesieniu do systemów informatycznych)

WDRAŻANIE RODO

ADO - PLANOWANIE ZMIAN

Funkcjonalne systemy…

KTO Z PAŃSTWA ZGŁASZA SIĘ NA IODO?

https://cm.enel.pl/polityka-prywatnosci/

Funkcjonalne systemy…

KTO Z PAŃSTWA ZGŁASZA SIĘ NA IODO?

POLITYKA PRYWATNOŚCI Centrum Medyczne ENEL-MED S.A. zgodnie z art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r., nr 101, poz. 926, z późn.zm.) przekazuje poniżej informacje na temat przechowywania, przetwarzania i celów przetwarzania

danych, mającą charakter zapewnienia o zachowaniu należytej staranności po stronie

Centrum Medycznego ENEL-MED.

HTTP://WWW.ROGOWSKI.PL/O-

KLINICE/PRACA/

Funkcjonalne systemy…

KTO Z PAŃSTWA ZGŁASZA SIĘ NA IODO?

HTTP://WWW.ROGOWSKI.PL/O-KLINICE/PRACA/

Prosimy o umieszczenie w CV następującej oraz o klauzuli: „Wyrażam zgodę na przetwarzanie moich danych osobowych dla potrzeb niezbędnych do realizacji procesu rekrutacji (zgodnie z

[!!! ...] Ustawą z dnia 29.08.1997 roku o Ochronie Danych

Osobowych; (tekst jednolity: Dz. U. 2016 r. poz. 922).”

Aplikację wraz ze zdjęciem prosimy kierować na

adres mailowy: [email protected]

19

Konstytucyjne i ustawowe zasady ochrony danych osobowych

Pycha – jestem najlepszym ABI’m, po jednym dniu... Chciwość – wszyscy ADO są / będą moimi klientami - niebawem.... Nieczystość – /nie/ znam podstaw prawnych przetwarzania ... Zazdrość – inny „abi” ma o 1 ADO więcej Nieumiarkowanie w [… ] – ilości przetwarzanych danych z kolizją adekwatności co do celu Gniew – jak to ja nie wiem? WIEM WSZYSTKO Lenistwo – już wszystko mam /tabelki/, „WIĘC SPOKO”

• Przykładami powszechnie stosowanych elektronicznych usług są:

• e ~ sądy,

• e ~ administracja,

• e ~ WUŚ;

• e ~ PUAP;

• e ~ szkoła;

• e ~ recepta; • e ~ L4 itd.;

• e ~ pacjent; • e ~ student

a każda z tych usług to BAZA OKREŚLONYCH DANYCH [AKTYWÓW INFORMACYJNYCH] podlegających ochronie ustawowej.

21

Konstytucyjne i ustawowe zasady ochrony danych osobowych

KROK 1 WDROŻENIOWY

ORGANIZACJA OCHRONY DANYCH WG RODO

KLASYFIKACJA PRZEPISÓW

22

Konstytucja

RP - art. 51

UODO

+ Kodeks Pracy i inne przepisy

resortowe

Rozporządzenia MSWiA i KRI

STATUT - REGULAMINY ORG. - PRACY

Paragraf 20 ust.2 6 szkolenia 14 audyt

ZAKRESY ODPOWIEDZIALNOŚCI

Kierowników i UŻYTKOWNIKÓW

Konstytucyjne

i ustawowe zasady

ochrony danych

osobowych

Zarządzanie informacją – zakres i definicje

23

Dane o OSOBIE

W KATEGORIACH PRZETWARZANIA

Ochrona danych

Czym jest Identyfikacja Personalna „PRZEDMIOT – PRODUKT”

Gdzie jest Instytucje i biznes

Ochrona prywatności

Personalizacja i lokalizacja; zachowania,

Operatorzy

Ochrona intymności

Uczucia, Odczucia, Diagnozy Komentarze, Opinie, Opisy

e ~ Społeczności

Powód stosowania UODO / RODO

1. Przychodzi PT Klient i składając wniosek art. 32 ust. 1 UODO prosi o wyliczenie się ze stosowania art. 24 tj obowiązku informacyjnego wg UODO i RODO - co powinien wykonać ABIODO?

- okazać zapisy PBI, czy IZSI [dane w stacjach roboczych?];

- opisać charakter czynności, operacji, klasyfikacji i kategoryzacji danych?;

- odesłać do ...

2. Wpływa wniosek o wykazanie podstaw przetwarzania danych z podmiotem usług zewnętrznych, który utracił dane tego Klienta - ABIODO działa poprzez: - odesłanie do ABIODO podmiotu usług zewnętrznych ?

- samodzielnie wyjaśnia zdarzenie?

- podaje wykładnię orzecznictwa XI 2017 SN?

Funkcjonalne systemy…

„ NOWELE I ODO”

od 1997 UODO – 2011/03/07 - art. 29 – 30 = 2014.12.31

UODO – 01.01 2015 /2018

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGOI RADY w sprawie ochrony osób

fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych

(ogólne rozporządzenie o ochronie danych) –

INSPEKTOR OCHRONY DANYCH – 25

maja 2016

Zakres działań ABI określony zmianami 2015 - 2018

1997 -2014 BRAK ZADAŃ USTAWOWYCH

Art. - 36a 01.01.2015 24.05.2018 POWOŁANIE ABI ZGŁOSZENIE ABI DZIAŁANIA ABI =========================

Art. 36b

DYREKTOR = ADO i ABI

25 maja 2018 Inspektor Ochrony Danych Osobowych

Kompleksowe zarządzanie bezpieczeństwem informacji

ZAKRES NOWYCH

ZADAŃ W RODO

ZAKRES ZADAŃ

W UODO 2015 - 2018

Funkcjonalne systemy…

• Porównanie zapisów UODO

• RODO

Organizacyjne, techniczne i fizyczne…

• Konieczne jest związanie zakresów obowiązków

pracowników z zagadnieniami dotyczącymi

bezpieczeństwa informacji.

32

Obiegówka?

IODO

KADRY

KKO

ABIODO

ASI

UŻYTKOWNIK

WERYFIKACJA

SIWBI

Funkcjonalne systemy…

34

Konstytucyjne i ustawowe zasady ochrony danych osobowych

KROK 2 WDROŻENIOWY

INSPEKTOR OCHRONY DANYCH OSOBOWYCH

WG RODO

WYZNACZENIE

INTERDYSCYPLINARNOŚĆ ZAWODOWA

ABI

IODO

20% PRAWNIK

20% IT

20% PEDAGOG.

20% PSYCHOLOG. / SOCJOLOG.

20% ZARZĄDCA

Nie jest referentem ds. upoważnień i oświadczeń, tabel i rejestrów jednostki organizacyjnej.

• RODO

ADO PO NOWEMU

• RODO

• RODO

ADO PO NOWEMU

Radca, IT,

• UODO 36 a

• RODO ABIODO PO NOWEMU

Porównanie przepisów:

Art. 36a ust. 5 pkt 2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;

Art. 37 ust. 5.Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39./RODO/

!!! Art. 2 pkt 2) edukacja formalna – kształcenie realizowane przez publiczne i niepubliczne szkoły oraz inne podmioty systemu oświaty, uczelnie oraz inne podmioty systemu szkolnictwa wyższego, w ramach programów, które prowadzą do uzyskania kwalifikacji pełnych, kwalifikacji nadawanych po ukończeniu studiów podyplomowych,

Porównanie przepisów

Porównanie przepisów:

ANALIZA

RYZYKA

ADO + IODO + ASI

Funkcjonalne systemy…

100 % ryzyka AB I ODO

nie posiada kompetencji

ma wiedzę? UODO, nie ma kwalifikacji RODO,

nie jest audytorem BI KRI wg PN 27001 i rodzina 2700x

Co wie o:

UODO, RODO,

KRI, PN 27001 i rodzina 2700x

Twój ADO / ASI, HR…

AKTUALIZACJA

PBI ≠ POD

KTO WYKONUJE

Funkcjonalne systemy…

48

Aktualizacja Polityki Bezpieczeństwa Informacji …

Administrator Danych Osobowych –

ZADANIA 2015 – IODO 2018

Art. 36a ust. 1 – POWOŁANIE ABI

Ust. 4 - POWIERZENIE CZYNNOŚCI

DODATKOWYCH

Ust. 6 POWOŁANIE ZASTĘPCÓW

Ust. 7 – PODLEGŁOŚĆ ABI - IODO

Ust. 8 – ZAPEWNIENIE ŚRODKÓW

Art. 46b – ZGŁOSZENIE, ZMIANA lub ODWOŁANIE ABI

49

Aktualizacja Polityki Bezpieczeństwa Informacji …

50

Aktualizacja Polityki Bezpieczeństwa Informacji …

NOWY OBOWIĄZEK INFORMACYJNY

52

Aktualizacja Polityki Bezpieczeństwa Informacji …

IODO

53

Aktualizacja Polityki Bezpieczeństwa Informacji …

IODO

54

Konstytucyjne i ustawowe zasady ochrony danych osobowych

KROK 3 WDROŻENIOWY

ORGANIZACJA OCHRONY DANYCH WG RODO

KLASYFIKACJA KATEGORII DANYCH ORAZ OPERACJI

„Zakres aktualizacji PBI… art.36 UODO / RODO

• Klasyfikacja ABI 2015:

1. przepisów prawa

2. -- przepisów prawa organizacji

3. -- kategorii danych

4. -- kategorii zbiorów

5. -- kategorii przetwarzania

6. -- kategorii użytkowników

„Zakres aktualizacji PBI… art.36 UODO/ RODO

• Klasyfikacja użytkowników:

1. wnioski, formularze

2. -- pisma, etc

3. -- sprawy personalne

4. -- cctv – ochrona

5. -- KURATORZY SPOŁECZNI

„KLASYFIKACJA - OPERACJI - PRZETWARZANIA DANYCH”

>> Przetwarzanie danych- to wszelkie operacje

wykonywane na danych osobowych;

A.UDOSTĘPNIANIE – ART.23 [~] =

WNIOSEK

B. POWIERZANIE – ART. 31= UMOWA

C.PRZESYŁANIE / TRANSFER = ART.23[~]

USTAWA / Y

D. Usuwanie danych - to trwałe zniszczenie danych

osobowych uniemożliwiające identyfikację osoby;

§ 20. KRI

58

Konstytucyjne i ustawowe zasady ochrony danych osobowych

KROK 3 WDROŻENIOWY

ORGANIZACJA OCHRONY DANYCH WG RODO

AUDYT BEZPIECZEŃSTWA INFORMACJI

59

AUDYT BI ZADANIE 2018 | IODO 2018

Uprawnienia formalne audytu zewnętrznego

61

62

Aktualizacja Polityki Bezpieczeństwa Informacji …

Administrator Danych Osobowych –

ZADANIA 2015

Art. 36a ust. 1 – POWOŁANIE ABI

ZADANIE 2018

IODO 2018

OCENA SKUTKÓW

Funkcjonalne systemy…

64

Aktualizacja Polityki Bezpieczeństwa Informacji …

Administrator Bezpieczeństwa Informacji – 2015

Art. 19b ust. 1 – GIODO po rejestracji ABI .. poleca…

ust. – 2 poprzez ADO SPRAWOZDANIE do GIODO…

Art. 36a ust. 2 pkt 1 lit. a – c - ZADANIA

1. Sprawdzanie, [planowana kontrola okresowa]

2. Nadzorowanie, [kontrola bieżąca]

3. Zapoznanie [szkolenie]

4. ust. 2 pkt 2 – REJESTR ZBIORÓW

5. Art. 36c – SPRAWOZDANIE [GIODO, ADO]

6. Art. 36 c pkt 5 - SPRAWDZENIE

Aktualizacja Polityki Bezpieczeństwa Informacji …

65

UODO RESORTOWE

UOIPP / KRI U KPracy

PBI / IZSI

66

Aktualizacja Polityki Bezpieczeństwa Informacji …

Procesowe zasady tworzenia dokumentacji:

• SIWBI – specyfikacja istotnych warunków bezpieczeństwa informacji;

• Inwentaryzacja aktywów;

• Analiza potrzeb placówki;

• Określenie możliwości budżetowych;

• Struktura organizacyjna;

• Dywersyfikacja zadań;

• Wdrożenie dokumentacji;

• Szkolenia informacyjne;

• Amortyzacja sprzętu IT - wiedzy użytkowników;

• WSPARCIE? – zewnętrzne / niezależne konsultacje [obiektywizm]

Zakres aktualizacji PBI… art.36 - aktywa

ŚRODKI FIZYCZNEJ OCHRONY DANYCH

PERSONEL / USŁUGI ZASOBY/ zbiory

ŚRODKI TECHNICZNE

WARUNKI TECHNICZNE PROCEDURY

ŚRODKI ORGANIZACYJNE

STRUKTURA ZADANIA

• Analiza statutu i prawa miejscowego

• pod wzgl. zgodności z PBI PBI

zgodność

zapisów

INSTRUKCJA KANCEL. - JRWA

ZGODNOŚĆ ZAPISÓW UODO

– KRI i KZ

* centralizacja i decentralizacja procesów zabezpieczenia informacji uprawnia do stosowania przez

administratorów innych rozwiązań organizacyjnych np. lokalne zakresy odpowiedzialności

ADMINISTRATOR

DANYCH (KJO)

Administrator Bezpieczeństwa Informacji (ABI)

Administrator Systemu Informatycznego (ASI)

PODLEGA BEZPOŚREDNIO

ZGODNIE Z ART. 36 UST 1 W OPARCIU O SCHEMAT ORGANIZACYJNY

ADO

MEDYCYNA

ART. 31

ZUS

ART.23/1/1

SIO

ART.23/1/2

PODWYKO -

- NAWCA /

LABORAT.

U. SKARB.

ART.23 […]

POWIERZENIE - ART.31 „PODPOWIERZENIE „ – DALSZE POWIERZENIE

OCENA ZAGROŻEŃ

Funkcjonalne systemy…

GAZETA WYBORCZA

GAZETA PRAWNA

GAZETA PRAWNA

ZAGROŻENIA

76

Konstytucyjne i ustawowe zasady ochrony danych osobowych

KROK 4 WDROŻENIOWY

ORGANIZACJA OCHRONY DANYCH WG RODO

SZCZEGÓLNE ZADANIA IODO W TRAKCIE WYBORÓW

2018

77

Aktualizacja Polityki Bezpieczeństwa Informacji …

• ZADANIA IODO

78

Aktualizacja Polityki Bezpieczeństwa Informacji …

• ZADANIA IODO

• METODOLOGIA AUDYTU BI ISO PN 27001

• Zaangażowanie Kierownictwa w procesie tworzenia PBI

• Odpowiednie reagowanie na wdrożenie nowych przepisów

• PBI zgodna z celami statutowymi • Powszechna edukacja, okresowe szkolenia doskonalące i

informowanie

• Planowanie środków na rozwijanie bezpieczeństwa [UODO i 117 SIO]

25 MAJA 2018

IOD WŁASNY LUB ZEWNĘTRZNY

2015 - V 2018

ABI - WŁASNY LUB ZEWNĘTRZNY

ADO /ABI 2014

ABI [WŁASNY] OBOWIĄZKOWY

PODSUMOWANIE

80

Aktualizacja Polityki Bezpieczeństwa Informacji …

Art. 266. § 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Art. 267. § 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

§ 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.

81

• Dziękuję za uwagę.

• Proszę o zadawanie pytań?

508-608-136

[email protected]

Jarosław Feliński - Praktyk, wykładowca wyższych uczelni; (wykładowca na studiach podyplomowych z problematyki zarządzania bezpieczeństwem informacji: Uniwersytetu Jagiellońskiego w Krakowie; AGH Kraków; DSW Wrocław; WSAP Szczecin; Wyższej Szkoły Informatyki Stosowanej i Zarządzania pod auspicjami Polskiej Akademii Nauk WIT Warszawa, WSE Białystok, Twórca autorskiego programu podyplomowych studiów zarządzania bezpieczeństwem informacji dla ABI 2013 i IODO 2017– kierownik studiów podyplomowych w roku akademickim od 2013 – 2017/2018. Autor programu studiów podyplomowych „Inspektor Ochrony Danych Osobowych – poziom zaawansowany” w WSISiZ PAN Warszawa - 2017/2018. Audytor Wiodący PN ISO/IEC 27001 [IRCA]. Od 2016 konsultant i ABI wybranych placówek oświatowych Miasta Stołecznego Warszawy. W latach 2009-2011 wykładowca i uczestnik Projektu FRDL Warszawa / Gdańsk – 5.2 POIG – o charakterze proinnowacyjnym: „Opracowanie i wdrożenie systemu wsparcia przedsiębiorstw kluczowych technologii wspomagających w zakresie zarządzania wiedzą”, dofinansowanego ze środków Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Innowacyjna Gospodarka. Prezes Stowarzyszenia Inspektorów Ochrony Danych Osobowych w Polsce.