Szkolenie Ochrona danych osobowych

Szkolenie

Ochrona danych osobowych Administrator Bezpieczeństwa Informacji Uniwersytetu Medycznego Łodzi

mgr Anna Adamiak - Zielińska

Administrator Bezpieczeństwa Informacji (ABI)

Osoba, która nadzoruje przestrzeganie ochrony danych osobowych, stosując odpowiednie środki techniczne i organizacyjne, które mają zabezpieczyć dane:

przed ich udostępnianiem osobom nieupoważnionym, zabraniem przez osoby nieuprawnione, przetwarzaniem z naruszeniem ustawy,zmianą, utratą, uszkodzeniemlub zniszczeniem.

Administrator Bezpieczeństwa Informacji Uniwersytetu Medycznego Łodzi mgr Anna Adamiak - Zielińska

Konstytucja Rzeczpospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. z 1997 r. Nr 78, poz. 483)

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zmian.)

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzaniadanych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatycznesłużące do przetwarzania danych osobowych(Dz. U. z 2004 r. Nr 100, poz. 1024)

Rozporządzenie Ministra Spraw Wewnętrznych i Administracjiz dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r. Nr 229, poz. 1536)

Akty prawne dotyczące przetwarzania i ochrony danych osobowych:



Konstytucja Rzeczpospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. z 1997 r. Nr 78, poz. 483)

Art. 47 Każdy ma prawo do życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym.

Art. 51 1 Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jej osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.

Akty prawne dotyczące przetwarzania i ochrony danych osobowych:

Danymi osobowymi - są wszelkie informacje dotyczące zidentyfikowanejlub możliwej do zidentyfikowania osoby fizycznej.

Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Informacji nie uważa się za umożliwiającą określenie tożsamości, jeżeli wymagałoby to nadmiernych kosztów, czasu i działań.

Danymi osobowymi nie są pojedyncze informacje o dużym stopniu ogólności, np. sama nazwa ulicy i numer domu.

Dane osobowe – wyjaśnienie pojęcia



Dane osobowe – wyjaśnienie pojęcia

Przewarzanie danych osobowych – wyjaśnienie pojęcia


Przetwarzanie danych osobowych to wszystkie operacje, jakim poddawane są informacje, w szczególności:

• zbieranie (gromadzenie)• przechowywanie• udostępnianie• zmienianie• przekazywanie• utrwalanie• opracowywanie• usuwanie (niszczenie, modyfikacja).

Gdzie są przetwarzane dane osobowe?


w kartotekach, skorowidzach, księgach, wykazach

i w innych zbiorach ewidencyjnych

w systemachinformatycznych,

także w przypadku przetwarzania danych poza zbiorem danych

Warunki przetwarzania danych osobowych

Pracownik może przetwarzać dane, tylko i wyłącznie w sytuacji, gdy:

posiada pisemne upoważnienie do przetwarzania danych osobowych; jest umieszczony w Ewidencji Osób Upoważnionych do przetwarzania danych; w celu i zakresie wskazanym w upoważnieniu; przez okres na jaki upoważnienie zostało udzielone.

Uwaga!Pracownicy upoważnieni do przetwarzania danych osobowych są zobowiązani do

ochrony danych zarówno w trakcie trwania zatrudnienia, jak i po jego ustaniu.


Jakie są podstawy prawne do przetwarzania danych osobowych?


osoba, której dane dotyczą, wyrazi na to ZGODĘ, chyba, że chodzi o usunięcie danych

niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającegoz przepisu prawa

konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działańprzed zawarciem umowy na żądanie osoby,której dane dotyczą

niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego

niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danychalbo odbiorców danych, a przetwarzanie nie naruszapraw i wolności osoby, której dane dotyczą

1. Prawo do informacji i kontroli przetwarzanych danych przysługujące osobie,której dane dotyczą.

2. Prawo do poprawiania danych, aktualizacji, żądania wstrzymaniaich przetwarzania lub ich usunięcia.

3. Prawo do wniesienia sprzeciwu.

4. Prawo zaprzestania przetwarzania danychze względu na szczególną sytuację osoby.


Prawa osób, których dane są przetwarzane


Obowiązek informacyjny

Art. 49 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

Art. 51 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega karze ograniczenia wolności albo pozbawienia wolności do lat 2.

2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art. 52 Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku


Jakie są sankcje karne za naruszanie przepisów dotyczących ochrony danych osobowych?

Zasady Bezpieczeństwa Informacji

Pracownik Uniwersytetu Medycznego w Łodzi jest zobowiązany zachować poufność przetwarzanych danych oraz sposobów ich zabezpieczenia.

Dane można wykorzystywać wyłącznie do celów, dla których zostały udostępnione.

Dokumenty zawierające informacje podlegające ochronie powinny być przechowywane na biurku i innych miejscach do tego przeznaczonych, w taki sposób, aby osoba nieuprawniona nie miała do nich dostępu.

Nośniki informacji (w formie papierowej i elektronicznej) z danymi podlegającymi ochronie nie można pozostawiać w miejscach ogólnodostępnych i niezabezpieczonych oraz nie należy udostępniać osobom nieupoważnionym.

Dokumenty wydrukowane w nadmiernej ilości, a także zawierające błędy lub, które nie są wykorzystywane do żadnych celów należy trwale zniszczyć w sposób uniemożliwiający odtworzenie treści.


Dokumenty zawierające informacje podlegające ochronie, przed wyrzuceniem do kosza należy zanonimizować, w taki sposób, aby nie można było odtworzyć ich treści i zidentyfikować osoby, której dane dotyczą, lub zniszczyć za pomocą niszczarki.

Monitor należy usytuować w taki sposób, aby osoby nieupoważnione wchodzące do pomieszczenia nie miały wglądu do danych na nim wyświetlanych.

Przed zalogowaniem się do systemu stacji roboczej należy upewnić się, że w pobliżu nie ma osób trzecich lub urządzeń nagrywających mogących zarejestrować hasła dostępowe do systemów, z których zamierzamy skorzystać. Jeśli występuje takie zagrożenie należy zastosować szczególne środki ostrożności uniemożliwiające zarejestrowanie wpisywanego hasła.

Oprogramowanie instaluje tylko i wyłącznie administrator systemu informatycznego, nigdy nie należy robić tego samodzielnie.


Zasady Bezpieczeństwa Informacji cd.

Używanych identyfikatorów i haseł nie należy udostępniać innym osobom, a w przypadku podejrzenia, że osoba postronna weszła w ich posiadanie, należy dokonać ich zmiany zgodnie z obowiązującymi procedurami.

Logowanie do systemu pocztowego przy pomocy internetowej przeglądarki powinno być przeprowadzone na osobistym komputerze, laptopie posiadającym zabezpieczenie antywirusowe.

Hasła dostępowe do konta pocztowego, systemów informatycznych należy chronić przed dostępem osób trzecich. Nie zaleca się zapamiętywania ich w przeglądarkach internetowych.

Po zakończeniu pracy należy wylogować się ze wszystkich systemów, z których korzystaliśmy.

Uczelniany adres konta pocztowego należy udostępniać i wykorzystywać wyłącznie w celach służbowych.Przy wysyłaniu informacji drogą elektroniczną konieczne jest dokładne zweryfikowanie jego adresata oraz treści przesyłanych dokumentów.



Nie należy przesyłać informacji służbowych z wykorzystaniem prywatnych nośników oraz wykorzystywać służbowych urządzeń (tj. komputerów, laptopów, telefonów) do prywatnych celów.

W przypadku opuszczania stanowiska pracy należy zastosować systemową blokadę komputera, laptopa lub innego elektronicznego nośnika informacji.

Przy opuszczaniu miejsca pracy należy zachować „zasadę czystego biurka” - nośniki informacji umieścić w szafach, szufladach i innych do tego przeznaczonych miejscach oraz upewnić się, że pokój jest zamknięty, gdy jesteśmy jedyną osobą opuszczającą pomieszczenie.

Nośniki elektroniczne zawierające informacje podlegające ochronie, poza miejscem pracy należy zabezpieczyć za pomocą środków kryptograficznych.

Poza miejscem pracy, szczególnie w miejscach publicznych unikać należy rozmów dotyczących informacji służbowych podlegających ochronie.



GIODOGeneralny Inspektor Ochrony Danych Osobowych

Organ, który czuwa nad prawem obywateli do ochrony ich danych osobowych: kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie

danych osobowych zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z

decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r., Nr 229, poz. 1954 z późn. zm.)

prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony

danych osobowych.

Generalny Inspektor Ochrony Danych OsobowychUl. Stawki 2

00 – 193 Warszawa


Dziękuję za uwagęAdministrator Bezpieczeństwa Informacjimgr Anna Adamiak - Zielińska

Szkolenie Ochrona danych osobowych

Documents

Transcript of Szkolenie Ochrona danych osobowych