Introducing 

Prezi AI.

Your new presentation assistant.

Refine, enhance, and tailor your content, source relevant images, and edit visuals quicker than ever before.

Loading…
Transcript

Pozostałe obowiązki administratora

Instrukcja zarządzania systemem informatycznym

Rejestracja zbioru danych osobwych

Polityka bezpieczeństwa

Obowiązkowi sporządzenia instrukcji zarządzania systemem informatycznym podlegają administratorzy przetwarzający dane w systemach informatycznych. Instrukcja ta powinna zostać sporządzona w formie pisemnej.

Instrukcję zarządzania systemem informatycznym należy udostępnić osobom, które są odpowiedzialne za realizację jej postanowień.

Jest to sporządzony w formie pisemnej dokument wdrażany przez administratora danych.

Obowiązkowi jego sporządzenia podlegają wszyscy administratorzy danych, bez względu na sposób w jaki przetwarzają oni dane osobowe, tj. zarówno przetwarzający dane tradycyjnie jak i w systemach informatycznych.

Administrator bezpieczeństwa informacji (ABI)

Zawartość polityki bezpieczeństwa

  • wykaz budynków lub pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe;
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  • sposób przepływu danych pomiędzy poszczególnymi systemami;
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności przetwarzanych danych.

ABI to wyznaczona przez administratora danych osobowych osoba odpowiedzialna za bezpieczeństwo przetwarzanych danych. ABI musi być osobą fizyczną.

Administrator danych osobowych będący osobą fizyczną ma możliwość wyboru, czy wyznaczać administratora bezpieczeństwa informacji, czy też samemu pełnić jego funkcję.

W ustawie nie określono w jakim stosunku powinien pozostawać ABI do administratora, uznaje się, że może on być zarówno pracownikiem administratora danych, jak i podmiotem zewnętrznym wobec niego.

Obowiązki administratora

Obowiązki przy upoważnianiu

Jak legalnie przetwarzać dane osobowe?

Pozostałe obowiązki

Zgoda

Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

  • rejestracja zbioru danych osobowych w rejestrze prowadzonym przez GIODO,
  • powołanie administratora bezpieczeństwa informacji,
  • prowadzenie dokumentacji przetwarzania danych (PBI, IZSI i ewidencje).

Zgoda na przetwarzanie danych:

Upoważnienie

  • nie może być domniemana lub dorozumiana - musi być wyraźna, choć może stanowić element umowy,
  • nie musi być wyrażona na piśmie.
  • musi być w niej wskazany:
  • cel przetwarzania danych osobowych,
  • zakres przetwarzania danych osobowych,
  • podmiot, który będzie przetwarzał dane osobowe,
  • może być ograniczona: terminem, warunkiem, podmiotowo lub przedmiotowo.
  • może być częściowa, ale nie blankietowa.
  • powinna być wyrażona przed rozpoczęciem przetwarzania danych osobowych,
  • jest odwołalna,
  • decyzja o wyrażeniu zgody powinna być podjęta swobodnie.

Dla celów dowodowych rekomendowane jest wydanie go w formie pisemnej, jednakże dozwolona jest również forma ustna lub wiadomości e-mail.

Upoważnienie powinno:

  • dotyczyć konkretnej, wskazanej imieniem i nazwiskiem osoby,
  • wskazywać nazwę i adres administratora danych,
  • wskazywać datę nadania oraz datę ustania upoważnienia,
  • być odrębnym dokumentem (nie może być częścią umowy o pracę),
  • być wydane nawet dla osób nie zajmujących się na stałe przetwarzaniem danych osobowych.

Ewidencja osób upoważnionych

Ewidencja powinna stanowić odrębny dokument zawierający:

  • imię i nazwisko osoby upoważnionej,
  • datę nadania i ustania,
  • zakres upoważnienia do przetwarzania danych osobowych,
  • identyfikator użytkownika (jeśli dane przetwarzane są w systemie informatycznym)

Jest to minimalny zakres informacji jakie należy zawrzeć w ewidencji. Pożądane jest również umieszczenie w upoważnieniu lub w dokumencie z nim związanym stosownych oświadczeń osoby upoważnianej.

Realizacja umowy

Szczególna staranność przy przetwarzaniu danych osobowych

  • gdy osoba jest stroną umowy,
  • gdy osoba nie jest stroną umowy, ale przetwarzanie jest niezbędne do podjęcia działań przed zawarciem umowy, na żądanie osoby której dane dotyczą.

Przepis prawa

Obowiązki informacyjne

Szczególny przepis prawa upoważnia lub nakazuje do przetwarzania danych osobowych

lub

Administrator ma poinformować osobę której dane dotyczą o:

  • adresie i pełnej nazwie administratora,
  • celu i zakresie zbierania danych,
  • o prawie dostępu do danych i ich poprawiania,
  • źródle pochodzenia danych,
  • dobrowolności albo obowiązku podania danych, jeśli taki obowiązek wynika z przepisów prawa,
  • prawie wniesienia sprzeciwu wobec przetwarzania.

Konieczność zapewnienia:

  • legalności – zgodność z przepisami prawa,
  • celowości – zbieranie danych dla oznaczonych, zgodnych z prawem celów;
  • merytorycznej poprawności – prawdziwości i aktualności danych;
  • adekwatności – tak by zakres danych był adekwatny do celu ich przetwarzania, w szczególności by nie był on szerszy niż jest to niezbędne dla jego realizacji;
  • ograniczenia czasowego – przetwarzanie tylko przez taki czas jaki jest niezbędny do realizacji celu przetwarzania, a następnie usunięcie danych.

przetważanie jest konieczne dla wykonywania zadań określonych prawem dla dobra publicznego.

Usprawiedliwiony cel

Za prawnie usprawiedliwione cele uważa się w szczególności:

  • marketing bezpośredni własnych produktów lub usług administratora danych,
  • dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej,

Ograniczenia przy składaniu propozycji „zawarcia umowy”

  • sprzeciw wobec przetwarzania danych osobowych,
  • w przypadku konsumentów i kontaktu telefonicznego lub za pomocą środków komunikacji elektronicznej wymagana jest uprzednia zgoda na przedstawienie propozycji zawarcia umowy.

Zabezpieczanie danych osobowych

Przetwarzający dane jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.

W szczególności...

Przykłady...

powinien zabezpieczyć dane przed ich:

  • udostępnieniem osobom nieupoważnionym,
  • zabraniem przez osobę nieuprawnioną,
  • przetwarzaniem z naruszeniem ustawy,
  • zmianą, utratą, uszkodzeniem lub zniszczeniem.
  • ustawienie monitorów ekranowych w sposób uniemożliwiający pokazanie wyświetlanych informacji osobom bez upoważnienia,
  • tworzenie haseł spełniających wymogi bezpieczeństwa (np. długich na min. 8 znaków zawierających co najmniej jedna cyfrę lub znak specjalny),
  • dbałość o poufność dokumentów drukowanych i skanowanych,
  • ostrożne korzystanie z internetu i unikanie zachowań zagrażających bezpieczeństwu systemu informatycznego.

Administrator

danych osobowych

Podmiot lub osoba przetwarzająca dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Administrator decyduje samodzielnie o celach i środkach przetwarzania danych.

Administrator czy podmiot przetwarzający?

Obowiązki administratora

Administrator może zdecydować o tym czy:

  • przetwarzać dane samodzielnie,
  • upoważnić do przetwarzania danych inne osoby,
  • powierzyć przetwarzanie danych podmiotom zewnętrznym na podstawie umowy o przetwarzanie danych osobowych.
  • informacyjne,
  • związane z przetwarzaniem danych osobowych,
  • związane z zabezpieczaniem danych osobowych,
  • pozstałe.

Przetwarzanie danych osobowych

Pod pojęciem przetwarzania rozumie się jakiekolwiek operacje dokonywane na danych osobowych, przykładowo:

  • zbieranie danych,
  • utrwalanie danych,
  • przechowywanie danych,
  • zmienianie danych,
  • udostępnianie danych,
  • usuwanie danych.

Przetwarzaniem są także...

Techniki przetwarzania danych

Tradycyjne (ręczne, manualne)

  • wyłącznie zbieranie danych osobowych
  • wyłącznie przechowywanie danych osobowych bez żadnych innych operacji. Np. przechowywanie w celach archiwalnych,
  • jednorazowa operacja na danych jest traktowana jako przetwarzanie,
  • niszczenie danych to też jest przetwarzanie.

Elektroniczne

  • na kartkach,
  • skorowidzach,
  • księgach,
  • wykazach czy innych zbiorach ewidencyjnych.
  • w systemach informatycznych

Dane osobowe

Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

[art. 6. ust. 1. Ustawy o ochronie danych osobowych]

Osobą możliwą do zidentyfikowania jest osoba której tożsamość można określić bezpośrednio lub pośrednio.

[art. 6. ust. 2. Ustawy o ochronie danych osobowych]

Przykłady danych osobowych

Dane wrażliwe

Ustawa o ochronie danych osobowych nie zawiera katalogu danych osobowych

Mogą to być:

  • imię, nazwisko, adres,
  • NIP, PESEL,
  • DNA, linie papilarne, wzór siatkówki oka,
  • informacje o sytuacji finansowej osoby (stan zadłużenia, stan konta, zaległości),
  • podpisane zdjęcie,
  • adres e-mail, ale tylko wówczas gdy będzie zawierał takie informacje, gdy bez nadmiernych, kosztów, działań czy czasu możliwym będzie ustalenie tożsamości osoby.

To dane ujawniające:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub filozoficzne,
  • przynależność partyjną lub związkową,
  • stan zdrowia lub nałogi,
  • informacje dot. życia seksualnego,
  • informacje dot. skazań, orzeczeń i decyzji administracyjnych

Sankcje karne

Ustawa o ochronie danych osobowych przewiduje surową odpowiedzialność karną za nieprawidłowości w przetwarzaniu danych osobowych...

Udostępnianie danych osobom nieuprawnionym

Niezgłoszenie danych do rejestru

Naruszenie obowiązku zabezpieczenia danych

  • grzywna
  • ograniczenia wolności
  • pozbawienie wolności do roku
  • grzywna
  • ograniczenia wolności
  • pozbawienie wolności do lat dwóch
  • grzywna
  • ograniczenia wolności
  • pozbawienie wolności do roku

Ochrona danych osobowych

JWMS Jakubowski Wiese Mazgaj Staszek

radcowie prawni s.c.

Based on Jim Harvey's speech structures

Dziękuję za uwagę

JWMS Jakubowski Wiese Mazgaj Staszek

radcowie prawni s.c.

ul. Emaus 7/6

30-201 Kraków

biuro@jwms.pl

www.jwms.pl

Learn more about creating dynamic, engaging presentations with Prezi