Bezpieczeństwo informacji

Transkrypt

Bezpieczeństwo
informacji
Opracował:
Mariusz Hoffman
Akty prawne dotyczące przetwarzania i ochrony
danych osobowych:
Konstytucja Rzeczpospolitej Polskiej z dnia 2 kwietnia 1997 r.
(Dz. U. z 1997 r. Nr 78, poz. 483)
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. z 2002 r. Nr 101, poz. 926 ze zmian.)
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji
z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych
(Dz. U. z 2004 r. Nr 100, poz. 1024)
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji
z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia
zbioru do rejestracji Generalnemu Inspektorowi
Ochrony Danych Osobowych (Dz. U. z 2008 r. Nr 229, poz. 1536)
Bezpieczenstwo Informacji. Opr. Mariusz Hoffman
Jakie są sankcje karne za naruszanie
przepisów dotyczących ochrony danych osobowych?
Od dnia 7 marca 2011 r. zgodnie ze znowelizowanym art. 12 pkt 3 ustawy o ochronie danych
osobowych, GIODO może nakładać na podmioty, które nie wykonują jego decyzji administracyjnych
(np. decyzji nakazującej usunięcie wybranych naruszeń), grzywny w celu przymuszenia.
Grzywny egzekwowane są w trybie ustawy o postępowaniu egzekucyjnym w administracji. Zgodnie z
art. 121 ustawy o postępowaniu egzekucyjnym w administracji, wysokość grzywny wynosi:
dla osób prawnych do 50 000 zł za każde uchybienie, ale nie więcej niż 200 tys. zł w jednym
postępowaniu egzekucyjnym
dla osób fizycznych do 10 000 zł za każde uchybienie, ale nie więcej niż 50 tys. zł w jednym
postępowaniu egzekucyjnym
Oprócz powyższych sankcji możliwych do nałożenia w trybie administracyjnym, przetwarzanie danych
osobowych poza trybem określonym w ustawie jako przestępstwo jest zagrożone karą nawet do 2 lat
pozbawienia wolności, zgodnie z art. 49 ust. 1.
Jakie są sankcje karne za naruszanie
przepisów dotyczących ochrony danych osobowych?
Art. 49
1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania
nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne,
przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia,
kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do lat 3.
Art. 51
1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia
dostęp do nich osobom nieupoważnionym, podlega karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 52
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę
nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do roku
Zasady Bezpieczeństwa Informacji
Dane można wykorzystywać wyłącznie do celów, dla których zostały udostępnione.
Dokumenty zawierające informacje podlegające ochronie powinny być przechowywane
na biurku i innych miejscach do tego przeznaczonych, w taki sposób, aby osoba
nieuprawniona nie miała do nich dostępu.
Nośniki informacji (w formie papierowej i elektronicznej) z danymi podlegającymi
ochronie nie można pozostawiać w miejscach ogólnodostępnych i niezabezpieczonych
oraz nie należy udostępniać osobom nieupoważnionym.
Dokumenty wydrukowane w nadmiernej ilości, a także zawierające błędy lub, które nie
są wykorzystywane do żadnych celów należy trwale zniszczyć w sposób uniemożliwiający
odtworzenie treści.
Dane osobowe – wyjaśnienie pojęcia
Danymi osobowymi - są wszelkie informacje dotyczące zidentyfikowanej
lub możliwej do zidentyfikowania osoby fizycznej.
•
•
•
•
•
•
•
•
•
•
imię
nazwisko
adres zamieszkania
PESEL
NIP
numer i seria dowodu osobistego
wykształcenie
zawód
płeć
numer telefonu
Dane zwykłe
•
•
•
•
•
•
•
•
•
•
•
pochodzenie rasowe lub etniczne
poglądy polityczne
przekonania religijne lub filozoficzne
przynależność wyznaniowa, partyjna lub
związkowa
stan zdrowia
kod genetyczny
nałogi
życie seksualne
skazania
orzeczenia o ukaraniu
mandaty, orzeczenia wydane przed sądem lub
urzędem
Dane wrażliwe
(sensytywne, szczególnie chronione)
Przewarzanie danych osobowych – wyjaśnienie pojęcia
Przetwarzanie danych osobowych to wszystkie operacje, jakim
poddawane są informacje, w szczególności:
•
•
•
•
•
•
•
•
zbieranie (gromadzenie)
przechowywanie
udostępnianie
zmienianie
przekazywanie
utrwalanie
opracowywanie
usuwanie (niszczenie, modyfikacja).
Gdzie są przetwarzane dane osobowe?
w kartotekach,
skorowidzach, księgach, wykazach
i w innych zbiorach ewidencyjnych
w systemach
informatycznych,
także w przypadku przetwarzania
danych poza zbiorem danych
Warunki przetwarzania danych osobowych
Pracownik może przetwarzać dane, tylko i wyłącznie w sytuacji, gdy:
posiada pisemne upoważnienie do przetwarzania danych osobowych;
jest umieszczony w Ewidencji Osób Upoważnionych do przetwarzania danych;
w celu i zakresie wskazanym w upoważnieniu;
przez okres na jaki upoważnienie zostało udzielone.
Uwaga!
Pracownicy upoważnieni do przetwarzania danych osobowych są zobowiązani do
ochrony danych zarówno w trakcie trwania zatrudnienia, jak i po jego ustaniu.
Prawa osób, których dane są przetwarzane
1. Prawo do informacji i kontroli przetwarzanych danych przysługujące osobie, której dane
dotyczą.
2. Prawo do poprawiania danych, aktualizacji, żądania wstrzymania ich przetwarzania lub
ich usunięcia.
3. Prawo do wniesienia sprzeciwu.
4. Prawo zaprzestania przetwarzania danych ze względu na szczególną sytuację osoby.
Jakie są podstawy prawne
do przetwarzania danych osobowych?
osoba, której dane dotyczą, wyrazi na to ZGODĘ, chyba, że chodzi o usunięcie danych
niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego
z przepisu prawa
konieczne do realizacji umowy, gdy osoba, której dane dotyczą,
jest jej stroną lub gdy jest to niezbędne do podjęcia działań
przed zawarciem umowy na żądanie osoby,
której dane dotyczą
niezbędne do wykonania określonych prawem zadań
realizowanych dla dobra publicznego
niezbędne dla wypełnienia prawnie usprawiedliwionych
celów realizowanych przez administratorów danych
albo odbiorców danych, a przetwarzanie nie narusza
praw i wolności osoby, której dane dotyczą
Osoby odpowiedzialne za przetwarzanie danych
Administrator danych- to organ, instytucja, jednostka organizacyjna, podmiot
lub osoba określająca cel i środki przetwarzania
danych osobowych;
Obowiązki AD:
Opracowanie i wdrożenie Polityki bezpieczeństwa.
Opracowanie i wdrożenie Instrukcji zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych.
Wyznaczenie administratora bezpieczeństwa informacji;
Sprawdzenie funkcjonujących aplikacji i systemów informatycznych pod
względem wymagań określonych w stosownych przepisach.
Wdrożenie upoważnień do przetwarzania danych osobowych.
Prowadzenie ewidencji osób upoważnionych do przetwarzania danych
osobowych.
Przeprowadzenie postępowań rejestracyjnych zbiorów danych osobowych.
AD
Administrator Bezpieczeństwa Informacji - wyznaczony przez AD pracownik
odpowiedzialny za bezpieczeństwo danych
osobowych;
ABI
Podstawowym obowiązkiem będzie zapewnienie przestrzegania przepisów o ochronie
danych osobowych, w szczególności poprzez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych
osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób
przetwarzania danych i środki techniczne oraz organizacyjne zapewniające jej ochronę
i przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych
z przepisami o ochronie danych osobowych.
Do obowiązków ABI należy też prowadzenie rejestru zbioru danych przetwarzanych przez
administratora danych. ABI powinien też być przygotowany na to, że może się do niego
zwrócić GIODO z żądaniem dokonania sprawdzenia zgodności przetwarzania danych
osobowych z przepisami o ochronie danych osobowych. W takim przypadku po dokonaniu
sprawdzenia ABI opracowuje sprawozdanie, które za pośrednictwem administratora danych
przekazywane jest GIODO.
Administrator Bezpieczeństwa Informacji - wyznaczony przez AD pracownik
odpowiedzialny za bezpieczeństwo danych
osobowych;
ABI
Administratorem Bezpieczeństwa Informacji nie musi być pracownik firmy,
może to być inna osoba fizyczna, jednak wyznaczona z imienia i nazwiska.
Administrator danych osobowych musi mieć wpływ na działania ABI, czyli
musi wiązać strony umowa - może to być także umowa między dwoma
firmami, jednak ABI musi być wskazany z imienia i nazwiska.
Dzięki powołaniu ABI nie trzeba już zgłaszać zbiorów danych do
rejestracji w GIODO. Zamiast tego jawny rejestr prowadzi ABI.
Polityka Bezpieczeństwa Informacji
Polityka bezpieczeństwa, zawiera w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar,
w którym przetwarzane są dane osobowe;
2)
wykaz zbiorów danych osobowych wraz ze wskazaniem programów
zastosowanych do przetwarzania tych danych;
3)
opis struktury zbiorów danych wskazujący zawartość poszczególnych pól
informacyjnych i powiązania między nimi;
4)
sposób przepływu danych pomiędzy poszczególnymi systemami;
5)
określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych.
[email protected]
Tel. 12 278-75-01
Bezpieczenstwo Informacji. Opr.
Mariusz Hoffman
601 086 811

Bezpieczeństwo informacji

Transkrypt

Podobne dokumenty

I Salonowe Spotkanie z Historią

Salon Hoffman już otwarty!

Salon Hoffman

ładowarka sieciowa usb m-life ml0002

Mariusz Stajszczak - Realizacje BestNetSolution

owoce warzywa kwiaty

Gobeliny Marii Hoffman ZMIANA TERMINU