Obowiązki serwisów AGD w zakresie bezpieczeństwa baz danych
Transkrypt
Obowiązki serwisów AGD w zakresie bezpieczeństwa baz danych
PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD Agnieszka Wiercińska-Krużewska 15 września 2016 r. Przepisy prawa i przydatne informacje • ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych • rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych • Unijne rozporządzenie o ochronie danych osobowych nr 2016/679 (będzie stosowane od 25 maja 2018 r.) • Strona eduGIODO: https://edugiodo.giodo.gov.pl/ • Strona GIODO – odpowiedzi na pytania: http://www.giodo.gov.pl/266/ Definicja danych osobowych Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej Osoba możliwa do zidentyfikowania to osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na specyficzne czynniki określające jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne Informacje o osobach fizycznych – przedsiębiorcach oraz spółkach cywilnych są danymi osobowymi, przy czym do danych ujawnionych w CEiDG stosuje się tylko wybrane części ustawy o ochronie danych osobowych (dotyczące zabezpieczania danych) Przykłady danych osobowych Imię i nazwisko Numer IP Numer telefonu Adres pocztowy Adres email Inne definicje dotyczące danych osobowych Zbiór danych osobowych Każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów Przetwarzanie danych Jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie Administrator danych Podmiot decydujący o celach i środkach przetwarzania danych Podmiot przetwarzający Podmiot, który przetwarza dane osobowe na zlecenie administratora, na podstawie pisemnej umowy, wyłącznie w celach wskazanych w tej umowie Administrator bezpieczeństwa informacji (ABI) Osoba wyznaczona w danej organizacji do zapewniania przestrzegania przepisów o ochronie danych Główne zasady przetwarzania danych osobowych zasada ochrony interesów osoby, której dane dotyczą zasada adekwatności danych (dane muszą być aktualne, prawdziwe i przydatne z punktu widzenia celu ich przetwarzania) stosowanie czterech elementarnych filarów przetwarzania danych Filary zgodnego z prawem przetwarzania danych osobowych A. Podstawy prawne przetwarzania danych (np. za zgodą, w celu zawarcia i wykonania umowy, na podstawie przepisów prawa) B. Obowiązki informacyjne (należy poinformować osoby, których dane są przetwarzane o przetwarzaniu ich danych osobowych) C. Zabezpieczenie danych osobowych D. Zgłoszenie zbioru danych osobowych do rejestracji (z wyjątkami) A B C D Dane osobowe klientów w serwisach sprzętu AGD Dane przechowywane w sprzęcie AGD oddawanym do naprawy Dane otrzymywane bezpośrednio od klientów Dane otrzymywane od producentów sprzętu AGD Dane osobowe klientów w posiadaniu serwisów sprzętu AGD Dane osobowe klientów w serwisach sprzętu AGD Zbieranie danych osobowych Klient serwisu Powierzenie przetwarzania danych osobowych Producent/dystrybutor sprzętu (administrator danych klientów) Przekazanie danych w związku z naprawą sprzętu (np. w karcie naprawy sprzętu) Pisemna umowa powierzenia przetwarzania danych Serwis jest administratorem danych osobowych klienta Serwis jest podmiotem przetwarzającym dane osobowe na zlecenie producenta (administratora) w związku z wykonywaniem naprawy sprzętu Dane otrzymywane bezpośrednio od klientów Dane otrzymywane bezpośrednio od klientów • Serwis jest administratorem danych osobowych klientów • Serwis ponosi odpowiedzialność za odpowiednie przetwarzanie danych osobowych • Przetwarzanie danych zgodnie z celem ich zebrania • Serwis powinien poinformować klientów (np. w dokumencie przyjęcia sprzętu do naprawy) • że jest administratorem ich danych osobowych • o swoim adresie • o celu przetwarzania danych • o prawach klienta związanych z przetwarzaniem danych • Odpowiednie zabezpieczanie danych osobowych • Jeżeli dane osobowe klienta są zbierane do celów wykonania naprawy, to nie ma konieczności uzyskiwania zgody klienta na przetwarzanie danych osobowych Dane zawarte w sprzęcie oddawanym do naprawy • W niektórych nowoczesnych (inteligentnych) urządzeniach AGD przechowywane są dane osobowe ich użytkowników • Dane te nie powinny być odczytywane lub kopiowane przez serwisy AGD, chyba że jest to niezbędne do wykonanie naprawy • Dane nie mogą być wykorzystywane w innych celach niż wykonanie naprawy • Jeżeli zachodzi potrzeba usunięcia danych z urządzenia, to w miarę możliwości należy o tym poinformować klienta Dane otrzymywane od producentów sprzętu AGD • Serwisy otrzymują dane osobowe klientów od producentów sprzętu AGD najczęściej na podstawie umowy powierzenia przetwarzania danych osobowych • Umowa powierzenia przetwarzania danych powinna być zawarta na piśmie • Administratorem danych osobowych jest producent • Serwisy nie mogą przetwarzać danych osobowych w innych celach niż to wynika z umowy (np. we własnych celach marketingowych) • Dane muszą być zwrócone lub usunięte na żądanie producenta (administratora danych) Zgłoszenie zbioru danych do GIODO • zbiory danych zgłaszają administratorzy danych • wyjątki od obowiązku zgłoszenia zbiorów • gdy dane są przetwarzane tylko w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej jeżeli dane są przetwarzane także w innych celach, np. marketingowych trzeba zgłosić zbiór danych • zbiory danych pracowników i osób świadczących usługi (np. na umowie zlecenia) • gdy powołany został administratora bezpieczeństwa informacji (ABI) - tj. osoba odpowiedzialna za zapewnianie przestrzegania przepisów o ochronie danych w organizacji • wniosek zgłoszenia zbioru danych jest dostępny na stronie GIODO: https://egiodo.giodo.gov.pl/personal_data_register.dhtml • można go wypełnić przez Internet, a następnie wydrukować, podpisać i wysłać pocztą do GIODO Zabezpieczanie danych osobowych • Polityka bezpieczeństwa • Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych • Upoważnienia do przetwarzania danych osobowych • Ewidencja osób upoważnionych do przetwarzania danych • Dokumenty i procedury są obowiązkowe dla wszystkich podmiotów, które przetwarzają dane osobowe • Dokumenty i procedury potrzebne także w odniesieniu do zbiorów danych pracowników i innych zbiorów danych Polityka bezpieczeństwa • Elementy polityki bezpieczeństwa • wykaz budynków i pomieszczeń, w których przetwarzane są dane osobowe • wykaz zbiorów danych osobowych wraz ze wskazaniem programów stosowanych do przetwarzania tych danych • opis struktury zbiorów danych • sposób przepływu danych pomiędzy poszczególnymi systemami • środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych • Wskazówki praktyczne dotyczące przygotowania polityki bezpieczeństwa na stronie GIODO: https://edugiodo.giodo.gov.pl/mod/resource/view.php?id=39 Instrukcja zarządzania systemem informatycznym • Wybrane elementy instrukcji • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym stosowane metody i środki uwierzytelnienia • procedury tworzenia kopii zapasowych zbiorów danych • sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych • sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji • Wskazówki praktyczne dotyczące przygotowania instrukcji na stronie GIODO: https://edugiodo.giodo.gov.pl/mod/resource/view.php?id=39 Kontrola GIODO • GIODO nie nakłada kar finansowych za niezgodne z prawem przetwarzania danych • GIODO wydaje decyzje, w których nakazuje przywrócenie stanu zgodnego z prawem • np: zastosowanie dodatkowych środków zabezpieczających, usunięcie danych, zawarcie umowy powierzenia przetwarzania danych na piśmie • Tylko w przypadku, gdy decyzja GIODO nie zostanie wykonana, GIODO może nałożyć grzywnę w celu przymuszenia przedsiębiorcy do wykonania decyzji • W przypadku osób fizycznych wysokość grzywny wynosi do 10 tys. zł, a osób prawnych – do 50 tys. zł Unijne rozporządzenie o ochronie danych osobowych nr 2016/679 • Rozporządzenie będzie stosowane od 25 maja 2018 r. • Zastąpi polską ustawę o ochronie danych osobowych • Nie będzie tak szczegółowych przepisów o zabezpieczaniu danych ani obowiązku zgłaszania zbiorów danych do rejestracji • Będą surowe kary za nieprzestrzeganie przepisów o ochronie danych osobowych, np. za przetwarzanie danych bez podstawy prawnej, za brak informowania osób, których dane się przetwarza, o przetwarzaniu ich danych • Kary będą nakładane w wysokości nawet do 20 mln euro albo do 4% rocznego światowego obrotu z poprzedniego roku • Wysokość kar będzie się różnić w zależności od np. wagi i czasu trwania naruszenia, umyślności naruszenia, poprzednich naruszeń prawa ochrony danych DANE KONTAKTOWE Agnieszka Wiercińska-Krużewska adwokat, starszy partner Tel. +48 22 201 00 00 Email: [email protected] WKB Wierciński, Kwieciński, Baehr Sp.k. Warszawa ul. Polna 11 00-633 Warszawa Tel. +48 22 201 00 00 Poznań ul. Paderewskiego 7 61-770 Poznań Tel. +48 61 855 32 20 [email protected] www.wkb.com.pl