iSecure logo
Blog

Zmiany w ustawie o ochronie danych osobowych

Michał Sztąberek
Kategorie

1 stycznia 2015 r. weszły w życie istotne dla administratorów danych zmiany w ustawie o ochronie danych osobowych. Nowelizacja ta została wprowadzona ustawą z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. 2014 r. poz. 1662). Zmiany dotyczą funkcji Administratora Bezpieczeństwa Informacji (ABI), obowiązku rejestracji w GIODO zbiorów danych osobowych oraz przekazywania danych osobowych do państw trzecich. Poniżej przedstawione są szczegóły wprowadzonych w ustawie zmian:

  • Wprowadzone zostają warunki, jakie musi spełniać osoba, aby mogła być powołana do pełnienia funkcji ABI. Administratorem bezpieczeństwa informacji może być osoba, która:

1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.

 

  • Administrator danych może powołać zastępców ABI, którzy muszą spełniać te same warunki, co ABI.
  • GIODO będzie prowadził jawny rejestr Administratorów Bezpieczeństwa Informacji.
  • Wprost w ustawie określone zostały szczegółowe obowiązki ABI. Do zadań administratora bezpieczeństwa informacji należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

1) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
2) nadzorowanie opracowania i aktualizowania dokumentacji opisującej przetwarzanie danych osobowych oraz przestrzegania zasad w niej określonych,
3) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

 

  • Sprawdzenie (audyt), o którym mowa w pkt. 1, powyżej będzie dokonywane przez ABI przynajmniej raz w roku. Szczegóły dotyczące sposobu przeprowadzenia sprawdzenia określi rozporządzenie wydane przez Ministra Administracji i Cyfryzacji.
  • Sprawozdanie ze sprawdzenia powinno zawierać m.in.:

1) wykaz czynności podjętych przez Administratora Bezpieczeństwa Informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;
2) określenie przedmiotu i zakresu sprawdzenia;
3) opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
4) stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem.

 

  • GIODO będzie mógł zlecić ABI przeprowadzenie sprawdzenia ad hoc w zakresie i terminie określonym przez GIODO (co nie będzie wyłączało możliwości przeprowadzenia kontroli przez GIODO).
  • ABI będzie prowadził jawny rejestr zbiorów danych przetwarzanych przez administratora danych. Sposób prowadzenia rejestru określi rozporządzenie wydane przez Ministra Administracji i Cyfryzacji.
  • Administrator Bezpieczeństwa Informacji będzie podlegał bezpośrednio administratorowi danych.
  • Administrator danych ma zapewnić środki i organizacyjną odrębność ABI, niezbędne do niezależnego wykonywania obowiązków przez ABI.
  • Wykonywanie innych obowiązków będzie mogło być powierzone osobie pełniącej funkcję Administratora Bezpieczeństwa Informacji tylko wtedy, gdy nie naruszy to prawidłowego wykonywania zadań ABI.
  • Z obowiązku rejestracji w GIODO wyłączone będą zbiory danych zwykłych przetwarzane wyłącznie w formie papierowej.
  • Z obowiązku rejestracji w GIODO wyłączone będą zbiory danych zwykłych przetwarzane przez administratorów danych, którzy powołają ABI zgodnie z nowymi wymogami i zgłoszą go do rejestracji w GIODO.
  • Przekazywanie danych osobowych do państw trzecich nie będzie wymagało zgody GIODO, jeżeli administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez:

1) standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską;
2) prawnie wiążące reguły lub polityki ochrony danych osobowych, zwane dalej „wiążącymi regułami korporacyjnymi”, które zostały zatwierdzone przez GIODO.

 

UWAGA: Dotychczasowy Administrator Bezpieczeństwa Informacji może pełnić swoją funkcję do czasu zgłoszenia go do rejestru ABI prowadzonego przez GIODO, co powinno nastąpić najpóźniej do dnia 30 czerwca 2015 r.

Podobne wpisy:

O regulaminach sklepów internetowych w TVN CNBC
Michał Sztąberek

O regulaminach sklepów internetowych w TVN CNBC

O klauzulach niedozwolonych, elementach składowych regulaminów dla sklepów internetowych oraz o tym na jakich przepisach prawa opiera się prowadzenie handlu w internecie miał ostatnio okazję opowiadać Michał Sztąberek, Prezes iSecure, w programie “Blajer mówi: Biznes” w telewizji TVN CNBC. Zapraszam serdecznie do oglądania.

Prevent Magazine - zaprenumeruj już dziś
Michał Sztąberek

Prevent Magazine – zaprenumeruj już dziś

Już 15 maja bieżącego roku na świat przyjdzie nasze długo wyczekiwane dziecko – Prevent Magazine, a iSecure stanie się, oprócz firmy doradczej, także wydawnictwem.

Adres IP daną osobową
Michał Sztąberek

Adres IP daną osobową

Sporo się o tym dyskutuje, bo zagadnienie jest mocno kontrowersyjne. Chodzi oczywiście o zaklasyfikowanie adresu IP jako danej osobowej w rozumieniu ustawy o ochronie danych osobowych. Ostatnio głos w tej sprawie zabrał wojewódzki sąd administracyjny i w swym orzeczeniu potwierdził już to co wcześniej twierdziło GIODO – adres IP jest daną osobową. Krótką informację na ten temat można przeczytać na stronie internetowej “Gazety Wyborczej”.