iSecure logo
Blog

Zmiany w ustawie o ochronie danych osobowych

Kategorie

1 stycznia 2015 r. weszły w życie istotne dla administratorów danych zmiany w ustawie o ochronie danych osobowych. Nowelizacja ta została wprowadzona ustawą z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. 2014 r. poz. 1662). Zmiany dotyczą funkcji Administratora Bezpieczeństwa Informacji (ABI), obowiązku rejestracji w GIODO zbiorów danych osobowych oraz przekazywania danych osobowych do państw trzecich. Poniżej przedstawione są szczegóły wprowadzonych w ustawie zmian:

  • Wprowadzone zostają warunki, jakie musi spełniać osoba, aby mogła być powołana do pełnienia funkcji ABI. Administratorem bezpieczeństwa informacji może być osoba, która:

1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.

 

  • Administrator danych może powołać zastępców ABI, którzy muszą spełniać te same warunki, co ABI.
  • GIODO będzie prowadził jawny rejestr Administratorów Bezpieczeństwa Informacji.
  • Wprost w ustawie określone zostały szczegółowe obowiązki ABI. Do zadań administratora bezpieczeństwa informacji należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

1) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
2) nadzorowanie opracowania i aktualizowania dokumentacji opisującej przetwarzanie danych osobowych oraz przestrzegania zasad w niej określonych,
3) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

 

  • Sprawdzenie (audyt), o którym mowa w pkt. 1, powyżej będzie dokonywane przez ABI przynajmniej raz w roku. Szczegóły dotyczące sposobu przeprowadzenia sprawdzenia określi rozporządzenie wydane przez Ministra Administracji i Cyfryzacji.
  • Sprawozdanie ze sprawdzenia powinno zawierać m.in.:

1) wykaz czynności podjętych przez Administratora Bezpieczeństwa Informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;
2) określenie przedmiotu i zakresu sprawdzenia;
3) opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
4) stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem.

 

  • GIODO będzie mógł zlecić ABI przeprowadzenie sprawdzenia ad hoc w zakresie i terminie określonym przez GIODO (co nie będzie wyłączało możliwości przeprowadzenia kontroli przez GIODO).
  • ABI będzie prowadził jawny rejestr zbiorów danych przetwarzanych przez administratora danych. Sposób prowadzenia rejestru określi rozporządzenie wydane przez Ministra Administracji i Cyfryzacji.
  • Administrator Bezpieczeństwa Informacji będzie podlegał bezpośrednio administratorowi danych.
  • Administrator danych ma zapewnić środki i organizacyjną odrębność ABI, niezbędne do niezależnego wykonywania obowiązków przez ABI.
  • Wykonywanie innych obowiązków będzie mogło być powierzone osobie pełniącej funkcję Administratora Bezpieczeństwa Informacji tylko wtedy, gdy nie naruszy to prawidłowego wykonywania zadań ABI.
  • Z obowiązku rejestracji w GIODO wyłączone będą zbiory danych zwykłych przetwarzane wyłącznie w formie papierowej.
  • Z obowiązku rejestracji w GIODO wyłączone będą zbiory danych zwykłych przetwarzane przez administratorów danych, którzy powołają ABI zgodnie z nowymi wymogami i zgłoszą go do rejestracji w GIODO.
  • Przekazywanie danych osobowych do państw trzecich nie będzie wymagało zgody GIODO, jeżeli administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez:

1) standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską;
2) prawnie wiążące reguły lub polityki ochrony danych osobowych, zwane dalej „wiążącymi regułami korporacyjnymi”, które zostały zatwierdzone przez GIODO.

 

UWAGA: Dotychczasowy Administrator Bezpieczeństwa Informacji może pełnić swoją funkcję do czasu zgłoszenia go do rejestru ABI prowadzonego przez GIODO, co powinno nastąpić najpóźniej do dnia 30 czerwca 2015 r.

Podobne wpisy:

Pobieraczek.pl ukarany przez UOKiK

Pobieraczek.pl ukarany przez UOKiK

Przy okazji realizacji jednego z projektów miałem okazję dość szczegółowo zapoznać się z portalem pobieraczek.pl, o którym od dłuższego czasu jest dość głośno w Internecie. Akurat wczoraj w ich sprawie została wydana decyzja Urzędu Ochrony Konkurencji i Konsumentów, która nakłada na firmę Eller Services z Gdańska (operatora pobieraczek.pl) karę finansową wynoszącą prawie 240 tyś. zł.

Jeszcze raz o nowelizacji

Jeszcze raz o nowelizacji

Tak jak pisałem ostatnio, wszystko wskazuje na to, że lada chwila nowelizacja ustawy o ochronie danych osobowych stanie się faktem. W oczekiwaniu na nią, chciałbym polecić zapoznanie się z tą wersją noweli, która została przekazana przez Sejm do Senatu – można ją pobrać tutaj.
Jednocześnie warto też sięgnąć po uchwałę Senatu, z której wynika, że zostały zgłoszone do pierwotnego tekstu pewne poprawki.

Bezpieczny marketing w drugim numerze Prevent Magazine

Bezpieczny marketing w drugim numerze Prevent Magazine

Parę dni temu swoją premierę miał drugi numer wydawanego przez nas kwartalnika Prevent Magazine. Jeśli ktoś jeszcze nie miał okazji się z nim zapoznać, warto nadrobić zaległości, gdyż skupiliśmy się na bardzo ciekawej tematyce w naszym przekonaniu. Piszemy o marketingu, ale przez pryzmat bezpieczeństwa. O ile niemal każdy marketer wie jak zorganizować kampanię e-mailingową czy sms’ową, o tyle nie każdy dysponuje wiedzą jak to zrobić, by odbyło się to w sposób w pełni zgodny z obowiązującymi przepisami i dobrymi praktykami.

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki