iSecure logo
Blog

Zmiany w ustawie o ochronie danych osobowych

Michał Sztąberek
Kategorie

1 stycznia 2015 r. weszły w życie istotne dla administratorów danych zmiany w ustawie o ochronie danych osobowych. Nowelizacja ta została wprowadzona ustawą z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. 2014 r. poz. 1662). Zmiany dotyczą funkcji Administratora Bezpieczeństwa Informacji (ABI), obowiązku rejestracji w GIODO zbiorów danych osobowych oraz przekazywania danych osobowych do państw trzecich. Poniżej przedstawione są szczegóły wprowadzonych w ustawie zmian:

  • Wprowadzone zostają warunki, jakie musi spełniać osoba, aby mogła być powołana do pełnienia funkcji ABI. Administratorem bezpieczeństwa informacji może być osoba, która:

1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.

 

  • Administrator danych może powołać zastępców ABI, którzy muszą spełniać te same warunki, co ABI.
  • GIODO będzie prowadził jawny rejestr Administratorów Bezpieczeństwa Informacji.
  • Wprost w ustawie określone zostały szczegółowe obowiązki ABI. Do zadań administratora bezpieczeństwa informacji należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

1) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
2) nadzorowanie opracowania i aktualizowania dokumentacji opisującej przetwarzanie danych osobowych oraz przestrzegania zasad w niej określonych,
3) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

 

  • Sprawdzenie (audyt), o którym mowa w pkt. 1, powyżej będzie dokonywane przez ABI przynajmniej raz w roku. Szczegóły dotyczące sposobu przeprowadzenia sprawdzenia określi rozporządzenie wydane przez Ministra Administracji i Cyfryzacji.
  • Sprawozdanie ze sprawdzenia powinno zawierać m.in.:

1) wykaz czynności podjętych przez Administratora Bezpieczeństwa Informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;
2) określenie przedmiotu i zakresu sprawdzenia;
3) opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
4) stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem.

 

  • GIODO będzie mógł zlecić ABI przeprowadzenie sprawdzenia ad hoc w zakresie i terminie określonym przez GIODO (co nie będzie wyłączało możliwości przeprowadzenia kontroli przez GIODO).
  • ABI będzie prowadził jawny rejestr zbiorów danych przetwarzanych przez administratora danych. Sposób prowadzenia rejestru określi rozporządzenie wydane przez Ministra Administracji i Cyfryzacji.
  • Administrator Bezpieczeństwa Informacji będzie podlegał bezpośrednio administratorowi danych.
  • Administrator danych ma zapewnić środki i organizacyjną odrębność ABI, niezbędne do niezależnego wykonywania obowiązków przez ABI.
  • Wykonywanie innych obowiązków będzie mogło być powierzone osobie pełniącej funkcję Administratora Bezpieczeństwa Informacji tylko wtedy, gdy nie naruszy to prawidłowego wykonywania zadań ABI.
  • Z obowiązku rejestracji w GIODO wyłączone będą zbiory danych zwykłych przetwarzane wyłącznie w formie papierowej.
  • Z obowiązku rejestracji w GIODO wyłączone będą zbiory danych zwykłych przetwarzane przez administratorów danych, którzy powołają ABI zgodnie z nowymi wymogami i zgłoszą go do rejestracji w GIODO.
  • Przekazywanie danych osobowych do państw trzecich nie będzie wymagało zgody GIODO, jeżeli administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez:

1) standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską;
2) prawnie wiążące reguły lub polityki ochrony danych osobowych, zwane dalej „wiążącymi regułami korporacyjnymi”, które zostały zatwierdzone przez GIODO.

 

UWAGA: Dotychczasowy Administrator Bezpieczeństwa Informacji może pełnić swoją funkcję do czasu zgłoszenia go do rejestru ABI prowadzonego przez GIODO, co powinno nastąpić najpóźniej do dnia 30 czerwca 2015 r.

Podobne wpisy:

Michał Sztąberek

Outsourcing – czyli przekazywanie na zewnątrz (nie)tylko zadań własnych

Od blisko dziesięciu lat w Polsce rozwija się rynek outsourcingowy (ang. outside-resource-using), dzięki takim atutom jak: bliskość kulturowa z krajami Zachodu, wysoki poziom edukacji, a także szeroki zakres znajomości języków obcych, obecnie możemy swobodnie konkurować nie tylko z podmiotami z obszaru Europy Środkowo – Wschodniej, ale również z krajów Azji.

Wspomnienia ze Spodka 2.0
Michał Sztąberek

Wspomnienia ze Spodka 2.0

Co prawda Spodek 2.0 w swej 10 odsłonie już za nami, niemniej warto zapoznać się z dwoma relacjami z tej imprezy. Pierwsza z nich dostępna jest na stronach mmsilesia.pl, druga zaś na seoparty.net. Do obejrzenia są również zdjęcia: tutaj i tutaj.

Gdy nastąpił wyciek danych
Michał Sztąberek

Gdy nastąpił wyciek danych

Tak naprawdę ciężko jest sprawdzić czy z danej firmy wyciekły dane osobowe. Najczęściej informacje o wycieku ogłasza albo sama firma albo dowiadujemy się o tym z mediów. Jeżeli firma przykłada wagę do kwestii związanych z prywatnością to dobrą praktyką byłoby niewątpliwie poinformowanie osób, których dane wyciekły o takim fakcie, a także wskazaniu co taka osoba powinna zrobić np. zmienić hasło dostępowe, zastrzec kartę kredytową etc.