iSecure logo
Blog

Zmiany w ustawie o ochronie danych osobowych

Kategorie

1 stycznia 2015 r. weszły w życie istotne dla administratorów danych zmiany w ustawie o ochronie danych osobowych. Nowelizacja ta została wprowadzona ustawą z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. 2014 r. poz. 1662). Zmiany dotyczą funkcji Administratora Bezpieczeństwa Informacji (ABI), obowiązku rejestracji w GIODO zbiorów danych osobowych oraz przekazywania danych osobowych do państw trzecich. Poniżej przedstawione są szczegóły wprowadzonych w ustawie zmian:

  • Wprowadzone zostają warunki, jakie musi spełniać osoba, aby mogła być powołana do pełnienia funkcji ABI. Administratorem bezpieczeństwa informacji może być osoba, która:

1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.

 

  • Administrator danych może powołać zastępców ABI, którzy muszą spełniać te same warunki, co ABI.
  • GIODO będzie prowadził jawny rejestr Administratorów Bezpieczeństwa Informacji.
  • Wprost w ustawie określone zostały szczegółowe obowiązki ABI. Do zadań administratora bezpieczeństwa informacji należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

1) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
2) nadzorowanie opracowania i aktualizowania dokumentacji opisującej przetwarzanie danych osobowych oraz przestrzegania zasad w niej określonych,
3) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

 

  • Sprawdzenie (audyt), o którym mowa w pkt. 1, powyżej będzie dokonywane przez ABI przynajmniej raz w roku. Szczegóły dotyczące sposobu przeprowadzenia sprawdzenia określi rozporządzenie wydane przez Ministra Administracji i Cyfryzacji.
  • Sprawozdanie ze sprawdzenia powinno zawierać m.in.:

1) wykaz czynności podjętych przez Administratora Bezpieczeństwa Informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;
2) określenie przedmiotu i zakresu sprawdzenia;
3) opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
4) stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem.

 

  • GIODO będzie mógł zlecić ABI przeprowadzenie sprawdzenia ad hoc w zakresie i terminie określonym przez GIODO (co nie będzie wyłączało możliwości przeprowadzenia kontroli przez GIODO).
  • ABI będzie prowadził jawny rejestr zbiorów danych przetwarzanych przez administratora danych. Sposób prowadzenia rejestru określi rozporządzenie wydane przez Ministra Administracji i Cyfryzacji.
  • Administrator Bezpieczeństwa Informacji będzie podlegał bezpośrednio administratorowi danych.
  • Administrator danych ma zapewnić środki i organizacyjną odrębność ABI, niezbędne do niezależnego wykonywania obowiązków przez ABI.
  • Wykonywanie innych obowiązków będzie mogło być powierzone osobie pełniącej funkcję Administratora Bezpieczeństwa Informacji tylko wtedy, gdy nie naruszy to prawidłowego wykonywania zadań ABI.
  • Z obowiązku rejestracji w GIODO wyłączone będą zbiory danych zwykłych przetwarzane wyłącznie w formie papierowej.
  • Z obowiązku rejestracji w GIODO wyłączone będą zbiory danych zwykłych przetwarzane przez administratorów danych, którzy powołają ABI zgodnie z nowymi wymogami i zgłoszą go do rejestracji w GIODO.
  • Przekazywanie danych osobowych do państw trzecich nie będzie wymagało zgody GIODO, jeżeli administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez:

1) standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską;
2) prawnie wiążące reguły lub polityki ochrony danych osobowych, zwane dalej „wiążącymi regułami korporacyjnymi”, które zostały zatwierdzone przez GIODO.

 

UWAGA: Dotychczasowy Administrator Bezpieczeństwa Informacji może pełnić swoją funkcję do czasu zgłoszenia go do rejestru ABI prowadzonego przez GIODO, co powinno nastąpić najpóźniej do dnia 30 czerwca 2015 r.

Podobne wpisy:

Wspomnienia ze Spodka 2.0

Wspomnienia ze Spodka 2.0

Co prawda Spodek 2.0 w swej 10 odsłonie już za nami, niemniej warto zapoznać się z dwoma relacjami z tej imprezy. Pierwsza z nich dostępna jest na stronach mmsilesia.pl, druga zaś na seoparty.net. Do obejrzenia są również zdjęcia: tutaj i tutaj.

Jeszcze raz o nowelizacji

Jeszcze raz o nowelizacji

Tak jak pisałem ostatnio, wszystko wskazuje na to, że lada chwila nowelizacja ustawy o ochronie danych osobowych stanie się faktem. W oczekiwaniu na nią, chciałbym polecić zapoznanie się z tą wersją noweli, która została przekazana przez Sejm do Senatu – można ją pobrać tutaj.
Jednocześnie warto też sięgnąć po uchwałę Senatu, z której wynika, że zostały zgłoszone do pierwotnego tekstu pewne poprawki.

Wniosek rejestracyjny do GIODO

Wniosek rejestracyjny do GIODO

Przed nami długi majowy weekend, a to oznacza być może nieco więcej czasu. Dlatego też zapraszam do trochę dłuższej notki poświęconej wnioskom rejestracyjnym do GIODO. Wypełniając nowy wniosek, na początek musimy zdecydować czy rejestrujemy nowy zbiór, w którym przetwarzane są dane zwykłe (zgłoszenie na podstawie art. 40 UODO) czy też wrażliwe (zgłoszenie danych przetwarzanych na podstawie jednej z przesłanek wskazanych w art. 27 UODO). Natomiast jeżeli nasze zgłoszenie ma na celu dokonanie aktualizacji istniejącego już zbioru, wówczas zaznaczamy opcję nr 2, gdzie mowa jest o aktualizacji z art. 41 ust. 2 UODO.

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki