Wnioski i perspektywy dla przedsiębiorstw po najnowszych zmianach w polskiej ustawie o ochronie danych osobowych

Transkrypt

1 KRAJOWA KONFERENCJA OCHRONY DANYCH Wnioski i perspektywy dla przedsiębiorstw po najnowszych zmianach w polskiej ustawie o ochronie danych osobowych Prowadzący mec. Jakub Wezgraj 1

2 Czy znacie Państwo aktualną sytuację swojej organizacji w obszarze ochrony danych osobowych? Czy najwyższa kadra zarządzająca w Państwa organizacji otrzymuje okresowe raporty/sprawozdania wskazujące stan spełnienia wymogów prawa z zakresu ochrony danych osobowych?, 2

3 Zmiany w podejściu do sposobu zarządzania ochroną danych osobowych rejestracji zbiorów danych osobowych wymaganiach prawnych w zakresie transferu danych do tzw. państw trzecich, 3

4 Po zmianach w ustawie o ochronie danych osobowych Art. 36a ust. 1 Administrator danych może powołać administratora bezpieczeństwa informacji 2. Do zadań administratora bezpieczeństwa informacji należy: 1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych, c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych; 2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7., 4

5 Gdy Administrator danych nie powoła ABI art. 36b Obowiązek samodzielnej realizacji nowych wymogów: sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, nadzorowanie opracowania i aktualizowania dokumentacji przetwarzania danych, oraz przestrzegania zasad w niej określonych zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych., 5

6 Wyznaczenie ABI w takim wypadku ABI odpowiada ustawowo za zapewnianie przestrzegania przepisów o ochronie danych osobowych ABI realizuje szereg obowiązków na rzecz Administratora Danych, uregulowanych w ustawie i aktach wykonawczych ABI zapewnia sprawozdawczość dla Administratora Danych 6

7 Brak wyznaczenia ABI w takim wypadku ktoś w imieniu Administratora Danych musi realizować ustawowe zadania potrzeba wyznaczenia konkretnej osoby lub osób wyznaczona osoba lub osoby działają na odpowiedzialność Administratora Danych wyznaczona osoba lub osoby nie realizują wszystkich zadań tak jak ABI, nie zapewniają też sprawozdawczości dla Administratora Danych 7

8 Zwolnienie z obowiązku rejestracji wybranych kategorii zbiorów danych: Dodatkowa kategoria zbiorów zwolniona ustawowo z obowiązku rejestracji Kategoria zbiorów, która będzie zwalniania z obowiązku rejestracji warunkowo Dotyczy zbiorów danych zwykłych przetwarzanych wyłącznie w formie papierowej Zwolnienie ustawowe niezależnie od tego, czy ADO powoła ABI UWAGA: Oba zwolnienia ustawowe nie dotyczą zbiorów zawierających dane wrażliwe Dotyczy zbiorów danych zwykłych, niezależnie od formy ich przetwarzania Uzależnione od tego czy ADO powoła ABI i zgłosi go do rejestru prowadzonego przez GIODO 8

9 Obowiązek prowadzenia rejestru zbiorów danych przez ABI: Obowiązek prowadzenia rejestru wyłącznie zbiorów danych, które nie podlegały zwolnieniu przedmiotowemu (art. 43 ust. 1) z obowiązku rejestracji w rejestrze prowadzonym przez GIODO Rejestr ma być prowadzony w formie elektronicznej lub papierowej W zależności od formy prowadzonego rejestru zróżnicowane sposoby upubliczniania rejestru Szczegółowy zakres informacji jakie ma zawierać rejestr oraz sposób prowadzenia rejestru oraz udostępniania informacji z rejestru=> ROZPORZĄDZENIE 9

10 Transfer danych do państw trzecich przed nowelizacją: Art. 48 UODO ( ) przekazanie danych osobowych do państwa trzeciego ( ) może nastąpić po uzyskaniu zgody Generalnego Inspektora, pod warunkiem że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą umowy o transfer danych oparte na tzw. standardowych klauzulach umownych (ang. SCC Standard Contractual Clauses) tzw. wiążące reguły korporacyjne (ang. BCR Binding Corporate Rules) 10

11 Transfer danych do państw trzecich po nowelizacji: Całkowita modyfikacja treści art. 48 UODO i odniesienie się w jego treści wprost do: standardowych klauzul umownych (ang. SCC Standard Contractual Clauses) wiążących reguł korporacyjnych (ang. BCR Binding Corporate Rules) W przypadku zastosowania obu powyżej wskazanych rozwiązań formalnie nie będzie potrzebna zgoda GIODO na transfer danych do państw trzecich, ale uwaga na wiążące reguły korporacyjne (!) 11

12 Art. 48 ust. 2 ustawy po nowelizacji: Standardowe klauzule umowne Brak potrzeby zgłaszania do GIODO Transfer Wiążące reguły korporacyjne Wymagane zatwierdzenie przez GIODO Transfer po zatwierdzeniu przez GIODO 12

13 Dziękuję za uwagę Jakub Wezgraj Radca Prawny Kierownik Działu Audytu i Projektów JDS Consulting sp. z o.o. sp.k. j.wezgraj@jds.com.pl Tel. kom , 13