OCHRONA DANYCH OSOBOWYCH



Podobne dokumenty
OCHRONA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH

Planowany zakres nowelizacji ustawy o ochronie danych osobowych w 2012r. Maciej Byczkowski, Andrzej Rutkowski, Stefan Szyszko

Data ProtectionOfficer(DPO) i administrator bezpieczeństwa informacji. Porównanie instytucji

Pierwsze doświadczenia w wykonywaniu funkcji IODy

OCHRONA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

Od 1 stycznia 2015 r. zaczęły obowiązywać znowelizowane przepisy ustawy o ochronie danych osobowych

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

OCHRONA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH

Administrator bezpieczeństwa informacji, urzędnik do spraw ochrony danych osobowych, inspektor ochrony danych analiza porównawcza. dr Grzegorz Sibiga

OCHRONA DANYCH OSOBOWYCH

Program szkolenia - Rejestracja i bezpieczeństwo danych osobowych

Sz. P. Michał Serzycki Generalny Inspektor Ochrony Danych Osobowych.

Warszawa, 19 października 2016 Agnieszka Szydlik, adwokat, Wardyński & Wspólnicy Sylwia Paszek, radca prawny, Wardyński & Wspólnicy

Profesjonalny Administrator Bezpieczeństwa Informacji

Zmiana obowiązków zabezpieczania danych osobowych

Praktyczny kurs dla Administratora Bezpieczeństwa Informacji

OCHRONA DANYCH OSOBOWYCH

Instytucja administratora bezpieczeństwa informacji przy obecnie obowiązujących przepisach prawa Pytania, odpowiedzi, fakty i mity

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

Bezpieczeństwo danych osobowych w usługach w chmurze zagadnienia prawne. Warszawa, dnia 1 marca 2016 r. Maria Markiewicz radca prawny

Czas trwania szkolenia- 1 DZIEŃ

Nowe przepisy i zasady ochrony danych osobowych

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI. zadania: przepisami; Nowe kompetencje GIODO: Administratora danych; Przekazywanie danych do państw trzecich:

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

IODO: kompetencje nie wystarczą

Wnioski i perspektywy dla przedsiębiorstw po najnowszych zmianach w polskiej ustawie o ochronie danych osobowych

Krajowa Konferencja Ochrony Danych Osobowych

NOWE ZASADY I OBOWIĄZKI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

Inspektor Ochrony Danych w podmiotach publicznych

MEMORANDUM INFORMACYJNE

Projektowane zmiany prawne statusu Administratora Bezpieczeństwa Informacji (ABI) dr Grzegorz Sibiga

Administrator Bezpieczeństwa informacji

rodo. ochrona danych osobowych.

SPOTKANIE INFORMACYJNE

Ochrona danych osobowych w biurach rachunkowych

NOWE ZASADY I OBOWIĄZKI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH OMÓWIENIE UNIJNEGO ROZPORZĄDZENIA (GDPR)

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

NOWE ZASADY I OBOWIĄZKI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH UNIJNE ROZPORZĄDZENIE (GDPR)

Wszelkie prawa zastrzeżone.

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

Obowiązek powoływania Administratora Bezpieczeństwa Informacji

Propozycje SABI w zakresie doprecyzowania statusu ABI

SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH NOWE ZADANIA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI ORAZ OMÓWIENIE

KONFERENCJA SIODO PRZYPADKI"

Sz. P. Mariusz Haładyj Podsekretarz Stanu Ministerstwo Gospodarki

ECK EUREKA tel fax

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

II Lubelski Konwent Informatyków i Administracji r.

Wpływ nowych regulacji prawnych na dopuszczalność outsourcingu procesów biznesowych.

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Inspektor ds. ochrony danych osobowych na gruncie Rozporządzenia Parlamentu i Rady model docelowy. Agnieszka Ferens-Sosnowska

Status IOD czy funkcję IOD może pełnić jednostka organizacyjna?

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

Zgodnie z RODO administrator i podmiot przetwarzający muszą wyznaczyć inspektora ochrony danych, gdy:

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Ochrona danych osobowych i tajemnicy bankowej oraz innych tajemnic dostawców usług płatniczych

Nowy status i zakres obowiązków administratora bezpieczeństwa informacji Andrzej Kaczmarek. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Szkolenie. Funkcja Administratora Bezpieczeństwa Informacji po deregulacji. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Ochrona danych osobowych - przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami, przygotowanie się do zmian.

OGÓLNOKRAJOWY REJESTR ADMINISTRATORÓW BEZPIECZEŃSTWA INFORMACJI

ROZPORZĄDZENIE O OCHRONIE DANYCH OSOBOWYCH. Przygotuj swoją firmę do zmian już dziś

Ochrona danych osobowych w administracji publicznej

RODO w HR Zasady przetwarzania danych osobowych kandydatów i pracowników

Wprowadzenie. 2. Czy powołanie ABI jest obowiązkowe? [ ] Powstało mylne, powszechne przekonanie o konieczności powołania ABI [ ]

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

GRUPA GUMUŁKA -KIERUNEK NA INNOWACJE OFERTA SZKOLENIA OCHRONA DANYCH OSOBOWYCH Z UWZGLĘDNIENIEM EUROPEJSKIEJ REFORMY PRZEPISÓW - RODO KATOWICE

Certyfikowany Inspektor Ochrony Danych Osobowych

wraz z wzorami wymaganej prawem dokumentacją

Nowe unijne rozporządzenie w sprawie ochrony danych osobowych. 8 czerwca 2016

Ochrona danych osobowych w służbie zdrowia

CEL SZKOLENIA: MIEJSCE: Wybrane przez Zamawiającego DATA: Wybrana przez Zamawiającego CENY: 3600zł / brutto

Obyś żył w ciekawych czasach

Jak legalnie przekazywać dane osobowe w grupie kapitałowej i do podwykonawców

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

OCHRONA DANYCH OSOBOWYCH

SZKOLENIE UNIJNA REFORMA OCHRONY DANYCH OSOBOWYCH

WARSZTATY PRZYGOTOWUJĄCE DO OBJĘCIA FUNKCJI ABI I ASI. NOWE ZADANIA - SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH.

OCHRONA DANYCH OSOBOWYCH

Wykaz skrótów... XV Wykaz literatury... XXI Wprowadzenie... XXVII

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Praktyczne aspekty ochrony danych osobowych w ubezpieczeniach

Pozycja i zadania ABI w świetle reformy ochrony danych osobowych

KONFLIKT INTERESÓW PRZY POWIERZENIU DPO INNYCH ZADAŃ A NAKAZ WYKONYWANIA OBOWIĄZKÓW W SPOSÓB NIEZALEŻNY

R O D O - N o w e z a s a d y p r z e t w a r z a n i a d a n y c h o s o b o w y c h

WYKONYWANIE ZADAŃ ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI (ABI) WARSZTATY PRAKTYCZNE - SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR )

Szkolenie Ochrona danych osobowych z sygnalizacją zmian w prawie unijnym

Transkrypt:

Luty 2016 issn 2391-5781 nr 17 OCHRONA DANYCH OSOBOWYCH Praktyczne porady Instrukcje krok po kroku Wzory Podstawa prawna powołania ASI Nadzorowanie opracowania i aktualizowanie dokumentacji Dobre prognozy dla ABI

SPIS TREŚCI Spis treści AKTUALNOŚCI Wioleta Szczygielska Safe Harbour tylko do 31 stycznia 2016 r................................... 3 Jest porozumienie w sprawie reformy ochrony danych w UE................... 3 EKSPERCI SABI RADZĄ Dobre prognozy dla ABI.................................................. 4 Maciej Byczkowski INSTRUKCJE ABI wewnętrzny czy zewnętrzny wady i zalety.............................. 6 Łukasz Onysyk Gdy ADO nie powoła ABI prowadzenie sprawdzeń.......................... 9 Włodzimierz Dola Zgoda podstawą przetwarzania danych pracowników....................... 12 Michał Balicki, Jakub Kowal TEMAT NUMERU Nadzorowanie opracowania i aktualizowanie dokumentacji.................. 14 Marcin Sarna PORADY Przetwarzanie danych przedsiębiorców z CEDIG............................ 16 dr Jowita Sobczak Odpowiedzialność ABI.................................................. 19 Agnieszka Stępień Podstawa prawna powołania ASI......................................... 21 Przemysław Zegarek WZORY DOKUMENTÓW Instrukcja postępowania w sytuacji naruszenia systemu ochrony danych osobowych.................................................... 22 Akt wyznaczenia administratora bezpieczeństwa informacji.................. 24 OCHRONA DANYCH OSOBOWYCH 141 LUTY 2016

LIST OD REDAKTORA Szanowni Czytelnicy! Wioleta Szczygielska redaktor prowadząca odo@wip.pl www.odo.wip.pl W tym numerze zajmujemy się kwestią odpowiedzialności administratora bezpieczeństwa informacji. Chociaż jest on tylko pracownikiem administratora danych osobowych, który w odpowiedni sposób powinien zabezpieczyć dane osobowe, to odpowiedzialność, jaką może ponieść, ma charakter nie tylko pracowniczy. ABI musi liczyć się też z odpowiedzialnością karną i cywilną. Zajęliśmy się też kwestią istotną dla każdego administratora danych osobowych pomagamy podjąć decyzję, na jakich zasadach najlepiej powołać administratora bezpieczeństwa informacji. Podpowiadamy, czy lepszy będzie ABI zatrudniony u ADO (wewnętrzny), czy osoba, która będzie wykonywać jego zadania w ramach outsourcingu (zewnętrzny) rozważamy za i przeciw każdej z tych opcji. W bieżącym numerze piszemy też, w jaki sposób administrator danych osobowych powinien realizować obowiązek przeprowadzenia sprawdzenia zgodności przetwarzania danych osobowych z przepisami, jeśli nie powoła administratora bezpieczeństwa informacji. Podpowiadamy też, na jaką podstawę prawną trzeba się powołać, ustanawiając administratora systemów informatycznych (ASI), i kto powinien go powołać ABI czy może administrator danych. Przypominam też, że jako stali Czytelnicy mają Państwo możliwość zadawania pytań naszym ekspertom. Pytania można przesyłać na adres redakcji odo@wip.pl. Udzieliliśmy już kilkudziesięciu praktycznych porad, które pomogły rozwiązać problemy związane z ochroną danych osobowych. Życzę owocnej lektury! OCHRONA DANYCH OSOBOWYCH 142 LUTY 2016

AKTUALNOŚCI Safe Harbour tylko do 31 stycznia 2016 r. Wraz z końcem stycznia 2016 roku kończy się okres przejściowy po wyroku Trybunału Sprawiedliwości UE, który unieważnił decyzję Komisji Europejskiej w sprawie porozumienia Safe Harbour. Na mocy decyzji europejskiego organu ochrony danych osobowych (Grupa Robocza art. 29) administratorzy danych osobowych mieli trzy miesiące na dostosowanie swoich działań do nowej sytuacji prawnej po wyroku TSUE ws. Safe Harbour. Firmy i instytucje, które przesyłają dane osobowe do Stanów Zjednoczonych po 31 stycznia 2016 r., nie będą mogły polegać już na porozumieniu Safe Harbour (Bezpieczna przystań). Do 6 października 2015 r. uważało się, że amerykańska instytucja, która przystąpiła do programu Bezpiecznej przystani, zapewnia odpowiedni poziom ochrony danych osobowych i można do niej przesyłać dane osobowe. Teraz administratorzy danych będą musieli poszukać nowych rozwiązań. Pomocne mogą okazać się standardowe klauzule umowne zatwierdzone przez Komisję Europejską lub wiążące klauzule korporacyjne. Jednocześnie między Stanami Zjednoczonymi a Unią Europejską trwają prace nad przygotowaniem nowego rozwiązania, które umożliwi transfer danych osobowych do USA (tzw. Safe Harbour 2). Ma to być nowa umowa między państwami, dzięki której będzie można legalnie przekazywać dane z UE do USA. Wioleta Szczygielska Jest porozumienie w sprawie reformy ochrony danych w UE Kończą się prace nad unijną reformą ochrony danych osobowych. Zgodnie z zaakceptowanym przez Komisję LIBE aktem, administrator danych osobowych, który naruszy przepisy o ochronie danych, będzie musiał się liczyć z karą nawet do wysokości 4% swoich rocznych przychodów. Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (LIBE) Parlamentu Europejskiego zaakceptowała nowe unijne zasady ochrony danych osobowych przewidziane w ogólnym rozporządzeniu w sprawie ochrony danych osobowych oraz dyrektywie o ochronie danych w ramach działalności policyjnej i sądowej w sprawach karnych. Komisja LIBE głosowała w sprawie obu projektów niezwłocznie po zakończeniu nieformalnych negocjacji pomiędzy Radą Unii Europejskiej, Parlamentem Europejskim i Komisją Europejską, które zakończyły się 15 grudnia 2015 r. Teraz oba akty powinny zostać przyjęte przez Radę UE. Na wiosnę 2016 roku będą dyskutowane jeszcze na posiedzeniu plenarnym Parlamentu Europejskiego. Reforma przyniesie duże zmiany. Nowe przepisy będą dotyczyć wszystkich firm i instytucji, które oferują usługi obywatelom Unii Europejskiej, nawet jeśli mają swoją siedzibę w państwie trzecim. Za złamanie przepisów rozporządzenia i dyrektywy będą groziły wysokie kary nawet do 4% rocznego przychodu firmy. Nowe przepisy zaczną obowiązywać w 2018 roku. Wioleta Szczygielska OCHRONA DANYCH OSOBOWYCH 143 LUTY 2016

WWW.ODO.WIP.PL Dobre prognozy dla ABI Zgodnie z nowym rozporządzeniem ogólnym o ochronie danych osobowych w UE, powołanie ABI (DPO) dla części podmiotów będzie obowiązkowe. Przyszłość ABI Dobre wieści dotarły do środowiska ABI pod koniec zeszłego roku. 15 grudnia Komisja Europejska poinformowała o zakończeniu negocjacji (w ramach tzw. trilogu) dotyczących ogólnego rozporządzenia o ochronie danych osobowych, które wejdzie w życie w 2018 lub 2019 roku. W uzgodnionym tekście rozporządzenia znalazły się zapisy o przyszłej funkcji ABI. Nie czekając na oficjalne tłumaczenie tekstu rozporządzenia, na podstawie tekstu otrzymanego od osób uczestniczących w pracach, na gorąco prześledzimy poniżej nadchodzące zmiany w statusie ABI. Rozporządzenie określa funkcję DPO (data protection officer), którego odpowiednikiem w Polsce jest ABI. Zgodnie z art. 35 rozporządzenia, DPO będzie musiał być obowiązkowo powoływany przez administratora danych osobowych (ADO) oraz podmiot, któremu powierzono przetwarzanie danych osobowych (procesora), w następujących sytuacjach: przetwarzania danych przez podmiot lub organ publiczny, z wyłączeniem sądów w ramach prowadzonych przez nie postępowań; kiedy główne działania dotyczące przetwarzania danych z uwagi na swą naturę, zakres i/lub cel wymagają regularnego i systematycznego monitorowania danych osobowych na dużą skalę; gdy główne działania składają się z operacji przetwarzania danych osobowych wrażliwych (wymienionych w art. 9 rozporządzenia), a także danych dotyczących karalności za przestępstwa i wykroczenia, o których mowa w artykule 9a. Pozostali ADO lub procesorzy, niewymienieni powyżej, mogą powołać DPO w sposób dobrowolny, chyba że w sytuacjach wymaganych prawem unijnym lub prawem krajowym państwa członkowskiego są zobowiązane wyznaczyć takiego DPO (to akurat nie dotyczy obecnie Polski, ponieważ po ostatniej nowelizacji uodo powołanie ABI jest dobrowolne). Z tej możliwości będą mogły skorzystać głównie małe, średnie i mikroprzedsiębiorstwa, w tym osoby fizyczne prowadzące jednoosobową działalność gospodarczą. MACIEJ BYCZKOWSKI prezes Zarządu ENSI, ekspert ds. bezpieczeństwa informacji i ochrony danych osobowych, od 2007 roku pełni funkcję prezesa Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji. Pełni funkcję ABI w kilkunastu organizacjach w Polsce Ponadto zostały wprowadzone regulacje dotyczące powołania jednego DPO dla kilku podmiotów, w tym: grupa przedsiębiorców może powołać jednego DPO, pod warunkiem że może on wykonywać zadania dla każdego z tych przedsiębiorstw, dla kilku jednostek lub organów publicznych można powołać jednego DPO, uwzględniając ich wielkość i strukturę organizacyjną. DPO może być pracownikiem ADO lub procesora bądź wypełniać swoje zadania na podstawie umowy cywilnoprawnej o świadczenie usług. Są wprowadzone wymagania powołania DPO na podstawie jego kwalifikacji zawodowych, a w szczególności na podstawie wiedzy eksperckiej z zakresu prawa ochrony danych i stosowanych praktyk oraz posiadanych umiejętności w zakresie wypełnienia zadań wskazanych w art. 37 rozporządzenia. Podobne wymagania odpowiedniej wiedzy dla ABI są w przepisach art. 36a ust. 5 uodo. Dane kontaktowe do DPO mają być publikowane do powszechnej wiadomości oraz przekazywane do Generalnego Inspektora Ochrony Danych Osobowych (podobne wymaganie jak przy obecnej rejestracji ABI). Nowe zadania dla ABI Status DPO określony w rozporządzeniu oraz jego zadania pokrywają się w dużej części ze statusem i zadaniami ABI, które obowiązują w polskich przepisach od początku 2015 roku. Taki był zamysł zespołu ekspertów, który tworzył te przepisy, aby nowy status ABI przygotowywał go do pełnienia funkcji i zadań DPO, które były określone w pierwszym projekcie rozporządzenia z 2012 roku. Podobnie jak w polskich przepisach, DPO będzie podlegał bezpośrednio pod kierownictwo ADO lub procesora. Zgodnie z art. 36 rozporządzenia ADO lub procesor będą musieli zapewnić niezależność i możliwość wykonywania zadań przez DPO: musi on być właściwie i w odpowiednim czasie angażowany we wszystkie kwestie związane z ochroną danych osobowych; OCHRONA DANYCH OSOBOWYCH 14 LUTY 2016

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres