HAŚKO I SOLIŃSKA SPÓŁKA PARTNERSKA ADWOKATÓW ul. Nowa 2a lok. 15, 50-082 Wrocław tel. (71) 330 55 55 fax (71) 345 51 11 e-mail: kancelaria@mhbs.



Podobne dokumenty
UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH nr.. zawarta w dniu. zwana dalej Umową powierzenia

Propozycja szkolenia z zakresu: Supra Brokers sp. z o.o.

UCHWAŁA Nr 15/19/2015 ZARZĄDU POWIATU W WĄBRZEŹNIE z dnia 11 marca 2015 r.

Warszawa, dnia 23 lipca 2013 r. Poz. 832

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

ZARZĄDZENIE Nr 22/2011/K PREZYDENTA MIASTA PABIANIC KIEROWNIKA URZĘDU MIEJSKIEGO z dnia 15 grudnia 2011 r.

ZAPYTANIE OFERTOWE. Tel/FAKS w46 ; Ogłoszenie na stronie internetowej

Odpowiedzi na pytania zadane do zapytania ofertowego nr EFS/2012/05/01

o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw 1 )

SZKOLENIE RBDO: OCHRONA DANYCH OSOBOWYCH 2016 PRZEPISY I OBOWIĄZKI ORAZ PERSPEKTYWY ZMIAN UE

KODEKS ETYKI PRACOWNIKÓW POWIATOWEGO CENTRUM POMOCY RODZINIE W LUBLINIE

Wniosek o rejestrację podmiotu w Krajowym Rejestrze Sądowym 1) FUNDACJA, STOWARZYSZENIE, INNA ORGANIZACJA SPOŁECZNA LUB ZAWODOWA

Uchwała z dnia 20 października 2011 r., III CZP 53/11

OCHRONA DANYCH OSOBOWYCH W DZIAŁANIACH MARKETINGOWYCH

Regulamin organizacji przetwarzania i ochrony danych osobowych w Powiatowym Centrum Kształcenia Zawodowego im. Komisji Edukacji Narodowej w Jaworze

Ochrona danych osobowych w oświacie z punktu widzenia samorządu jako organu prowadzącego

DE-WZP JJ.3 Warszawa,

UCHWAŁA. SSN Zbigniew Kwaśniewski (przewodniczący) SSN Anna Kozłowska (sprawozdawca) SSN Grzegorz Misiurek

współadministrator danych osobowych, pytania i indywidualne konsultacje.

ZAPYTANIE OFERTOWE z dnia r

Zarządzenie Nr 12 /SK/2010 Wójta Gminy Dębica z dnia 06 kwietnia 2010 r.

Regulamin Konkursu Start up Award 9. Forum Inwestycyjne czerwca 2016 r. Tarnów. Organizatorzy Konkursu

Regulamin Projektów Ogólnopolskich i Komitetów Stowarzyszenia ESN Polska

REGULAMIN KONKURSU Organizacja Przyjazna Wolontariuszom

Ogłoszenie o zwołaniu Nadzwyczajnego Walnego Zgromadzenia Akcjonariuszy TELL Spółka Akcyjna z siedzibą w Poznaniu na dzień 11 sierpnia 2014 r.

z dnia 6 lutego 2009 r.

W N I O S E K O PRZYZNANIE ŚRODKÓW Z KRAJOWEGO FUNDUSZU SZKOLENIOWEGO NA DOFINANSOWANIE KOSZTÓW KSZTAŁCENIA USTAWICZNEGO PRACOWNIKÓW I PRACODAWCY ...

wpisany do...zwany dalej Przyjmującym Zamówienie

Wniosek o rejestrację podmiotu w Krajowym Rejestrze Sądowym 1)

Turniej Piłkarski. Copa Manufaktura 2006

Status administratora bezpieczeństwa informacji (ABI) w świetle obowiązujących przepisów

PODSTAWOWA DOKUMENTACJA BADANIA KLINICZNEGO

Informacja o wynikach kontroli

Wymiana nawierzchni chodników oraz dróg dojazdowych wokół budynku, rozbiórka i ponowny montaż prefabrykowanego muru oporowego

REGULAMIN PRAKTYK DLA STUDENTÓW UCZELNI JANA WYŻYKOWSKIEGO

z dnia Rozdział 1 Przepisy ogólne

Kancelaria Radcy Prawnego

U M O W A. zwanym w dalszej części umowy Wykonawcą

Powiatowy Urząd Pracy w Rawie Mazowieckiej

Zakupy poniżej euro Zamówienia w procedurze krajowej i unijnej

DECYZJA w sprawie czasowego zaprzestania działalności

UCHWAŁA NR VIII/43/2015 r. RADY MIASTA SULEJÓWEK z dnia 26 marca 2015 r.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

MUP.PK.III.SG /08 Lublin, dnia r.

Morska Stocznia Remontowa Gryfia S.A. ul. Ludowa 13, Szczecin. ogłasza

II. WNIOSKI I UZASADNIENIA: 1. Proponujemy wprowadzić w Rekomendacji nr 6 także rozwiązania dotyczące sytuacji, w których:

Regulamin rekrutacji uczniów do klasy pierwszej Szkoły Podstawowej im. Maksymiliana Wilandta w Darzlubiu. Podstawa prawna: (Dz.U.2014 poz.

NOWELIZACJA USTAWY PRAWO O STOWARZYSZENIACH

Regulamin Pracy Komisji Rekrutacyjnej w Publicznym Przedszkolu Nr 5 w Kozienicach

Istotne Postanowienia Umowy

- o zmianie o Krajowym Rejestrze Sądowym

PROCEDURA NR 1 PRZYPROWADZANIA I ODBIERANIA DZIECKA Z PRZEDSZKOLA HELIANTUS

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap Urzędzie Gminy w Ułężu

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

Formy zatrudnienia zarządu spółki kapitałowej. Aspekty prawne, podatkowe i ubezpieczeniowe. Zawiera wzory pism

Regulamin serwisu internetowego ramowka.fm

Regulamin korzystania z serwisu

DZIENNIK URZĘDOWY MINISTRA CYFRYZACJI

Procedura przyprowadzania i odbierania dzieci ze Żłobka Miejskiego w Sieradzu

Adres strony internetowej zamawiającego: I. 2) RODZAJ ZAMAWIAJĄCEGO: Samodzielny publiczny zakład opieki zdrowotnej.

... dnia... W N I O S E K o zawarcie umowy o zorganizowanie stażu

Informacja dla akcjonariuszy precyzyjny opis procedur dotyczących uczestniczenia w Zgromadzeniu i wykonywania prawa głosu:

Adres strony internetowej zamawiającego: I. 2) RODZAJ ZAMAWIAJĄCEGO: Inny: Ochotnicze Hufce Pracy.

Przetwarzanie danych osobowych przez przedsiębiorców zagrożenia i wyzwania Monika Krasińska Dyrektor Departamentu Orzecznictwa Legislacji i Skarg

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

Umowa o pracę zawarta na czas nieokreślony

POLSKI ZWIĄZEK KAJAKOWY

Przedmiotem zamówienia są proinnowacyjne usługi doradcze obejmujące następujące komponenty:

WNIOSEK o sfinansowanie kosztów kształcenia ustawicznego pracowników i pracodawcy w ramach Krajowego Funduszu Szkoleniowego

Tychy, r. ZAPYTANIE OFERTOWE

CMSE Certified Machinery Safety Expert

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia: mc.bip.gov.pl/

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

PROGRAMU PARTNERSKIEGO BERG SYSTEM

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

ZAGADNIENIA PODATKOWE W BRANŻY ENERGETYCZNEJ - VAT

Busko Zdrój: Przedmiotem zamówienia jest przeprowadzenie 2 szkoleń

Umowa w sprawie przyznania grantu Marie Curie 7PR Wykaz klauzul specjalnych

Załącznik nr 4 WZÓR - UMOWA NR...

Burmistrz Grodkowa. - upowszechniania kultury fizycznej i sportu,

INSTRUKCJA DLA INSPEKTORÓW DS. REJESTRACJI

Uzasadnienie. wykonywania pracy, wynagrodzenie za pracę odpowiadające rodzajowi pracy, ze wskazaniem

Kontrola zarządcza na tle wyników kontroli RIO i NIK

ZAKRES OBOWIĄZKÓW I UPRAWNIEŃ PRACODAWCY, PRACOWNIKÓW ORAZ POSZCZEGÓLNYCH JEDNOSTEK ORGANIZACYJNYCH ZAKŁADU PRACY

LKA /2013 P/13/151 WYSTĄPIENIE POKONTROLNE

Zabezpieczenie społeczne pracownika

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

REGULAMIN drugiego konkursu na stanowisko Prezesa Zarządu Zakładu Gospodarki Mieszkaniowej w Nowym Targu Sp. z o.o.

Zapytanie ofertowe nr 4/2012 z dnia r.

BDG/11/2012/PN zał. nr 8. -Wzór umowy-

woli rodziców w 2010 roku. 1. W roku szkolnym 2016/2017 obowiązek szkolny spełniają dzieci urodzone w 2009 roku oraz z

Zasady przyjęć do klas I w gimnazjach prowadzonych przez m.st. Warszawę

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Gdańsku

WNIOSEK o zawarcie umowy o zorganizowanie stażu dla osoby bezrobotnej

U Z A S A D N I E N I E

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

Zalecenia dotyczące prawidłowego wypełniania weksla in blanco oraz deklaracji wekslowej

REGULAMIN REKRUTACJI DZIECI do klasy pierwszej w Szkole Podstawowej nr 2 im. Augusta hr. Cieszkowskiego w Luboniu na rok szkolny 2014/2015

Warszawa, woj. mazowieckie, tel , faks

Transkrypt:

HAŚKO I SOLIŃSKA SPÓŁKA PARTNERSKA ADWOKATÓW ul. Nowa 2a lok. 15, 50-082 Wrocław tel. (71) 330 55 55 fax (71) 345 51 11 e-mail: kancelaria@mhbs.pl Wrocław, dnia 22.06.2015 r. OPINIA przedmiot data Praktyczne aspekty zmiany ustawy z dnia 29.08.1997 r. o ochronie danych osobowych czy administrator danych, w tym placówka medyczna prowadząca działalność medyczną, musi powoływać administratora bezpieczeństwa informacji i zgłaszać go do GIODO, - jakie są inne obowiązki administratora danych związane z bezpieczeństwem danych osobowych wprowadzone na gruncie nowelizacji ustawy z dnia 29.08.1997 r. o ochronie danych osobowych oraz ewentualne konsekwencje grożące za ich niewykonanie? - Czy podmioty świadczące usługi lecznicze muszą zgłaszać zbiory danych swoich pacjentów do GIODO? Czy do GIODO należy zgłaszać zbiory danych, które są prowadzone w wersji papierowej, jeśli zbiory te zawierają tzw.,,dane wrażliwe''? 22.06.2015 r. Podstawa prawna: 1. Ustawa z dnia 29.08.1997 r. o ochronie danych osobowych z późn. zm. (Dz.U.1997.Nr 133 poz. 883), zwana również dalej : ustawą. Stan faktyczny: W związku z nowelizacją ustawy z dnia 29.08.1997 r. o ochronie danych osobowych powstały wątpliwości co do zakresu i sposobu realizacji obowiązków związanych z 1

przetwarzaniem zbiorów danych osobowych, jak również obowiązków związanych z funkcją administratora bezpieczeństwa informacji. Wątpliwości te dotyczą w szczególności: - powoływania i zgłoszenia administratora bezpieczeństwa informacji do Generalnego Inspektora Ochrony Danych Osobowych (GIODO), - terminu i sposobu przeprowadzenia audytu bezpieczeństwa informacji w celu sprawdzenia, które obszary ochrony danych należy poprawić, - ewentualnych kar grożących pracodawcom na niewywiązanie się z nałożonych na nich na gruncie ustawy obowiązków, - obowiązków dotyczących zgłaszania zbiorów danych osobowych do GIODO przez podmioty prowadzące działalność medyczną. Stan prawny i ocena prawna: Na wstępie zaznaczyć należy, iż podmiot będący administratorem danych już na gruncie poprzednio obowiązującego stanu prawnego (art. 40 ustawy) miał obowiązek zgłoszenia zbioru danych do rejestracji do GIODO. Obowiązek ten w zasadzie nie uległ zmianie. Wymieniony w art. 43 ustawy z dnia 29.08.1997 r. o ochronie danych osobowych katalog wyłączeń od obowiązku rejestracji zbioru danych został nawet minimalnie poszerzony (z korzyścią dla administratorów danych osobowych, którymi są na przykład podmioty prowadzące działalność medyczną). Katalog ten nie został bowiem w żadnym stopniu ograniczony, a wprowadzono nawet dodatkowe wyłączenie odnośnie zbiorów danych prowadzonych wyłącznie w postaci papierowej (od 01.01.2015 r. nie ma obowiązku zgłaszania ich do rejestracji do GIODO), chyba że zbiory te zawierają tzw.,,dane wrażliwe z art. 27. ust. 1 ustawy wtedy ten obowiązek w dalszym ciągu istnieje. Jest to rozwiązanie korzystne dla podmiotów prowadzących działalność leczniczą będących administratorami danych osobowych, nie muszą oni bowiem po nowelizacji zgłaszać żadnych nowych zbiorów danych do rejestracji do GIODO, zgłoszeniu podlegają wyłącznie te dane, których obowiązek zgłoszenia był już wcześniej nałożony na administratorów danych, a co więcej jeśli zbiór danych prowadzony jest wyłącznie w formie papierowej i nie zawiera tzw.,,danych wrażliwych, to nie ma już obowiązku zgłaszania takiego zbioru do GIODO. Katalog wyłączeń od obowiązku rejestracji w 2

dalszym ciągu znajduje się w art. 43 ustawy o ochronie danych osobowych jeśli dane są przetwarzane wyłącznie w celu wystawienia faktury lub rachunku bądź w związku z zatrudnieniem pracownika, czy to na umowę o pracę, czy cywilnoprawną, to nie ma obowiązku rejestrowania takiego zbioru danych. Co więcej, podmioty udzielające świadczeń leczniczych nie mają obowiązku rejestracji zbioru danych osobowych swoich pacjentów u GIODO takie zbiory objęte są wyłączeniem na podstawie art. 43 ust. 1 pkt. 5 ustawy, który stanowi o wyłączeniu z obowiązku rejestracji zbiorów danych dotyczących osób korzystających z usług medycznych administratora danych (czyli na przykład pacjentów placówek medycznych). Na gruncie przepisów ustawy z dnia 29.08.1997 r. o ochronie danych osobowych (z uwzględnieniem jej najnowszej nowelizacji) powołanie administratora bezpieczeństwa informacji jest uprawnieniem administratora danych osobowych, a nie jego obowiązkiem. Stanowi o tym wyraźnie treść art. 36a ustawy:,,administrator danych może powołać administratora bezpieczeństwa informacji. Administrator danych osobowych ma zgodnie z założeniami wprowadzonych przepisów przejąć większość wynikających z ustaw obowiązków podmiotów w zakresie administrowania danymi osobowymi. Jednakże, jeśli administrator bezpieczeństwa informacji nie zostanie powołany, obowiązki te w dalszym ciągu wykonuje administrator danych czyli podmiot przetwarzający dane osobowe. Do tych obowiązków należy m.in.: przestrzeganie przepisów o ochronie danych osobowych czy prowadzenie i przetwarzanie ustawowo wymaganych rejestrów i baz danych. W sytuacji, gdy administrator bezpieczeństwa informacji nie zostanie powołany, pełną odpowiedzialność za przestrzeganie przepisów dotyczących ochrony danych osobowych ponosi administrator danych. W praktyce oznacza to, że placówka medyczna, jako administrator danych osobowych może dokonać wyboru, czy sama będzie odpowiedzialna za przetwarzanie danych zgodnie z normami i za zorganizowanie procesu przetwarzania danych, czy też zdecyduje się na powołanie administratora danych osobowych w takiej sytuacji powierzy mu wykonywanie tych zadań. Powołując administratora danych osobowych organizacja zdejmuje z siebie ciężar ustawowych obowiązków przenosi je wtedy na administratora bezpieczeństwa informacji. Jeśli podmiot zdecyduje się na powołanie administratora bezpieczeństwa informacji ma on w dalszym ciągu obowiązek zgłoszenia do GIODO jedynie rejestru danych zawierających dane wrażliwe a więc dane wymienione w art. 27 ust. 1 3

ustawy (czyli: dane ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym). W tym miejscu zaznaczyć należy, że pomimo uznania przez ustawodawcę danych o stanie zdrowia za dane wrażliwe, to podmioty świadczące działalność leczniczą nie mają obowiązku rejestracji danych swoich pacjentów u GIODO dla takich zbiorów danych ustawodawca przewidział bowiem zwolnienie z obowiązku rejestracji, o czym już wcześniej wspomniano. W sytuacji, gdy administrator danych (przykładowo placówka medyczna) zdecyduje się jednak na powołanie administratora bezpieczeństwa informacji, placówka medyczna ma obowiązek (zgodnie z brzmieniem przepisu art. 46b ust. 1 ustawy) w terminie 30 dni zgłosić ten fakt do GIODO (taki sam 30 dniowy termin obowiązuje w wypadku odwołania administratora bezpieczeństwa informacji przez administratora danych). Szczegółowe informacje dotyczące danych, które należy zgłosić do GIODO wymienione są w art. 46b ustawy są to dane dotyczące głównie osoby, która ma sprawować funkcję administratora bezpieczeństwa informacji. W wypadku zmiany tych danych (na przykład zmianę adresu do korespondencji administratora bezpieczeństwa informacji), zmianę tę placówka medyczna powinna zgłosić w terminie 14 dni od momentu zaistnienia zmiany. Administrator bezpieczeństwa informacji z założenia ma wykonywać swoją funkcję w sposób niezależny istotnym zagadnieniem może okazać się wprowadzony na gruncie nowelizacji przepis art. 19 b ustawy GIODO będzie mógł zwrócić się do wpisanego do rejestru administratora bezpieczeństwa informacji o dokonanie zgodności przetwarzania danych osobowych zgodnie z przepisami, wskazując zakres i termin sprawdzenia. W sytuacji, gdy administrator bezpieczeństwa informacji zostanie powołany, podmiot, który go zatrudnia nie będzie miał wpływu na sposób dokonania przez niego weryfikacji. Na koniec zaznaczyć należy, iż nie uległy zmianie przepisy karne zawarte w ustawie z dnia 29.08.1997 r. o ochronie danych osobowych. Wnioski: 4

W związku z nowelizacją ustawy z dnia 29.08.1997 r. nie powstał obowiązek powoływania administratora bezpieczeństwa informacji. Jest to jedynie uprawnienie administratora danych. Należy jednak pamiętać, że w wypadku niepowołania administratora bezpieczeństwa informacji, za spoczywające na nim obowiązki odpowiedzialny będzie w dalszym ciągu administrator danych (z wyłączeniem obowiązku administratora bezpieczeństwa informacji polegającym na sporządzeniu sprawozdania dla administratora danych). W tym zakresie nowelizacja nie ma wpływu na dotychczasowe obowiązki administratora danych, gdyż przed wejściem w życie nowelizacji był on również odpowiedzialny za zgodną z prawem, a w szczególności z przepisami ustawy o ochronie danych osobowych, organizację procesu przetwarzania danych osobowych. Podstawową różnica, jaka nasuwa się po analizie przepisów ustawy polega na tym, że w wypadku powołania administratora bezpieczeństwa informacji nie trzeba zgłaszać do GIODO zbiorów danych zwykłych (a więc zbiorów danych, które nie są danymi wrażliwymi w rozumieniu art. 27 ust. 1 ustawy, ani których zgłoszenie nie jest wyłączone na podstawie art. 43 ustawy) przetwarzanych w systemach informatycznych. Powołanie administratora bezpieczeństwa informacji nie wpłynie natomiast na zgłaszanie danych wrażliwych - te dane trzeba zgłaszać niezależnie od tego, czy podmiot zdecyduje się na powołanie administratora bezpieczeństwa informacji czy też nie, chyba że obowiązek ich zgłoszenia został przez ustawodawcę wyłączony (tak jest w przypadku zbiorów danych pacjentów placówek medycznych nie trzeba ich zgłaszać). Tak naprawdę decyzja o powołaniu administratora bezpieczeństwa informacji zależy od uznania administratora danych, czy jest w stanie samodzielnie zadbać o właściwe przetwarzanie danych i wypełniać obowiązki z tym związane. Na koniec stwierdzić należy jeszcze, że nie ma obowiązku rejestracji zbioru danych pracowników przetwarzanych w związku z zatrudnieniem ich u administratorów danych (nie ma obowiązków zgłaszania do GIODO zbiorów danych osób zatrudnionych w placówkach medycznych), czy też świadczeniem im usług na podstawie umów cywilnoprawnych oraz przetwarzanych wyłącznie w celu wystawienia faktury czy rachunku (art. 43 pkt. 4 i 7 ustawy nie uległy zmianie). 5

Nowelizacja nie wprowadziła również żadnych nowych przepisów karnych, nie zawiera również informacji odnośnie przeprowadzenia audytu bezpieczeństwa informacji w celu sprawdzenia, które obszary ochrony danych zarządzanych przez administratora danych należy poprawić. Żaden z przepisów znowelizowanej ustawy nie nakłada bowiem na administratora danych (czyli na przykład na placówkę medyczną) takiego obowiązku. 6

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres