W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:



Podobne dokumenty
W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

Od 1 stycznia 2015 r. zaczęły obowiązywać znowelizowane przepisy ustawy o ochronie danych osobowych

Sz. P. Michał Serzycki Generalny Inspektor Ochrony Danych Osobowych.

Nowy status i zakres obowiązków administratora bezpieczeństwa informacji Andrzej Kaczmarek. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Projektowane zmiany prawne statusu Administratora Bezpieczeństwa Informacji (ABI) dr Grzegorz Sibiga

Propozycje SABI w zakresie doprecyzowania statusu ABI

OGÓLNOKRAJOWY REJESTR ADMINISTRATORÓW BEZPIECZEŃSTWA INFORMACJI

Sz. P. Mariusz Haładyj Podsekretarz Stanu Ministerstwo Gospodarki

OD ADMINISTRATORA DO INSPEKTORA DEBATA NA TEMAT

Obowiązek powoływania Administratora Bezpieczeństwa Informacji

Instytucja administratora bezpieczeństwa informacji przy obecnie obowiązujących przepisach prawa Pytania, odpowiedzi, fakty i mity

Administrator bezpieczeństwa informacji, urzędnik do spraw ochrony danych osobowych, inspektor ochrony danych analiza porównawcza. dr Grzegorz Sibiga

POJĘCIE, ZAKRES I TRYB SPRAWDZENIA PRZEPROWADZANEGO NA ZLECENIE GIODO

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

MEMORANDUM INFORMACYJNE

Data ProtectionOfficer(DPO) i administrator bezpieczeństwa informacji. Porównanie instytucji

Ustawa o ochronie danych osobowych po zmianach

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski

WSPÓŁTWORZENIE NOWEGO SYSTEMU MONITOROWANIA PRZESTRZEGANIA PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH. Monika Młotkiewicz

Ochrona danych osobowych

Ochrona danych osobowych

II Lubelski Konwent Informatyków i Administracji r.

Rola administratora bezpieczeństwa informacji w dyrektywie 95/46 oraz w prawodawstwie państw członkowskich UE. adw. dr Paweł Litwiński

KRAJOWA KONFERENCJA OCHRONY DANYCH OSOBOWYCH

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY W NOWYM PROJEKCIE KODEKSU PRACY. r.pr. Patrycja Kozik

Stanowisko Rządu w sprawie prezydenckiego projektu ustawy o zmianie ustawy o ochronie danych osobowych (druk nr 488)

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

z dnia o zmianie ustawy o transporcie drogowym 1)

Lp. Zgłoszona uwaga do paragrafu rozporządzenia Zgłaszający Stanowisko. Ad. 3. ust. 2 pkt. 1 i 2

PROWADZENIE REJESTRU ZBIORÓW DANYCH OSOBOWYCH PRZEZ ABI BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH

KONFERENCJA SIODO PRZYPADKI"

Administrator Bezpieczeństwa informacji

Od Wykazu do Rejestru. Zmiany zasad dokumentowania zbiorów danych osobowych. Maciej Kołodziej

Ustawa. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw

DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY 2014/46/UE

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 249 ust. 1, a także mając na uwadze, co następuje:

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.

Zmiany w ustawie o ochronie danych osobowych

WARSZTATY PRZYGOTOWUJĄCE DO OBJĘCIA FUNKCJI ABI I ASI. NOWE ZADANIA - SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH.

Wprowadzenie. 2. Czy powołanie ABI jest obowiązkowe? [ ] Powstało mylne, powszechne przekonanie o konieczności powołania ABI [ ]

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 249 ust. 1, a także mając na uwadze, co następuje:

PARLAMENT EUROPEJSKI

USTAWA z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw 1)

SPRAWOZDANIE KOMISJI SPRAWIEDLIWOŚCI I PRAW CZŁOWIEKA

PROJEKT ZAŁOŻEŃ PROJEKTU USTAWY O ZMIANIE USTAWY O WYROBACH BUDOWLANYCH ORAZ NIEKTÓRYCH INNYCH USTAW

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH NOWE ZADANIA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI ORAZ OMÓWIENIE

UNIA EUROPEJSKA PARLAMENT EUROPEJSKI

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

Karta zgłoszenia kandydata do Rady Seniorów Gminy Główczyce. Imię i nazwisko kandydata... Adres zamieszkania kandydata... PESEL kandydata...

Opinia do ustawy o ewidencji ludności (druk nr 960)

Warszawa, dnia 29 grudnia 2012 r. Poz USTAWA. z dnia 7 grudnia 2012 r.

WYKONYWANIE ZADAŃ ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI (ABI) WARSZTATY PRAKTYCZNE - SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR )

WNIOSEK O PRZYJĘCIE KANDYDATA

ZASADY POWIERZANIA DANYCH OSOBOWYCH FIRMY ELEKTROMONTAŻ RZESZÓW S.A. z dnia 25 maja 2018r.

Zmiana obowiązków zabezpieczania danych osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

3. Wybrane problemy dotycząc wyznaczania i działalności ABI w nowych realiach prawnych.

ABI EXPERT+ Ochrona danych osobowych. Warsztat specjalistyczny. Zadania Administratora danych osobowych. Skuteczne narzędzie ADO

- o zmianie ustawy o rachunkowości oraz o zmianie niektórych innych ustaw (druk nr 2566).

UCHWAŁA nr 2 VI Sprawozdawczego Krajowego Zjazdu Izby Architektów z dnia 15 maja 2009 roku

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

ul. Rewolucji 1905 r. nr 9, Łódź, tel.: , fax:

7) zapewnienie funkcjonowania adekwatnej, skutecznej i efektywnej kontroli zarządczej w kierowanej komórce organizacyjnej. ;

Załącznik nr 6. Wzór oświadczenia wymaganego od wykonawcy w zakresie wypełnienia obowiązków informacyjnych wynikających z RODO

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

WNIOSEK O PRZYJĘCIE KANDYDATA

Przewodnik po zmianach w ochronie. danych osobowych w 2015 roku

weryfikację prawidłowości zapisów dokumentacji zgodnie z ustawą o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz z późn.zm.

Program szkolenia - Rejestracja i bezpieczeństwo danych osobowych

Zbiór danych osobowych Skargi, wnioski, podania

Jestem LEKARZEM LEKARZEM DENTYSTĄ. Posiadam prawo wykonywania zawodu lekarza/lekarza dentysty (stomatologa) na obszarze Rzeczypospolitej Polskiej

WNIOSEK O PRZYJĘCIE KANDYDATA

KONSEKWENCJE NOWELIZACJI USTAWY O OCHRONIE DANYCH OSOBOWYCH DLA OBROTU GOSPODARCZEGO

Informacja o przetwarzaniu danych osobowych Radca prawny

Przewodnik po ochronie danych osobowych

2016 r. wdrażającej do polskiego porządku prawnego ww. dyrektywy oraz innych zmian merytorycznych, które znalazły się w tej ustawie.

WNIOSEK O PRZYJĘCIE KANDYDATA

na podstawie dyplomu nr Imię matki Miejsce urodzenia Numer paszportu wydany przez:

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

ROZPORZĄDZENIE MINISTRA INFRASTRUKTURY 1)

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI. zadania: przepisami; Nowe kompetencje GIODO: Administratora danych; Przekazywanie danych do państw trzecich:

na podstawie dyplomu nr Ukończyłem staż podyplomowy Uzyskałem uznanie przez Ministra Zdrowia stażu podyplomowego odbytego za granicą

WNIOSEK O PRZYJĘCIE KANDYDATA

WNIOSEK O PRZYJĘCIE KANDYDATA

Druk nr 4145 Warszawa, 27 kwietnia 2011 r.

Dziennik Urzędowy Unii Europejskiej L 112 I. Legislacja. Akty o charakterze nieustawodawczym. Rocznik kwietnia 2019.

DECYZJE. (Tekst mający znaczenie dla EOG)

OGŁOSZENIE O KONKURSIE

odwołaniach). Druki te powinny być stosowane również w postępowaniach o mniejszej wartości ze względu na szczególnie istotne informacje w nich

WNIOSEK O POWOŁANIE NA CZŁONKA KRAJOWEGO ZESPOŁU KONTROLERÓW

UZASADNIENIE Podstawowym celem projektowanej ustawy o zmianie niektórych ustaw w celu ułatwienia sprzedaży żywności przez rolników do sklepów i

Ochrona danych osobowych

Profesjonalny Administrator Bezpieczeństwa Informacji

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

Umowa powierzenia przetwarzania danych osobowych do Umowy... zawarta w dniu... w..., pomiędzy:

Druk nr 193 Warszawa, 12 grudnia 2005 r.

WNIOSEK O PRZYZNANIE KARTY DUŻEJ RODZINY LUB WYDANIE DUPLIKATU KARTY DUŻEJ RODZINY

Transkrypt:

Art. W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany: 1) w art. 12 pkt 4 otrzymuje brzmienie: 4) prowadzenie rejestrów zbiorów danych oraz administratorów bezpieczeństwa informacji, a także udzielanie informacji znajdujących się w rejestrach ; 2) po art. 16 dodaje się art. 16a w brzmieniu: Art. 16a. 1. Generalny Inspektor może odstąpić od czynności kontrolnych o których mowa w art. 14-16 i zwrócić się do administratora bezpieczeństwa informacji, wpisanego do rejestru, o którym mowa w art. 46b ust. 4, o przeprowadzenie w określonym terminie czynności polegających na sprawdzeniu zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, w zakresie wskazanym przez Generalnego Inspektora. 2. Po przeprowadzeniu czynności, o których mowa w ust. 1, administrator bezpieczeństwa informacji za pośrednictwem administratora danych, przedstawia Generalnemu Inspektorowi sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a. 3. Przeprowadzenie przez administratora bezpieczeństwa informacji czynności, o których mowa w ust. 1, nie wyłącza prawa Generalnego Inspektora do późniejszej kontroli, o której mowa w art. 12 pkt 1.. 3) w art. 36 uchyla się ust.3; 4) po art. 36 dodaje się art. 36a i 36b w brzmieniu: Art. 36a. 1. Administrator danych może powołać administratora bezpieczeństwa informacji. 2. Do zadań administratora bezpieczeństwa informacji należy: 1) zapewnienie stosowania przepisów o ochronie danych osobowych, w szczególności poprzez: a) przeprowadzanie czynności polegających na sprawdzeniu zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, b) zapewnienie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz nadzorowanie przestrzegania zasad w niej określonych, c) zaznajamianie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, 1

2) prowadzenie jawnego rejestru zbiorów danych przetwarzanych w jednostce organizacyjnej, zawierającego informacje, o których mowa w art. 41 ust. 1 pkt. 1-4a i 7. 3. Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, które nie naruszają prawidłowego wykonywania zadań, o których mowa w ust. 2. 4. Administratorem bezpieczeństwa informacji może być osoba, która: 1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, 2) posiada wykształcenie wyższe, 3) posiada odpowiednią wiedzę z zakresu przepisów o ochronie danych osobowych, 4) nie była karana za przestępstwo popełnione z winy umyślnej. 5. Administrator danych może powołać zastępców administratora bezpieczeństwa informacji, którzy spełniają warunki określone w ust. 4. 6. Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej, który zapewnia niezbędne środki i organizacyjną odrębność administratora bezpieczeństwa informacji w niezależnym wykonywaniu przez niego zadań, o których mowa w ust. 2. 7. W przypadku nie powołania administratora bezpieczeństwa informacji administrator danych sam wykonuje zadania określone w ust. 2 pkt 1 z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w ust. 2 pkt 1 lit. a. 8. Minister właściwy do spraw administracji publicznej, po zasięgnięciu opinii Generalnego Inspektora, określi w drodze rozporządzenia: 1) tryb wykonywania czynności sprawdzających, o których mowa w ust. 2 pkt 1 lit. a oraz nadzoru, o którym mowa w ust. 2 pkt 1 lit. b; 2) sposób prowadzenia rejestru zbiorów danych, o którym mowa w ust. 2 pkt 2; - uwzględniając sprawność wykonywania zadań przez administratora bezpieczeństwa informacji oraz konieczność zapewnienia jego niezależności i organizacyjnej odrębności. Art. 36b. Sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, zawiera: 1) nazwę podmiotu poddanego czynnościom, o których mowa w art. 36a ust. 2 pkt 1 lit. a, w pełnym brzmieniu i jego adres, 2) imię i nazwisko administratora bezpieczeństwa informacji, 3) wykaz czynności podjętych przez administratora bezpieczeństwa informacji oraz imiona i nazwiska osób biorących udział w tych czynnościach, 4) datę rozpoczęcia i zakończenia czynności, 5) określenie przedmiotu i zakresu czynności, 6) opis stanu faktycznego stwierdzonego w toku czynności oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2

7) stwierdzone przypadki naruszenia przepisów w zakresie objętym czynnościami wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem, 8) wyszczególnienie załączników stanowiących składową część sprawozdania, 9) podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania, 10) datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji. 5) tytuł rozdziału 6 otrzymuje brzmienie: Rejestracja zbiorów danych osobowych oraz administratorów bezpieczeństwa informacji ; 6) w art. 43 ust. 1 dodaje się pkt 12 w brzmieniu: 12) przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, za wyjątkiem danych określonych w art. 27 ust. 1. 7) w art. 43 po ust.1 dodaje się ust. 1a w brzmieniu: 1a. Niezależnie od zwolnień określonych w ust. 1 obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał i zgłosił Generalnemu Inspektorowi administratora bezpieczeństwa informacji. 8) po art. 46a dodaje się art. 46b, art. 46c i art. 46d w brzmieniu: art. 46b.1. Administrator danych jest zobowiązany zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji oraz zmianę informacji objętych zgłoszeniem, w terminie 14 dni od dnia powołania, odwołania lub zmiany. 2. Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji powinno zawierać: 1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, 2) dane osobowe administratora bezpieczeństwa informacji: a) imię i nazwisko, b) numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość, c) adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 1, d) adres poczty elektronicznej, 3) datę powołania, 4) oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków określonych w ustawie. 3

3. Zgłoszenie odwołania administratora bezpieczeństwa informacji powinno zawierać: 1) dane o których mowa w ust. 2 pkt 1 i 2 lit. a i b, 2) datę i przyczynę odwołania. 4. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji, zawierający informacje, o których mowa w ust. 2 pkt 1 i 2 lit. a, c i d. 5. Na żądanie administratora danych lub administratora bezpieczeństwa informacji Generalny Inspektor wydaje zaświadczenie o zarejestrowaniu administratora bezpieczeństwa informacji. 6. Do zgłaszania zmian stosuje się odpowiednio przepisy o zgłoszeniu powołania administratora bezpieczeństwa informacji. art. 46c.1. Wykreślenie administratora bezpieczeństwa informacji z rejestru następuje po powiadomieniu o jego odwołaniu, o którym mowa w art. 46b ust.1. 2. Generalny Inspektor z urzędu wydaje administratorowi danych decyzję o wykreśleniu administratora bezpieczeństwa informacji z rejestru, jeżeli: 1) administrator bezpieczeństwa informacji nie spełnia warunków określonych w ustawie, 2) administrator bezpieczeństwa informacji nie wykonuje zadań określonych w art. 36a ust. 2, 3) administrator danych nie powiadomił o odwołaniu administratora bezpieczeństwa informacji. 3. Decyzja o wykreśleniu podlega natychmiastowemu wykonaniu, a do administratora danych będącego jej adresatem nie stosuje się zwolnienia, o którym mowa w art. 43 ust.1a. 4. Administrator danych może ponownie zgłosić do rejestracji Generalnemu Inspektorowi powołanie administratora bezpieczeństwa informacji wykreślonego z rejestru. 5. W razie ponownego zgłoszenia administratora bezpieczeństwa informacji Generalny Inspektor, w drodze decyzji administracyjnej: 1) wpisuje administratora bezpieczeństwa informacji do rejestru i dopuszcza stosowanie zwolnienia, o którym mowa w art. 43 ust.1a, po stwierdzeniu, iż nie zachodzą przyczyny wykreślenia z rejestru, 2) odmawia wpisania administratora bezpieczeństwa informacji do rejestru, jeżeli nie zostały usunięte przyczyny wykreślenia z rejestru. art. 46d. Minister właściwy do spraw administracji publicznej, po zasięgnięciu opinii Generalnego Inspektora, określi w drodze rozporządzenia wzory zgłoszeń administratora bezpieczeństwa informacji, o których mowa w art. 46b ust. 2 i 3. 4

Art. Do postępowań rejestracyjnych prowadzonych przez Generalnego Inspektora na podstawie zgłoszeń, o których mowa w art. 41 ust. 1 i 2, nie zakończonych przed dniem wejścia w życie art. 43 ust. 1 pkt 12 i ust. 1a ustawy, o której mowa w art., stosuje się przepisy dotychczasowe. Założenia projektu ustawy Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) 1) Zwolnienie administratora danych z obowiązku zgłaszania zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych związane z powołaniem administratora bezpieczeństwa informacji. Aktualny stan prawny: Zgodnie z art. 40 ustawy administrator danych obowiązany jest zgłosić zbiór danych osobowych do rejestracji, Generalnemu Inspektorowi Ochrony Danych Osobowych (dalej: Generalny Inspektor). Zwolnienia z obowiązku rejestracji zostały wymienione w art. 43 ust. 1 pkt 1-11 ustawy. Na zwolnienie administratora danych z obowiązku rejestracji nie ma w żaden sposób wpływu wyznaczenie, bądź jego brak, administratora bezpieczeństwa informacji (dalej również: ABI), o którym mowa w art. 36 ust 3. Zgodnie z tym przepisem administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności. Wspomniany w powyższym przepisie ust 1 art. 36 reguluje zasady w zakresie bezpieczeństwa technicznoorganizacyjnego przetwarzanych danych osobowych. Propozycja dodanie w art. 43 ustawy przepisu wprowadzającego nowe, kompleksowe zwolnienie z obowiązku zgłoszenia do rejestracji Generalnemu 5

Inspektorowi zbiorów, w których nie będą przetwarzane dane określone w art. 27 ust. 1, (tzw. dane szczególnie chronione), prowadzonych przez administratorów danych, którzy powołali i zgłosili Generalnemu Inspektorowi administratora bezpieczeństwa informacji, skorelowane ze zmianą przepisów dotyczących administratora bezpieczeństwa informacji; - uchylenie art. 36 ust. 3 ustawy i dodanie w nowym artykule przepisów wprowadzających możliwość powołania administratora bezpieczeństwa informacji, regulujących jego podstawowe zadania (obowiązek zapewnienia stosowania przepisów o ochronie danych osobowych oraz prowadzenia jawnego rejestru zbiorów danych przetwarzanych w jednostce organizacyjnej, zawierającego informacje, o których mowa w art. 41 ust. 1 pkt. 1-4a i 7), warunki jego powołania (pełna zdolność do czynności prawnych oraz korzystanie z pełni praw publicznych, wykształcenie wyższe, legitymowanie się odpowiednią wiedzą z zakresu przepisów o ochronie danych osobowych, niekaralność za przestępstwo popełnione z winy umyślnej), możliwość powołania jego zastępcy oraz usytuowanie organizacyjne w jednostce administratora danych (bezpośrednia podległość kierownikowi jednostki organizacyjnej, który zapewnia niezbędne środki i organizacyjną odrębność administratora bezpieczeństwa informacji w niezależnym wykonywaniu przez niego zadań oraz dopuszczenie nałożenia na ABI innych zadań niż określone w ustawie pod warunkiem, że nie naruszą one możliwości prawidłowego wykonywania jego ustawowych zadań). - wprowadzenie przepisu ustanawiającego dla administratora obowiązek wykonywania nadzoru wewnętrznego nad bezpieczeństwem przetwarzania danych osobowych w jednostce organizacyjnej, w przypadku nie powołania administratora bezpieczeństwa informacji. Uzasadnienie: Wykonywanie obowiązku zgłaszania do rejestracji Generalnemu Inspektorowi zbiorów danych, a następnie dokonywanie zgłoszeń aktualizujących informacje podane we wnioskach rejestracyjnych stanowi znaczne obciążenie administracyjne dla administratorów danych, w tym przedsiębiorców. Przepisy rozdziału VI ustawy o ochronie danych osobowych dotyczące obowiązku rejestracji zbiorów danych stanowią implementację przepisów Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie 6

ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L 281 z dnia 31 listopada 1995r.), zamieszczonych w rozdziale II sekcji IX zatytułowanej "Zawiadomienie". Dyrektywa w tej części reguluje instytucję tzw. "notyfikacji", tj. nałożonego na administratora danych obowiązku powiadamiania organu nadzorczego o zamierzonych operacjach przetwarzania danych osobowych. Na gruncie wspomnianej dyrektywy niedopuszczalne jest zrezygnowanie przez państwo członkowskie z obowiązku notyfikacji, ale możliwe jest jego uproszczenie bądź zwolnienie z ww. wymogu w zakresie wyznaczonym dyrektywą. Obowiązek powiadamiania wprowadza ust. 1 ww. artykułu Dyrektywy, natomiast ust. 2 art. 18 określa przypadki, w których administrator danych może być zwolniony z tego obowiązku. W szczególności przepis ten dopuszcza, aby państwa członkowskie uprościły obowiązek notyfikacyjny lub z niego zwolniły, jeżeli administrator danych wyznaczy urzędnika ds. ochrony danych osobowych (data protection official), pod warunkiem spełnienia przez niego dwóch warunków: zapewnienia w sposób niezależny przestrzegania krajowych przepisów o ochronie danych osobowych (opartych na dyrektywie 95/46/WE) oraz prowadzenia rejestru operacji związanych z przetwarzaniem danych dokonywanych przez administratora danych, zawierającego takie same elementy jak rejestr ogólnokrajowy prowadzony przez państwowy organ ds. ochrony danych osobowych (tzw. uproszczona rejestracja). Jest to jedyne przewidziane w dyrektywie zwolnienie o charakterze kompleksowym, ponieważ inne zwolnienia dotyczą określonych kategorii danych (art. 18 ust. 4), lub też zależą od kryteriów wpływu na prawa i wolności podmiotu danych (art. 18 ust. 2 tiret pierwsze) czy dostępności danych osobowych (art. 18 ust.3). Jednakże ustawodawca polski nie skorzystał dotychczas z możliwości uregulowania znanej dyrektywie instytucji urzędnika ds. ochrony danych osobowych. Przewidziany w polskiej ustawie administrator bezpieczeństwa informacji nie spełnia warunków do uznania go za urzędnika ds. ochrony danych osobowych w rozumieniu Dyrektywy. Ustawa nie gwarantuje mu bowiem niezależności, zbyt wąsko określa jego zadania w odniesieniu do uregulowań dyrektywy w tym zakresie, jak również nie przyznaje kompetencji w zakresie uproszczonej rejestracji. Aktualnie w ustawie o ochronie danych osobowych znajduje się tylko jeden przepis dotyczący ABI (art. 36 ust. 3), zgodnie z którym zadaniem tegoż administratora jest nadzorowanie przestrzegania zasad w zakresie bezpieczeństwa techniczno-organizacyjnego przetwarzanych danych osobowych. 7

Proponuje się zatem kompleksowe zwolnienie z obowiązku rejestracyjnego administratora danych, który powołał i zgłosił do rejestracji Generalnemu Inspektorowi ABI z jednoczesną zmianą przepisów odnoszących się do jego zadań i usytuowania organizacyjnego w jednostce administratora danych. Powyższe zwolnienie z obowiązku rejestracyjnego nie dotyczy jednakże zbiorów zawierających dane wymienione w art. 27 ust.1, ponieważ w ramach rejestracji uregulowanej w polskiej ustawie wykonywany jest obowiązek kontroli wstępnej (prior checking) przetwarzania tych danych, tj. operacji, które mogą stwarzać zagrożenie dla praw i wolności podmiotu danych (art. 20 dyrektywy 95/46/WE). Ze względu na opisane powyżej wymogi prawa unijnego w zakresie dopuszczalności kompleksowego zwolnienia administratorów danych z obowiązku rejestracji zbiorów, wprowadza się nowe przepisy dotyczące statusu i zadań ABI, które zapewnią zachowanie następujących standardów wyznaczonych dyrektywą 95/46/WE: - niezależność w wykonywaniu zadań, - obowiązek zapewnienia stosowania w jednostce organizacyjnej przepisów o ochronie danych osobowych, w szczególności poprzez przyznanie kompetencji do kontroli wewnętrznej w zakresie przestrzegania przepisów o ochronie danych osobowych, - prowadzenie wewnętrznego rejestru zbiorów danych. Jednocześnie w ramach proponowanych rozwiązaniach określony zostaje status ABI, na który składają się: wymogi stawiane osobie mającej pełnić omawianą funkcję, organizacyjne usytuowania funkcji oraz dopuszczenie nałożenia na ABI innych zadań niż określonych w ustawie o ochronie danych osobowych (pod warunkiem, że nie naruszą możliwości prawidłowego wykonywania zadań wyznaczonych w ustawie). Dopuszczono także możliwość powołania zastępcy administratora bezpieczeństwa informacji, co ma znaczenie w sytuacjach, gdy sam ABI przejściowo nie może realizować swoich zadań. Przy okazji ustawa rozstrzyga status ABI, w zakresie którego trwała dotychczas dyskusja, czy jest to zawód, stanowisko pracy, czy jedynie funkcja w jednostce organizacyjnej. Projektowana nowelizacja przyjmuje, że ABI może wykonywać inne nałożone na niego zadania, które nie naruszają jego obowiązków dotyczących ochrony danych osobowych. Celowo projektowana zmiana unika regulowania kwestii zmierzającej w kierunku tworzenia nowej grupy zawodowej. 8

Należy podkreślić, że powyższa zmiana przepisów ustawy oraz inne zaproponowane w projekcie rozwiązania były już dyskutowane od 2008 r., z udziałem Generalnego Inspektora, w środowisku administratorów bezpieczeństwa informacji zrzeszonych w Stowarzyszeniu Administratorów Bezpieczeństwa Informacji oraz przedstawiane na licznych krajowych konferencjach przeznaczonych dla osób zajmujących się problematyką ochrony danych osobowych (m.in. na Kongresach Administratorów Bezpieczeństwa Informacji). Potrzeba zmiany statusu ABI w zakresie objętym projektem przedstawiana była również na wysłuchaniu publicznym w Sejmie w dniu 09.07.2008r. dotyczącym przedstawionego przez Prezydenta RP projektu ustawy o zmianie ustawy o ochronie danych osobowych (druk 488). 2) Zwolnienie administratora danych z obowiązku zgłaszania do rejestracji Generalnemu Inspektorowi zbioru danych, który nie jest prowadzony w systemie informatycznym. Aktualny stan prawny: Zgodnie z obecnymi przepisami sposób prowadzenia zbioru, tj. przetwarzanie w nim danych w sposób tradycyjny bez użycia systemu informatycznego, czy też z jego użyciem nie ma żadnego wpływu na obowiązek rejestracji. Propozycja - oprócz zwolnienia z obowiązku rejestracyjnego administratora danych, który powołał i zgłosił do rejestracji Generalnemu Inspektorowi administratora bezpieczeństwa informacji proponuje się wprowadzenie zwolnienia w odniesieniu do zbiorów danych, które nie są prowadzone w systemie informatycznym, za wyjątkiem zbiorów zawierających dane szczególnie chronione (określone w art. 27 ust 1). Uzasadnienie: Rozwiązanie powyższe będzie zgodne z dyrektywą, która pozwala na zwolnienie z obowiązku rejestracji wszystkich zbiorów (bez względu m. in. na kategorię danych), do prowadzenia których nie wykorzystuje się systemów informatycznych (art. 18 ust. 5 dyrektywy), a jednocześnie zmniejszy obciążenia administracyjne tych administratorów danych (przedsiębiorców), którzy nie mogą 9

skorzystać ze wspomnianego powyżej kompleksowego zwolnienia z obowiązku rejestracji zbioru danych z uwagi na brak powołania ABI. Jednakże obowiązkowi rejestracji będą podlegały zbiory, do prowadzenia których nie wykorzystuje się systemu informatycznego, jeżeli będą w nich przetwarzane dane szczególnie chronione. Obowiązek rejestracji zbiorów zawierających tę szczególną kategorię danych, podobnie jak w przypadku kompleksowego zwolnienia z obowiązku rejestracji administratorów, którzy powołali ABI, zostaje utrzymany z uwagi na wykonywaną w postepowaniu rejestracyjnym przez Generalnego Inspektora kontrolę wstępną w odniesieniu do tych danych. 3) Rejestracja administratorów bezpieczeństwa informacji. Aktualny stan prawny: Zgodnie z obecnym stanem prawnym na każdym administratorze danych ciąży obowiązek wyznaczenia ABI, chyba że administrator danych sam wykonuje jego zadania (art. 36 ust. 3). Jednakże administrator danych nie ma obowiązku zgłaszania Generalnemu Inspektorowi powołania takiej osoby. Administrator danych jest zobowiązany poinformować Generalnego Inspektora jedynie o fakcie powołania ABI, bez wskazywania jego danych osobowych, w każdym zgłoszeniu zbioru danych do rejestracji. Jedyny obowiązek rejestracyjny ciążący na administratorze danych uregulowany w ustawie dotyczy zbioru danych osobowych. Propozycja - w art. 12 pkt 4 przewiduje się rozszerzenie kompetencji rejestracyjnych Generalnego Inspektora na informacje o administratorach bezpieczeństwa informacji, oraz powiązane z tym przepisem wprowadzenie obowiązku zgłoszenia Generalnemu Inspektorowi powołania oraz odwołania administratora bezpieczeństwa informacji, a także zmian objętych zgłoszeniem w terminie 14 dni od dnia powołania, odwołania lub zmiany; - wprowadzenie przepisów regulujących funkcjonowanie ogólnokrajowego, jawnego rejestru administratorów bezpieczeństwa informacji prowadzonego przez Generalnego Inspektora; - wprowadzenie przepisów regulujących wykreślenie ABI z rejestru administratorów bezpieczeństwa informacji w drodze czynności materialno-technicznej (w przypadku 10

powiadomienia przez administratora danych o odwołaniu ABI) oraz na podstawie decyzji administracyjnej wydawanej z urzędu (jeżeli administrator danych nie powiadomił o odwołaniu administratora bezpieczeństwa informacji, administrator bezpieczeństwa informacji nie spełnia ustawowych warunków jego powołania lub nie wykonuje swoich ustawowych zadań), a także skutki wykreślenia dla administratora danych (brak możliwości skorzystania ze zwolnienia zbiorów z rejestracji w związku z powołaniem ABI); - wprowadzenie przepisów przyznających administratorowi danych możliwość ponownego zgłoszenia do rejestracji ABI wykreślonego z rejestru oraz zobowiązujących GIODO, w przypadku stwierdzeniu wyeliminowania przyczyn wykreślenia, do wydania decyzji administracyjnej w przedmiocie wpisu ABI do rejestru lub decyzji administracyjnej odmawiającej wpisu do rejestru, jeżeli nie zostały usunięte przyczyny wykreślenia z rejestru. Uzasadnienie: Proponowane rozwiązania powiązane są z nowymi regulacjami dotyczącymi zwolnienia z obowiązku rejestracji zbiorów tych administratorów danych, którzy powołali ABI i zgłosili jego powołanie do rejestracji Generalnemu Inspektorowi. System rejestracji administratorów bezpieczeństwa informacji ma w prosty sposób zapewnić kontrolę, czy administrator danych faktycznie spełnił warunki niezbędne do zwolnienia go z obowiązku rejestracyjnego. Jednocześnie, tak jak system rejestracji zbiorów danych osobowych, poprzez jawność danych zawartych w rejestrze będzie wypełniał, zgodnie z przepisami dyrektywy, postulat transparentności operacji przetwarzania danych osobowych. 4) Kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Aktualny stan prawny: Zgodnie z art. 12 pkt. 1 jednym z zadań Generalnego Inspektora jest kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych. 11

Kompetencję w zakresie przeprowadzania kontroli w powyższym zakresie ustawa przyznaje wyłącznie Generalnemu Inspektorowi. Propozycja dodanie przepisów przewidujących możliwość uproszczonej kontroli przestrzegania przepisów o ochronie danych osobowych, która będzie wykonywana na wniosek Generalnego Inspektora - przez niezależnego ABI, zastępując w tym zakresie bezpośrednią kontrolę Generalnego Inspektora. Po przeprowadzonej kontroli ABI będzie sporządzał sprawozdanie zawierające informacje określone w ustawie, które następnie przedstawi Generalnemu Inspektorowi. Uzasadnienie: Generalny Inspektor, ze względu na niezależną kompetencję kontrolną ABI, mógłby powierzyć mu wykonywanie czynności polegających na sprawdzeniu zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Stanowiłoby to istotne odciążenie dla administratorów danych (w tym przedsiębiorców) w stosunku do stanu aktualnego, w którym w każdym wymagającym tego przypadku (np. skargi osoby trzeciej) podlegają oni bezpośredniej kontroli Generalnego Inspektora. Taka kontrola wykonywana przez ABI w żaden sposób nie naruszy kompetencji samego Generalnego Inspektora, który jedynie uznaniowo dopuszcza uproszczoną kontrolę i nie jest ograniczony w możliwości jej późniejszego przeprowadzenia. Przepisy wykonawcze: W przepisach wykonawczych do ustawy o ochronie danych osobowych, które zostaną wydane przez ministra właściwego do spraw administracji publicznej, po zasięgnięciu opinii Generalnego Inspektora, zostanie określony tryb wykonywania przez ABI czynności polegających na sprawdzeniu zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz nadzoru przestrzegania zasad określonych w dokumentacji, o której mowa w art. 36 ust. 2, sposób prowadzenia uproszczonego rejestru zbiorów danych oraz wzory zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji do rejestracji Generalnemu Inspektorowi. 12

Przepisy przejściowe: Do postępowań rejestracyjnych prowadzonych przez Generalnego Inspektora podstawie zgłoszeń, o których mowa w art. 41 ust. 1 i 2, nie zakończonych przed dniem wejścia w życie przepisów wprowadzających nowe zwolnienia z obowiązku rejestracyjnego, będą miały zastosowanie dotychczasowe przepisy ustawy o ochronie danych osobowych. 13

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres