NOWELIZACJA USTAWY O OCHRONIE DANYCH OSOBOWYCH

Podobne dokumenty
Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

Od 1 stycznia 2015 r. zaczęły obowiązywać znowelizowane przepisy ustawy o ochronie danych osobowych

MEMORANDUM INFORMACYJNE

Wnioski i perspektywy dla przedsiębiorstw po najnowszych zmianach w polskiej ustawie o ochronie danych osobowych

Obowiązek powoływania Administratora Bezpieczeństwa Informacji

KRAJOWA KONFERENCJA OCHRONY DANYCH OSOBOWYCH

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI. zadania: przepisami; Nowe kompetencje GIODO: Administratora danych; Przekazywanie danych do państw trzecich:

Nowy status i zakres obowiązków administratora bezpieczeństwa informacji Andrzej Kaczmarek. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

SZKOLENIE: Ochrona danych osobowych w praktyce z uwzględnieniem zmian od r.

DLACZEGO JDS? Dariusz Kasjaniuk. Jakub Wezgraj. Firma JDS Consulting jest od 10 lat obecna na rynku

Szkolenie. Funkcja Administratora Bezpieczeństwa Informacji po deregulacji. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

OGÓLNOKRAJOWY REJESTR ADMINISTRATORÓW BEZPIECZEŃSTWA INFORMACJI

BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH. Departament Inspekcji

Profesjonalny Administrator Bezpieczeństwa Informacji

Ustawa o ochronie danych osobowych po zmianach

Propozycje SABI w zakresie doprecyzowania statusu ABI

Praktyczny kurs dla Administratora Bezpieczeństwa Informacji

Wprowadzenie. 2. Czy powołanie ABI jest obowiązkowe? [ ] Powstało mylne, powszechne przekonanie o konieczności powołania ABI [ ]

Krajowa Konferencja Ochrony Danych Osobowych

IODO: kompetencje nie wystarczą

WSPÓŁTWORZENIE NOWEGO SYSTEMU MONITOROWANIA PRZESTRZEGANIA PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH. Monika Młotkiewicz

Od Wykazu do Rejestru. Zmiany zasad dokumentowania zbiorów danych osobowych. Maciej Kołodziej

GRUPA GUMUŁKA -KIERUNEK NA INNOWACJE OFERTA SZKOLENIA OCHRONA DANYCH OSOBOWYCH Z UWZGLĘDNIENIEM EUROPEJSKIEJ REFORMY PRZEPISÓW - RODO KATOWICE

KONFLIKT INTERESÓW PRZY POWIERZENIU DPO INNYCH ZADAŃ A NAKAZ WYKONYWANIA OBOWIĄZKÓW W SPOSÓB NIEZALEŻNY

UMOWA O POWIERZENIE OBOWIĄZKÓW ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI ORAZ BIEŻĄCĄ OBSŁUGĘ W ZAKRESIE ZAGADNIEŃ DOTYCZĄCYCH OCHRONY DANYCH OSOBOWYCH

Instytucja administratora bezpieczeństwa informacji przy obecnie obowiązujących przepisach prawa Pytania, odpowiedzi, fakty i mity

Zmiana obowiązków zabezpieczania danych osobowych

I Program szczegółowy akredytowanego Kursu dla Administratorów Bezpieczeństwa Informacji

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

weryfikację prawidłowości zapisów dokumentacji zgodnie z ustawą o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz z późn.zm.

PROWADZENIE REJESTRU ZBIORÓW DANYCH OSOBOWYCH PRZEZ ABI BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH

Program szkolenia - Rejestracja i bezpieczeństwo danych osobowych

Projektowane zmiany prawne statusu Administratora Bezpieczeństwa Informacji (ABI) dr Grzegorz Sibiga

OFERTA Usług audytowych i doradczych w zakresie ochrony danych osobowych dla jednostek administracji publicznej

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

Zmiany w ustawie o ochronie danych osobowych

GRUPA GUMUŁKA -KIERUNEK NA INNOWACJE OFERTA SZKOLENIA OCHRONA DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE

Szkolenie Ochrona danych osobowych w praktyce

Sz. P. Michał Serzycki Generalny Inspektor Ochrony Danych Osobowych.

ZAPRASZAMY. PRAKTYCZNY KURS ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI 2 spotkania TERMINY: godz. 10:00. MIEJSCE: KRAKÓW DOM POLONII Ul.

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

3. Wybrane problemy dotycząc wyznaczania i działalności ABI w nowych realiach prawnych.

Ochrona tajemnicy przedsiębiorstwa

Pierwsze doświadczenia w wykonywaniu funkcji IODy

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

Uchwała wchodzi w życie z dniem uchwalenia.

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE

ZARZĄDZENIE Nr 118/2006 Rektora Uniwersytetu Wrocławskiego z dnia 15 września 2006 r.

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r.

Zmiany w ustawie o ochronie danych osobowych od dnia 1 stycznia 2015 r.

Warszawa, dnia 12 maja 2016 r. Poz. 20

KLAUZULA INFORMACYJNA

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

Ochrona danych osobowych w chmurze

Czas trwania szkolenia- 1 DZIEŃ

Karta audytu Uniwersytetu Śląskiego w Katowicach

SPOTKANIE PROGRAMOWE AGENTÓW TURYSTYCZNYCH

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

Lp. Zgłoszona uwaga do paragrafu rozporządzenia Zgłaszający Stanowisko. Ad. 3. ust. 2 pkt. 1 i 2

OCHRONA DANYCH OSOBOWYCH

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

NOWE ZASADY I OBOWIĄZKI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH UNIJNE ROZPORZĄDZENIE (GDPR)

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

Przewodnik po ochronie danych osobowych : vademecum dyrektora i nauczyciela placówki oświatowej / Dariusz Skrzyński. wyd. 2.

II Lubelski Konwent Informatyków i Administracji r.

- REWOLUCJA W PRZEPISACH

Polityka Prywatności Przetwarzania Danych Osobowych Kandydatów REKRUTACJA ZA POŚREDNICTWEM PORTALU

Nowe obowiązki Administratora Bezpieczeństwa Informacji sprawdzenie

Kontrola GIODO w firmie

3. Cel przetwarzania danych przez Administratora, podstawa prawna przetwarzania oraz okres, przez który dane osobowe będą przechowywane:

USŁUGI AUDYTOWE I DORADCZE W ZAKRESIE OCHRONY DANYCH OSOBOWYCH. 17 września 2012

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W AQUICK S.C.

Ochrona danych osobowych w administracji publicznej

Wstęp. 1. Jakie umowy i kiedy zawierać z członkami zarządu

POJĘCIE, ZAKRES I TRYB SPRAWDZENIA PRZEPROWADZANEGO NA ZLECENIE GIODO

ZARZĄDZENIE NR 9 DYREKTORA GENERALNEGO MINISTERSTWA ŚRODOWISKA z dnia 12 maja 2009 r. w sprawie wprowadzenia Karty audytu wewnętrznego

ECK EUREKA tel fax

Krajowa Konferencja Ochrony Danych Osobowych

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

Nowe przepisy i zasady ochrony danych osobowych

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

INSPEKTOR DANYCH OSOBOWYCH CZYLI ABI PO NOWEMU W ASPEKCIE

Wykonanie obowiązków informacyjnych RODO

SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH NOWE ZADANIA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI ORAZ OMÓWIENIE

Administrator Bezpieczeństwa Informacji - funkcja, pozycja i obowiązki po zmianach nowelizacyjnych z 2015 r.

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

Polityka prywatności portalu poradnia-online.com obowiązuje od r.

Ochrona danych osobowych w praktyce

:00 17:00. Organizator szkolenia: Związek Pracodawców Ziemi Jaworskiej

Polityka prywatności portalu poradnia-online.com obowiązuje od r.

Uchwała Nr 1 Nadzwyczajnego Walnego Zgromadzenia Paged Spółki Akcyjnej z dnia 16 października 2017 r. Walnego Zgromadzenia

REGULAMIN WYKONYWANIA KONTROLI W PODMIOTACH, Z KTÓRYMI PLUS BANK S.A. ZAWARŁ UMOWY OUTSOURCINGU

Kurs ABI / RODO (rozszerzony 2 dniowy)

Warszawa ul. Mokotowska 14, tel , ZRBS/24/2019 Warszawa, dnia 28 lutego 2019 r.

Polityka informacyjna TU INTER Polska SA oraz TU INTER-ŻYCIE Polska SA

Polityka informacyjna dla Kontrahentów oraz osób reprezentujących Kontrahentów. OTCF S.A. z siedzibą w Wieliczce ul. A. Grottgera Wieliczka

Transkrypt:

NOWELIZACJA USTAWY O OCHRONIE DANYCH OSOBOWYCH DUŻE ZMIANY W PRZEPISACH PRAWA OD 1 STYCZNIA 2015 ROKU WSKAZÓWKI I REKOMENDACJE EKSPERTÓW JDS CONSULTING Autorzy: Jakub Wezgraj Martyna Tomala

Szanowni Państwo, Korzystając z ponad 12-letniego doświadczenia naszego zespołu ekspertów prawnych, mamy przyjemność przedstawić Państwu rekomendacje i wskazówki służące podjęciu prawidłowych działań w nowym otoczeniu prawnym, które stanie się faktem począwszy od 2015 roku. W dniu 1 stycznia 2015 r. wchodzi w życie nowelizacja ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, pojawią się również nowe przepisy wykonawcze wydane na jej podstawie. Wprowadzone zmiany dotyczą działalności każdego podmiotu w Polsce, który w ramach swojej działalności ma dostęp i wykorzystuje dane osobowe. W praktyce więc znowelizowane przepisy dotyczyć będą każdego przedsiębiorcy i realnie mogą wpływać na sposób i zakres jego działalności. Mamy nadzieję, że przekazane informacje posłużą Państwu do wyciągnięcia konstruktywnych wniosków i podjęcia skutecznych działań w nowych realiach prawnych. Z wyrazami szacunku Jakub Wezgraj Radca Prawny Kierownik Działu Audytu i Projektów JDS Consulting 2

Spis treści 1. WSKAZÓWKI I REKOMENDACJE EKSPERTÓW... 4 Dlaczego przedsiębiorstwa podlegają wymogom ustawy o ochronie danych osobowych?... 4 Źródło zmian w przepisach prawa... 5 Obowiązek rejestracji zbiorów danych przed i po nowelizacji... 6 Kim jest Administrator Bezpieczeństwa Informacji? Kto może pełnić funkcję ABI?... 7 Jak należy prawidłowo powołać Administratora Bezpieczeństwa Informacji?... 8 Katalog ustawowych zadań Administratora Bezpieczeństwa Informacji... 10 Czy przedsiębiorstwo musi powoływać ABI?... 11 Co zyskuje przedsiębiorstwo powołując ABI?... 11 Ułatwienia w przekazywaniu danych osobowych poza Europejski Obszar Gospodarczy... 13 2. JAK MOŻEMY POMÓC?... 14 Autorzy wyjaśnień i rekomendacji Martyna Tomala prawnik, Administrator Bezpieczeństwa Informacji, Dział Audytu i Projektów Jakub Wezgraj radca prawny, Kierownik Działu Audytu i Projektów 3

1. Wskazówki i rekomendacje ekspertów Dlaczego przedsiębiorstwa podlegają wymogom ustawy o ochronie danych osobowych? Przepisy ustawy o ochronie danych osobowych (tekst jedn. Dz.U. 2014 r. poz. 1182, dalej zwanej również Ustawą ) nakładają dodatkowe obowiązki prawne na wszystkie podmioty, które w związku z prowadzoną działalnością przetwarzają dane osobowe, np. dane pracowników, klientów czy też kontrahentów. W praktyce każdy podmiot, niezależnie od formy prawnej, w której prowadzi swoją działalność jak również przedsiębiorcy prowadzący tzw. jednoosobową działalność gospodarczą muszą zadbać o zgodne z prawem przetwarzanie i zabezpieczenie danych osobowych. Takimi podmiotami są właśnie przedsiębiorcy, którzy decydują o celach i środkach przetwarzania danych osobowych w ramach swojej działalności biznesowej. Organem uprawnionym do kontroli przedsiębiorców w tym zakresie jest GIODO Generalny Inspektor Ochrony Danych Osobowych. Zgodnie z ustawą o ochronie danych osobowych to właśnie Administratorzy danych są zobowiązani realizować poszczególne wymagania prawne. Ustawa przewiduje jednak w tym zakresie pewne ułatwienia dla przedsiębiorców występujących w roli Administratorów danych. Podmioty przetwarzające dane osobowe są określane na gruncie ustawy o ochronie danych osobowych mianem Administratorów danych, czyli podmiotów które decydują o celach przetwarzania danych, a także środkach które służą do ich przetwarzania. Jednym z ułatwień w realizacji poszczególnych przepisów prawa jest wyznaczenie konkretnej osoby do pełnienia funkcji Administratora Bezpieczeństwa Informacji, czyli osoby która w imieniu i na rzecz przedsiębiorcy nadzoruje proces przetwarzania i ochrony danych osobowych. Znowelizowane przepisy przewidują duże zmiany między innymi odnoszące się do zasad wyznaczania Administratorów Bezpieczeństwa Informacji. 4

Od stycznia 2015 roku przedsiębiorcy, jeżeli zdecydują się na powołanie takiej funkcji, zyskają na pewnych zwolnieniach ustawowych i nie będą musieli realizować niektórych uciążliwych obowiązków prawnych. Ustawa o ochronie danych osobowych nie wymaga, by osoba powołana do pełnienia funkcji Administratora Bezpieczeństwa Informacji była pracownikiem przedsiębiorcy. Przedsiębiorstwa mogą posiłkować się również wsparciem osób spoza organizacji. Na rynku dostępne są usługi outsourcingu funkcji Administratora Bezpieczeństwa Informacji. Jest to szczególnie ciekawa propozycja dla przedsiębiorstw, które nie dysponują pracownikami posiadającymi odpowiednią wiedzę i kompetencje do pełnienia funkcji ABI lub dla takich, które wolą w pełni skupić się na podstawowych obszarach biznesowych, ale jednocześnie nie chcą ponosić ryzyk prawnych w zakresie ochrony danych osobowych. Firma JDS Consulting jest podmiotem, który jako pierwszy na rynku polskim rozpoczął realizację usługi outsourcingu funkcji Administratora Bezpieczeństwa Informacji i do dnia dzisiejszego utrzymuje wiodącą pozycję w świadczeniu tego typu usług. Źródło zmian w przepisach prawa Od 1 stycznia 2015 roku wchodzą w życie duże zmiany w ustawie o ochronie danych osobowych. Zmiany zostały wprowadzone na mocy przepisów ustawy z dnia 7 listopada 2014 roku o ułatwieniu wykonywania działalności gospodarczej (Dz.U. 2014 poz. 1662). Przedsiębiorstwa będą musiały spełniać mniej obowiązków prawnych, ale pod warunkiem, że powołają i właściwie zorganizują funkcję Administratora Bezpieczeństwa Informacji ( ABI ). Poza potrzebą prawidłowego powołania ABI, zmieni się sposób realizacji obowiązku rejestracji zbiorów danych oraz zasady przekazywania danych osobowych do tzw. państw trzecich.

Obowiązek rejestracji zbiorów danych przed i po nowelizacji Jednym z podstawowych obowiązków ustawowych każdego Administratora danych jest dokonanie zgłoszenia zbiorów danych osobowych w rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Obowiązkowi zgłoszenia podlegają te zbiory, które nie zostały wskazane wprost w wyłączeniach ustawowych (wskazanych w art. 43 Ustawy). Tak więc aby dopełnić obowiązku zgłoszenia zbiorów danych do rejestracji GIODO zgodnie z przepisami prawa, jednym z pierwszych podjętych działań powinno być poprawne wyodrębnienie wszystkich zbiorów danych osobowych, które są przetwarzane w organizacji, a następnie ustalenie które z tych zbiorów podlegają ustawowemu zwolnieniu z rejestracji, a które należy zgłosić do GIODO. przetwarzamy w zbiorze (np. imiona, nazwiska, adres zamieszkania). W praktyce dane osobowe klientów korzystających z usług lub produktów danego przedsiębiorcy będą stanowić odrębny zbiór od danych osób, wobec których ten przedsiębiorca prowadzi działania marketingowe. Odrębnym zbiorem będzie również ten, który zawiera dane klientów dłużników. Poza zbiorami danych dotyczących potencjalnych klientów, klientów oraz dłużników zazwyczaj mamy do czynienia z wieloma innymi, np. dotyczącymi danych pracowników i współpracowników, praktykantów, stażystów, pracowników tymczasowych. Można powiedzieć, że inwentaryzacja zbiorów danych to właściwe pogrupowanie przetwarzanych danych do poszczególnych zbiorów. Zbiory inwentaryzujemy w oparciu o kilka kryteriów: podstawę prawną przetwarzania danych w zbiorze (np. w oparciu o zgodę na przetwarzanie danych lub na podstawie przepisów prawa, które nakazują nam przetwarzanie danych w określonych celach i sytuacjach przykładem tu mogą być przepisy prawa pracy, które nakazują pracodawcy prowadzenie w określonej formie i zakresie teczek osobowych pracowników), cel przetwarzania danych w zbiorze (np. sprzedaż usług, zatrudnienie etc.) oraz zakres danych jakie W obecnym stanie prawnym obowiązkowi rejestracji podlegają zbiory danych bez względu na formę ich przetwarzania (papierowa czy też w systemach informatycznych), z wyłączeniem zbiorów objętych ustawowym zwolnieniem, np. zbiory zawierające dane przetwarzane w związku z zatrudnieniem, świadczeniem usług cywilnoprawnych, zbiory zawierające dane osób zrzeszonych u administratora danych, dane przetwarzane wyłącznie w celu wystawienia faktury.

Od 1 stycznia 2015 roku Administrator danych, jeżeli powoła Administratora Bezpieczeństwa Informacji i zgłosi ten fakt Generalnemu Inspektorowi Danych Osobowych, skorzysta z dodatkowych uprawnień, dzięki którym zwolnieniem z obowiązku z rejestracji objęte będą prawie wszystkie zbiory danych osobowych. Jedynymi zbiorami jakie w takim wypadku nadal będą podlegały obowiązkowi rejestracji będą takie, które zawierają tzw. dane osobowe wrażliwe, o których mowa w art. 27 ustawy. W praktyce działalności przedsiębiorstw zbiory podlegające obowiązkowi zgłoszenia do rejestracji i jednocześnie zawierające tego typu dane pojawiają się stosunkowo rzadko. Kim jest Administrator Bezpieczeństwa Informacji? Kto może pełnić funkcję ABI? Administrator Bezpieczeństwa Informacji jest osobą powoływaną w przedsiębiorstwach w celu sprawowania nadzoru nad zgodnym z prawem przetwarzaniem danych osobowych i ich właściwym zabezpieczeniem. Nowelizacja ustawy o ochronie danych osobowych zawiera kryteria jakie musi spełnić osoba powołana do tej funkcji. Od 1 stycznia 2015 roku Administratorem Bezpieczeństwa Informacji może być osoba, która: a) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, b) nie była karana za umyślne przestępstwo, c) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych. Bardzo ważna zmiana dotyczy również podległości organizacyjnej Administratora Bezpieczeństwa Informacji. W celu zapewnienia niezależności w pełnieniu swojej funkcji oraz poprawnej realizacji nałożonych na Administratora Bezpieczeństwa Informacji ustawowych zadań, ABI ma podlegać bezpośrednio najwyższej kadrze kierowniczej, a więc w praktyce osobom reprezentującym przedsiębiorstwa. Warte odnotowania przy tym jest stanowisko zajęte przez GIODO, zgodnie z którym powierzenie funkcji ABI osobom odpowiedzialnym na co dzień za prawidłowe funkcjonowanie infrastruktury informatycznej w przedsiębiorstwie (informatykom - Administratorom Systemów Informatycznych) jest rozwiązaniem nieprawidłowym.

Jednym z zadań ABI jest pełnienie nadzoru nad prawidłowym przetwarzaniem danych osobowych również w systemach informatycznych, czego nie należy mylić z funkcjami wykonawczymi w tym obszarze realizowanymi przez służby informatyczne. Należy więc unikać sytuacji, w której Administrator Systemów Informatycznych sam kontrolowałby własne działania jako ABI. Bazując na naszym wieloletnim doświadczeniu w pełnieniu funkcji ABI wskazujemy, że ABI powinien mieć wykształcenie prawnicze. Swoim nadzorem ABI obejmuje cały obszar prowadzonej działalności przedsiębiorstwa, a więc zarówno obszary administracyjne (rekrutacja, kadry i płace, finanse, zamówienia i zakupy, współpraca z dostawcami usług) jak i związane z obsługą klienta (marketing, sprzedaż, obsługa posprzedażowa, reklamacje, windykacja), a także infrastrukturę informatyczną. Ponieważ codzienna praca ABI polega zazwyczaj na analizie licznych przepisów prawa oraz orzecznictwa GIODO i sądów, w prawidłowym pełnieniu tej funkcji niezwykle przydatne okazuje się przygotowanie prawnicze. Jak należy prawidłowo powołać Administratora Bezpieczeństwa Informacji? Przede wszystkim należy formalnie powołać ABI w organizacji, zgodnie z wewnętrznymi postanowieniami w zakresie podejmowania decyzji (zasadami reprezentacji wewnętrznej). Powołanie ABI może nastąpić na przykład w drodze uchwały zarządu czy zarządzenia prezesa zarządu (w zależności od przyjętej w danej organizacji formy wdrażania wewnętrznych regulacji). Warto podkreślić, że pełnienie funkcji ABI może zostać zlecone (na zasadzie outsourcingu) zewnętrznej firmie, która wyznaczy swojego konsultanta dysponującego odpowiednią wiedzą i doświadczeniem, a także spełniającego formalne warunki do zajmowania tego stanowiska. Wówczas ABI powoływany jest wewnątrz organizacji na zasadach ogólnych, natomiast szczegółowe zasady współpracy są regulowane umownie pomiędzy przedsiębiorcą i podmiotem świadczącym usługę outsourcingu funkcji ABI. Drugim krokiem jest zgłoszenie powołanego ABI do rejestru GIODO. Od początku 2015 roku Generalny Inspektor Ochrony Danych Osobowych oprócz rejestru zbiorów danych osobowych będzie prowadził ogólnokrajowy, jawny rejestr Administratorów Bezpieczeństwa Informacji. 8

Każdy Administrator danych będzie musiał zgłosić Administratora Bezpieczeństwa Informacji do tego rejestru w ciągu 30 dni od dnia powołania ABI. Zgłoszenie powołania ABI do rejestracji powinno zawierać: a) dane identyfikujące Administratora danych (jako podmiotu zgłaszającego ABI): pełna nazwa, adres jego siedziby, numer REGON b) dane identyfikujące ABI: imię, nazwisko, numer PESEL lub serię i numer dokumentu tożsamości w przypadku braku numeru PESEL, adres do korespondencji, gdy jest inny niż adres Administratora danych, c) datę powołania ABI, d) oświadczenie Administratora danych o spełnianiu przez ABI wymagań formalnych. Odwołanie Administratora Bezpieczeństwa Informacji również należy zgłosić do rejestru GIODO w ciągu 30 dni od dnia tego odwołania. Odwołany ABI jest wykreślany z rejestru GIODO. Zgłoszenia powołania i odwołania ABI, a także wszelkich zmian informacji o ABI należy dokonywać na wzorcowym formularzu wniosku zgodnie z załącznikiem do rozporządzenia wykonawczego do Ustawy. Od 1 stycznia 2015 roku Generalny Inspektor Ochrony Danych Osobowych prowadzić będzie jawny rejestr Administratorów Bezpieczeństwa Informacji. Oznacza to, że Administratorzy Bezpieczeństwa Informacji, obok funkcji nadzoru w obszarze ochrony danych osobowych w swoich przedsiębiorstwach, pełnić będą dodatkową funkcję punktu kontaktowego dla wszystkich obywateli i organu kontrolnego. Każdy obywatel będzie mógł skontaktować się bezpośrednio z Administratorem Bezpieczeństwa Informacji konkretnego przedsiębiorstwa w celu weryfikacji czy i w jaki sposób są przetwarzane jego dane osobowe. Z bezpośredniego kontaktu z ABI-m będzie mógł również korzystać Generalny Inspektor Ochrony Danych Osobowych. 9

Katalog ustawowych zadań Administratora Bezpieczeństwa Informacji Znowelizowane przepisy ustawy po raz pierwszy wskazują konkretny zakres obowiązków Administratora Bezpieczeństwa Informacji. Dotychczas na podstawie art. 36 ust. 3 Ustawy obowiązującego przed wejściem w życie nowelizacji, zadaniem ABI było nadzorowanie przestrzegania zasad ochrony przetwarzanych danych osobowych. Nowy, ustawowy katalog zadań ABI poszerza i doprecyzowuje kompetencje nadzorcze osoby pełniącej tej funkcje. Katalog ten obejmuje: a. prowadzenie rejestru zbiorów danych przetwarzanych przez Administratora danych na zasadach wskazanych w Ustawie, b. okresowe sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowywanie w tym zakresie sprawozdania dla Administratora danych (podejmowanie działań audytowych oraz opracowywanie sprawozdań z audytów), c. nadzorowanie opracowania i aktualizowania dokumentacji, w szczególności Polityki bezpieczeństwa i Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych oraz monitorowanie przestrzegania przez pracowników zasad określonych w dokumentacji, d. zapewnianie zapoznania osób mających dostęp do danych osobowych z przepisami o ochronie danych osobowych (prowadzenie szkoleń i działań podnoszących poziom wiedzy w organizacji), e. wykonywanie innych zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych (przepisy znowelizowanej ustawy nie zawierają zamkniętego katalogu zadań ABI, może być on poszerzany w zależności od potrzeb organizacji i wymagań związanych z ochroną danych osobowych). Pośród najważniejszych ustawowych obowiązków ABI należy wskazać okresowe przeprowadzanie weryfikacji poziomu spełnienia przez przedsiębiorstwo wymogów ustawy o ochronie danych osobowych oraz opracowywanie sprawozdania z tych prac. Znowelizowane przepisy ustawy jasno wskazują jaki zakres informacji powinno zawierać sprawozdanie z prac weryfikacyjnych. 10

Czy przedsiębiorstwo musi powoływać ABI? Po wejściu w życie znowelizowanych przepisów powołanie ABI będzie zależne od decyzji Administratora danych. Zgodnie z treścią art. 36a ust. 1 Ustawy: administrator danych może powołać administratora bezpieczeństwa informacji. W praktyce jednak Generalny Inspektor Ochrony Danych Osobowych wymaga, by przedsiębiorstwa prowadzone w formie kapitałowych spółek prawa handlowego wyznaczyły Administratorów Bezpieczeństwa Informacji. Wynika to z faktu, że Administratorem Danych w takim wypadku jest osoba prawna, która nie może samodzielnie pełnić funkcji nadzoru w obszarze ochrony danych osobowych ani też stosować wymaganych prawnie rozwiązań. Jedynie przedsiębiorcy będący osobami fizycznymi i prowadzący tzw. jednoosobową działalność gospodarczą lub działający w formie spółek osobowych i cywilnych nie muszą wyznaczać ABI. Jakie są skutki niewyznaczenia ABI? W razie niepowołania ABI jego ustawowe obowiązki poza obowiązkiem sporządzania okresowych sprawozdań - wykonuje bezpośrednio Administrator danych. W konsekwencji brak wyznaczenia ABI oznacza, że: w wewnętrznej strukturze organizacyjnej danego podmiotu należy wyznaczyć osobę (osoby), która faktycznie będzie wykonywać te czynności, należy opracować wewnętrzne mechanizmy i procedury pozwalające realizować te zadania w praktyce. Administrator danych, który nie wyznaczy ABI i nie zgłosi go do rejestru prowadzonego przez GIODO nie dość, że będzie musiał samodzielnie realizować poszczególne wymagania ustawowe to w dodatku nie będzie zwolniony z obowiązku rejestracji zbiorów danych osobowych. Co zyskuje przedsiębiorstwo powołując ABI? W przypadku jego powołania, Administrator Bezpieczeństwa Informacji podejmuje działania w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych, w szczególności wykonuje swoje ustawowe zadania Co bardzo istotne, ABI pełni swoją funkcję przede wszystkim w celu ograniczenia ryzyk wystąpienia odpowiedzialności prawnej po stronie przedsiębiorstwa i osób nim zarządzających. 11

Można więc powiedzieć, że działa bezpośrednio w interesie tych osób. Jednym z zadań ABI jest przeprowadzanie okresowych audytów zgodności działania z przepisami o ochronie danych osobowych i przedstawianie z nich sprawozdań Administratorowi danych. Częstotliwość przeprowadzania sprawdzenia (audytu) zależy od wewnętrznej decyzji Administratora danych. zlecić Administratorowi Bezpieczeństwa Informacji przeprowadzenie sprawdzenia (audytu) oraz przedstawienie sprawozdania z podjętych czynności. W sprawozdaniu ABI musi m.in. wskazać: wykaz podjętych czynności, zakres sprawdzenia, opis stanu faktycznego, stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem, wykaz podjętych lub planowanych działań przywracających stan zgodny z prawem. Tym samym ABI będzie miał duży wpływ na merytoryczną zawartość sprawozdania przesyłanego do GIODO, natomiast samo sprawozdanie będzie wynikiem uzgodnień ABI z jego Administratorem danych. Powołanie Administratora Bezpieczeństwa Informacji minimalizuje ryzyko wszczęcia kontroli przez GIODO. Zamiast kontroli prowadzonej przez inspektorów Biura GIODO, Generalny Inspektor Ochrony Danych Osobowych może Istotnym ułatwieniem dla przedsiębiorców, którzy powołają ABI jest również zwolnienie z obowiązku rejestracji u GIODO zbiorów danych osobowych, które podlegają obowiązkowi rejestracji i nie zawierają danych wrażliwych. Obowiązek prowadzenia rejestru takich zbiorów należeć będzie wówczas do ABI. Katalog danych osobowych określonych mianem wrażliwych wskazuje art. 27 ustawy. Do tego typu danych należą między innymi informacje ujawniające stan zdrowia, informacje o wyrokach sądowych, mandatach karnych a także innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym. Dane wrażliwe najczęściej pojawiają się w zbiorach danych kadrowo-płacowych (np. informacje z zakresu medycyny pracy, informacje o pracownikach którzy ulegli wypadkom przy pracy etc.). 12

Ułatwienia w przekazywaniu danych osobowych poza Europejski Obszar Gospodarczy Zmiany objęły także szczególny obszar przetwarzania danych osobowych, jakim jest przekazywanie danych do tzw. państw trzecich (transfer). W rozumieniu przepisów Ustawy państwem trzecim jest państwo, które nie należy do Europejskiego Obszaru Gospodarczego (EOG). Europejski Obszar Gospodarczy obejmuje kraje Unii Europejskiej oraz Norwegię, Islandię i Lichtenstein. Przekazywanie danych osobowych do krajów spoza EOG wymaga spełnienia dodatkowych wymogów prawnych. Regulacje obowiązujące przed nowelizacją w wielu przypadkach zmuszały przedsiębiorców do występowania do Generalnego Inspektora Ochrony Danych Osobowych o wyrażenie zgody na transfer danych do konkretnych państw trzecich. Postępowanie tego typu w praktyce mogło trwać nawet około roku. Wprowadzone zmiany ułatwią przedsiębiorcom legalne przekazywanie danych do państw trzecich. Od nowego roku zgoda GIODO na transfer nie będzie potrzebna, jeśli Administratorzy danych pomiędzy którymi następuje transfer danych, zapewnią odpowiednie zabezpieczenia przekazywanych danych osobowych. Od 2015 roku będzie istniała możliwość przeprowadzania transferu danych do państw trzecich w oparciu o: a) zawartą umowę transferu danych przy czym jej treść należy opracować w oparciu o tzw. standardowe klauzule umowne (których wzory zostały zatwierdzone przez Komisję Europejską), b) tzw. wiążące reguły korporacyjne, czyli wewnętrzne procedury opracowane i stosowane przez podmioty należące do międzynarodowych grup kapitałowych. W pierwszym przypadku, w odróżnieniu do stanu prawnego przed nowelizacją, zawarcie umowy transferu danych będzie wystarczające do zalegalizowania tej czynności (przed nowelizacją dodatkowo była wymagana zgoda GIODO na transfer). W drugim przypadku wymagane jest, aby opracowane reguły korporacyjne zostały uprzednio zatwierdzone przez GIODO, by mogły stanowić podstawę do transferu danych. 13

2. Jak możemy pomóc? Firma JDS Consulting jest od 12 lat obecna na rynku doradczym w Polsce. Zdobyliśmy w tym czasie zaufanie wielu Klientów, których wspieraliśmy i wspieramy w działaniach w zakresie ochrony danych osobowych. W ciągu tych lat poszerzaliśmy zakres praktyki, zdobyliśmy doświadczenie, które pozwala zrozumieć i dopasować się do działań coraz większej grupy naszych Klientów. Nasze usługi charakteryzuje innowacyjne, elastyczne i biznesowe podejście do tematyki ochrony danych osobowych. Jesteśmy pierwszym na polskim rynku podmiotem, który rozpoczął świadczenie usług Administratora Bezpieczeństwa Informacji, dzięki czemu dysponujemy w tym zakresie wyjątkowo bogatym doświadczeniem. Volkswagen Group Polska z przyjemnością informuje o współpracy podjętej z JDS Consulting sp. z o.o. sp.k. Rozpoczęta w 2009 r. współpraca trwa do chwili obecnej ponieważ okazała się bardzo wartościowa. Pozytywne doświadczenia z dotychczasowej współpracy pozwalają nam polecić usługi JDS Consulting jako wyróżniające się na rynku profesjonalizmem i otwarciem na potrzeby klienta. Paweł Napierała, Dyrektor Działu Prawnego i Compliance, Volkswagen Group Polska Sp. z o.o. Do wyboru JDS Consulting spośród szerokiego grona firm o zbliżonym charakterze działalności, skłoniły nas nie tylko względy praktyczne takie jak oferowana przez Spółkę gama wysokiej jakości usług, ale co ważniejsze, szerokie zrozumienie naszych potrzeb jako klienta, miła oraz kompetentna obsługa, profesjonalizm i rzetelność kadry audytorskiej Lech Kacperski, Dyrektor Biura Bezpieczeństwa, PGE Polska Grupa Energetyczna Spółka Akcyjna BRE Leasing bardzo wysoko ocenia jakość usług świadczonych przez JDS Consulting oraz poziom merytoryczny przygotowywanych opinii prawnych. Odpowiedzi na zapytania udzielane są w krótkich terminach, a wszelkie potrzeby wymagające bezpośrednich spotkań ze specjalistami JDS Consulting zaspokajane są zgodnie z oczekiwaniami. Ewa Bryx Sołtysik, Wiceprezes Zarządu, Ewa Szeliska, Koordynator Projektu, mleasing Sp. z o.o. 14

NAJSZERSZA OFERTA NA RYNKU USLUG Z ZAKRESU OCHRONY DANYCH OSOBOWYCH SPEŁNIAJĄCYCH WYMAGANIA ZNOWELIZOWANYCH PRZEPISÓW PRAWA Pełnienie funkcji Administratora Bezpieczeństwa Informacji Dedykowane szkolenia i przygotowanie dla osoby powołanej do pełnienia funkcji ABI Modelowanie i pomoc we wdrożeniu funkcji ABI zgodnie z wymogami znowelizowanej ustawy o ochronie danych osobowych Inwentaryzacja zbiorów danych osobowych w celu opracowania jawnego rejestru zbiorów prowadzonego przez ABI Audyty z zakresu ochrony danych osobowych Weryfikacje zakończone Sprawozdaniami zgodnie z wymogami znowelizowanej ustawy oraz opracowaniem planu naprawczego Opracowanie dokumentacji z zakresu ochrony danych osobowych Wdrożenia oraz optymalizacje systemów ochrony danych osobowych Wsparcie Administratora Bezpieczeństwa Informacji powołanego przez Klienta Przygotowanie wniosków o rejestrację, aktualizację, wyrejestrowanie zbiorów danych osobowych w rejestrze GIODO Przygotowanie do przeprowadzenia legalnego transferu danych do państw trzecich w oparciu o znowelizowane przepisy prawa Przeglądy bezpieczeństwa informacji Szkolenia zamknięte i otwarte z zakresu ochrony danych osobowych NASI KLIENCI 3M Poland sp. z o.o. 3M Wrocław sp. z o.o. Bibby Financial Services Sp.z o.o. ConvaTec Polska sp. z o.o. De Agostini Polska Sp. z o.o. DPD Polska sp. z o.o. DZ BANK Polska S.A. ENEA S.A. Granna Sp. z o.o. Instytut Książki IT Kontrakt Sp. z o.o. ING Lease (Polska) Sp. z o.o. Instytut Kardiologii im. Prymasa Tysiąclecia Stefana Kardynała Wyszyńskiego w Aninie Mennica Polska S.A. Merck Sp. z o.o. mfaktoring S.A. mleasing Sp. z o.o. PGE Systemy S.A. Polska Grupa Energetyczna S.A. Rhenus Logistics S.A. Ruukki Polska sp. z o.o. RWE IT Poland Sp. z o.o. Siemens Finance Sp. z o.o. Stalprodukt S.A. Steria Polska Sp. z o.o. UPS Polska sp. z o.o. Volkswagen Group Polska Sp.z o.o. Zespół Elektrowni Pątnów- Adamów-Konin S.A. 15

KONTAKT Jakub Wezgraj Radca Prawny Kierownik Działu Audytu i Projektów j.wezgraj@jds.com.pl tel. 22 651 60 31 wew. 26 tel. kom.503 099 618 ul. Gorzelnicza 9, 04-212 Warszawa tel. 22 651 60 31, fax 22 651 60 32 www.jds.com.pl www.ochrona-danych.com.pl office@jds.com.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres