MEMORANDUM INFORMACYJNE



Podobne dokumenty
Od 1 stycznia 2015 r. zaczęły obowiązywać znowelizowane przepisy ustawy o ochronie danych osobowych

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

Projektowane zmiany prawne statusu Administratora Bezpieczeństwa Informacji (ABI) dr Grzegorz Sibiga

Nowy status i zakres obowiązków administratora bezpieczeństwa informacji Andrzej Kaczmarek. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

OGÓLNOKRAJOWY REJESTR ADMINISTRATORÓW BEZPIECZEŃSTWA INFORMACJI

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI. zadania: przepisami; Nowe kompetencje GIODO: Administratora danych; Przekazywanie danych do państw trzecich:

Obowiązek powoływania Administratora Bezpieczeństwa Informacji

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

Ustawa o ochronie danych osobowych po zmianach

Propozycje SABI w zakresie doprecyzowania statusu ABI

Wnioski i perspektywy dla przedsiębiorstw po najnowszych zmianach w polskiej ustawie o ochronie danych osobowych

II Lubelski Konwent Informatyków i Administracji r.

Sz. P. Michał Serzycki Generalny Inspektor Ochrony Danych Osobowych.

Wprowadzenie. 2. Czy powołanie ABI jest obowiązkowe? [ ] Powstało mylne, powszechne przekonanie o konieczności powołania ABI [ ]

KRAJOWA KONFERENCJA OCHRONY DANYCH OSOBOWYCH

Instytucja administratora bezpieczeństwa informacji przy obecnie obowiązujących przepisach prawa Pytania, odpowiedzi, fakty i mity

Zmiany w ustawie o ochronie danych osobowych

Szkolenie. Funkcja Administratora Bezpieczeństwa Informacji po deregulacji. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Profesjonalny Administrator Bezpieczeństwa Informacji

Program szkolenia - Rejestracja i bezpieczeństwo danych osobowych

Praktyczny kurs dla Administratora Bezpieczeństwa Informacji

PROWADZENIE REJESTRU ZBIORÓW DANYCH OSOBOWYCH PRZEZ ABI BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH W PLACÓWKACH OŚWIATOWYCH. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z dnia 1 stycznia 2015 r.

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

Rola Administratora Bezpieczeństwa Informacji w zarządzaniu bezpieczeństwem informacji. Michał Cupiał

Praktyczne aspekty ochrony danych osobowych w ubezpieczeniach

Od Wykazu do Rejestru. Zmiany zasad dokumentowania zbiorów danych osobowych. Maciej Kołodziej

System bezpłatnego wsparcia dla NGO

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

OCHRONA DANYCH OSOBOWYCH

Ochrona danych osobowych

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

POJĘCIE, ZAKRES I TRYB SPRAWDZENIA PRZEPROWADZANEGO NA ZLECENIE GIODO

Ochrona danych osobowych

WSPÓŁTWORZENIE NOWEGO SYSTEMU MONITOROWANIA PRZESTRZEGANIA PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH. Monika Młotkiewicz

3. Wybrane problemy dotycząc wyznaczania i działalności ABI w nowych realiach prawnych.

GRUPA GUMUŁKA -KIERUNEK NA INNOWACJE OFERTA SZKOLENIA OCHRONA DANYCH OSOBOWYCH Z UWZGLĘDNIENIEM EUROPEJSKIEJ REFORMY PRZEPISÓW - RODO KATOWICE

Ochrona danych osobowych

Polityka Bezpieczeństwa i Ochrony Danych Osobowych przetwarzanych przez Instytut Filozofii i Socjologii Polskiej Akademii Nauk. z siedzibą w Warszawie

weryfikację prawidłowości zapisów dokumentacji zgodnie z ustawą o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz z późn.zm.

ZARZĄDZENIE NR 22. z dnia 2 lipca 2008 r.

WARSZTATY PRZYGOTOWUJĄCE DO OBJĘCIA FUNKCJI ABI I ASI. NOWE ZADANIA - SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH.

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

Planowany zakres nowelizacji ustawy o ochronie danych osobowych w 2012r. Maciej Byczkowski, Andrzej Rutkowski, Stefan Szyszko

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

POLITYKA BEZPIECZEŃSTWA KRAJOWEGO REJESTRU KLIENTÓW HOTELOWYCH sp. z o.o.. Art. 1 Postanowienia ogólne

SZKOLENIE: Ochrona danych osobowych w praktyce z uwzględnieniem zmian od r.

Przewodnik po ochronie danych osobowych : vademecum dyrektora i nauczyciela placówki oświatowej / Dariusz Skrzyński. wyd. 2.

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE

GRUPA GUMUŁKA -KIERUNEK NA INNOWACJE OFERTA SZKOLENIA OCHRONA DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE

ABI EXPERT+ Ochrona danych osobowych. Warsztat specjalistyczny. Zadania Administratora danych osobowych. Skuteczne narzędzie ADO

Przetwarzanie danych osobowych w przedsiębiorstwie

JAWNY Rejestr Zbiorów Danych Osobowych przetwarzanych w Spółdzielni Mieszkaniowej w Żarach ( uodo Art.36 ust.2) trzecia część

Ochrona danych osobowych w służbie zdrowia

WYKONYWANIE ZADAŃ ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI (ABI) WARSZTATY PRAKTYCZNE - SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR )

59 zł netto zamiast 295! Oszczędzasz 80%

Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

ZAPRASZAMY. PRAKTYCZNY KURS ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI 2 spotkania TERMINY: godz. 10:00. MIEJSCE: KRAKÓW DOM POLONII Ul.

OD ADMINISTRATORA DO INSPEKTORA DEBATA NA TEMAT

Administrator Bezpieczeństwa informacji

Ochrona danych osobowych w praktyce

OFERTA Usług audytowych i doradczych w zakresie ochrony danych osobowych dla jednostek administracji publicznej

Wzór UMOWA nr DAO.2016

SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH NOWE ZADANIA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI ORAZ OMÓWIENIE

z dnia 2014 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych

Szkolenie. Ochrona danych osobowych

Praktyczne warsztaty dla ABI i ADO, tworzenie, wdrażanie i nadzór nad systemem ochrony danych osobowych

Regulamin naboru kandydatów na ekspertów. w ramach Regionalnego Programu Operacyjnego. Województwa Łódzkiego na lata

Administrator Bezpieczeństwa Informacji po zmianie przepisów ustawy o ochronie danych osobowych

Administrator bezpieczeństwa informacji /Inspektor ochrony danych

Podstawowe obowiązki administratora danych osobowych

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Pierwsze doświadczenia w wykonywaniu funkcji IODy

Ochrona danych osobowych w administracji publicznej

poleca e-book Instrukcja RODO

ECK EUREKA tel fax

Czas trwania szkolenia- 1 DZIEŃ

Administrator bezpieczeństwa informacji /Inspektor ochrony danych

Lp. Zgłoszona uwaga do paragrafu rozporządzenia Zgłaszający Stanowisko. Ad. 3. ust. 2 pkt. 1 i 2

OCHRONA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MSZCZONOWSKA. Łukasz Zegarek 29 listopada 2016 r.

Zwykłe dane osobowe, a dane wrażliwe

Ochrona danych osobowych w JST

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

Ochrona danych osobowych w praktyce

ZARZĄDZENIE NR 64/2016/2017 Dyrektora Publicznego Gimnazjum Nr 1 im. Osadników Wojskowych w Świdwinie z dnia r.

Przetwarzania danych osobowych

Administrator bezpieczeństwa informacji, urzędnik do spraw ochrony danych osobowych, inspektor ochrony danych analiza porównawcza. dr Grzegorz Sibiga

R O D O - N o w e z a s a d y p r z e t w a r z a n i a d a n y c h o s o b o w y c h

SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH NOWE ZADANIA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI ORAZ OMÓWIENIE

OCHRONA DANYCH OSOBOWYCH

Pierwszy rok doświadczeń w wykonywaniu nowej funkcji ABI sprawdzenia, rejestry, nadzór

1 Postanowienia ogólne

Transkrypt:

PRZEMYSŁAW R. STOPCZYK MAŁGORZATA GŁUSZEK STOPCZYK BARBARA TREFOŃ JABŁOŃSKA ANDŻELIKA MADEJ KOWAL ROBERT MIKULSKI ANDRZEJ FILIP MAŁGORZATA SIKORA BARTOSZ MARCINIAK AGNIESZKA ZWIERZYŃSKA PAULINA ŻABIŃSKA Warszawa, dnia 26 stycznia 2015 roku MEMORANDUM INFORMACYJNE DOTYCZĄCE: ZMIAN REGULACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH Niniejsze memorandum informacyjne ( Memorandum ) zostało przygotowane przez Kancelarię Radców Prawnych Stopczyk & Mikulski sp. p. ( Kancelaria ) i wskazuje najważniejsze zmiany wprowadzone do Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz. 1182) ( Ustawa ), która weszła w życie z dniem 1 stycznia 2015 r. ŹRÓDŁA PRAWA 1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz. 1182) ( Ustawa ), 2. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. poz. 1034) ( Rozporządzenie ). ZAKRES ZMIAN W styczniu 2015 r. weszły w życie znowelizowane przepisy Ustawy o ochronie danych osobowych, które wprowadziły szereg zmian, w szczególności: 1. w zakresie zniesienia obowiązku wyznaczania Administratora Bezpieczeństwa Informacji ( ABI ), jeśli funkcję tą będzie osobiście sprawował administrator danych osobowych (kierownik jednostki organizacyjnej np. prezes zarządu, dyrektor placówki); 00-764 WARSZAWA, UL. SOBIESKIEGO 104/44; TEL: 48 22 851 52 53 (54), 48 22 851 19 88 (89); FAX: 48 22 851 19 90 KRS 0000513264; www.sm-law.eu; kancelaria@sm-law.eu

2. w zakresie prowadzenia przez Generalnego Inspektora Ochrony Danych Osobowych ( GIODO ) rejestru ABI; 3. e zakresie przyznania ABI kompetencji w zakresie prowadzenia kontroli przetwarzania danych osobowych na polecenie GIODO; 4. w zakresie nowego obowiązku prowadzenia przez ABI jawnych rejestrów zbiorów danych osobowych, które nie są zwolnione z obowiązku zgłaszania do GIODO na podstawie art. 43 ust. 1 Ustawy; 5. w zakresie zniesienia obowiązku zgłaszania zbiorów danych dla tych administratorów danych, którzy wyznaczą i zarejestrują ABI w GIODO oraz dla tych, którzy przetwarzają zbiory danych osobowych wyłącznie w formie papierowej (chyba że przetwarzają dane wrażliwe ); 6. w zakresie przekazywania danych osobowych za granicę. I. ZMIANY DOTYCZĄCE ABI I.1 WYMOGI DOTYCZĄCE OSOBY, KTÓRA MOŻE PEŁNIĆ FUNKCJĘ ABI Nowe przepisy Ustawy wprowadzają zasadę, iż administrator danych osobowych może samodzielnie wdrażać i nadzorować ochronę danych osobowych lub powierzyć obowiązki i w tym zakresie ABI. Jeżeli ABI zostanie powołany, administrator danych osobowych zobowiązany jest zgłosić ABI do rejestru prowadzonego przez GIODO. Art. 36a ust. 5 znowelizowanej Ustawy precyzuje, iż ABI może być osoba, która: a) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych; b) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; c) nie była karana za przestępstwo popełnione z winy umyślnej. Określenie posiada odpowiednią wiedzę w zakresie ochrony danych osobowych jest pojęciem mało precyzyjnym i w praktyce może budzić wątpliwości interpretacyjne. Należy jednak wskazać, iż przepisy nie wskazują, jakie konkretnie wymogi musiałaby spełniać osoba, aby można było uznać ją za posiadającą odpowiednią wiedzę w zakresie ochrony danych osobowych. W szczególności należy podkreślić, iż znowelizowane przepisy nie zobowiązują kandydatów na ABI do zdawania jakichkolwiek testów czy egzaminów. Nowelizacja Ustawy wprowadziła również dopuszczalność powoływania zastępcy ABI, który ma spełniać takie same wymogi jak ABI. I.2 POZYCJA ABI W STRUKTURZE ORGANIZACYJNEJ ADMINISTRATORA DANYCH OSOBOWYCH Znowelizowane przepisy wprost określają pozycją ABI w strukturze organizacyjnej administratora danych osobowych. Znowelizowane przepisy stanowią bowiem, iż ABI danych podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. W praktyce powstaje wątpliwość, czy funkcję ABI może pełnić np. pracownik działu IT, który nie podlega bezpośrednio, ani administratorowi danych osobowych, ani kierownikowi jednostki organizacyjnej. Tym bardziej wątpliwym jest, czy wobec takiego 2

sformułowania przepisu, nadal dopuszczalne jest powierzenie pełnienia funkcji ABI podmiotom zewnętrznym, wyspecjalizowanym firmom świadczącym usługi w zakresie organizacji ochrony danych. I.3 OBOWIĄZEK ZGŁOSZENIA ABI DO REJESTRU PROWADZONEGO PRZEZ GIODO Nowelizacja Ustawy wprowadziła również dla administratora danych osobowych, który powołał ABI, obowiązek zgłoszenia faktu powołania/odwołania ABI do GIODO. W zawiadomieniu o powołaniu/odwołaniu ABI administrator danych osobowych ma obowiązek poinformowania o imieniu i nazwisku ABI, jego numerze PESEL, danych dotyczących dokumentu tożsamości oraz adresie do korespondencji, jeśli jest inny niż adres administratora danych osobowych. Wzór zgłoszenia powołania/odwołania ABI znajduje się w Rozporządzeniu. W praktyce oznacza to zupełnie nowy obowiązek zarówno dla administratorów danych, jak i dla GIODO, który jest zobowiązany do prowadzenia ogólnodostępnego rejestru administratorów bezpieczeństwa informacji. Wprowadzenie obowiązku zgłoszenia do GIODO faktu powołania, odwołania, zaistnienia zmian dotyczących ABI, w praktyce może okazać się dużą uciążliwością dla administratorów danych. Wprowadzenie konieczności zawiadamiania GIODO o powołaniu/odwołaniu ABI oraz konieczności zawiadamiania GIODO o zmianach informacji objętych zgłoszeniem, w praktyce będzie dodatkowym obowiązkiem dla administratorów danych osobowych, zarówno teraz, jak i w przyszłości. W szczególności obowiązek informowania o zmianach objętych zgłoszeniem może być szczególnie uciążliwy uwzględniając fakt, iż należy zawiadamiać GIODO o każdorazowej wymianie dokumentu tożsamości przez ABI, bądź zmianie adresu do korespondencji ABI, jeśli adres ten jest inny niż adres administratora danych osobowych. I.4 NOWE KOMPETENCJE I OBOWIĄZKI ABI a) Nowym obowiązkiem ABI wynikającym z nowelizacji Ustawy jest przede wszystkim, uprawnienie do sprawowania kontroli i nadzoru nad zgodnością przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Jak wynika z art. 19b ust.1 Ustawy GIODO może zwrócić się z poleceniem wykonania kontroli przez ABI, wskazując jego zakres i termin sprawdzenia. ABI będzie miał obowiązek wysłać wyniki kontroli do GIODO. W praktyce zatem ABI będzie organem kontrolnym w przypadku wszelkich incydentów związanych z ochroną danych jeśli np. do GIODO wpłynie skarga na przetwarzanie danych osobowych u administratora danych. Należy jednak podkreślić, iż udzielenie kompetencji kontrolnych ABI, nie wyłącza prawa GIODO do przeprowadzenia kontroli. Częstotliwość oraz formę kontroli określało będzie rozporządzenie, które jest aktualnie w fazie projektu. b) Nowelizacja Ustawy wprowadziła dla ABI dodatkowy obowiązek prowadzenia jawnego rejestru zbiorów danych osobowych. W takim wewnętrznym rejestrze zbiorów danych osobowych mają być uwzględnione wszystkie zbiory z wyłączeniem zbiorów zwolnionych z obowiązku rejestracji na podstawie art. 3

43 ust. 1 Ustawy. Oznacza to, iż w rejestrze nie powinny być ujawnione m.in. zbiory danych osobowych przetwarzane w związku z zatrudnieniem, zbiory danych osobowych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku, bądź w celu prowadzenia sprawozdawczości finansowej. Inne zbiory danych osobowych przetwarzane przez administratora danych, nie podlegające rejestracji, muszą być ujawnione w wewnętrznym rejestrze zbiorów danych osobowych prowadzonym przez ABI. Szczegółowy tryb związany z prowadzeniem rejestru zbioru danych zostanie określony w Rozporządzeniu Ministra Cyfryzacji i Informatyzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych (obecnie na etapie projektu). Z literalnego brzmienia znowelizowanych przepisów dotyczących ABI wynika, iż administrator danych, który nie powołał ABI, nie ma obowiązku prowadzenia wewnętrznego rejestru zbiorów danych osobowych. c) Znowelizowane przepisy Ustawy stanowią również, iż opracowanie, nadzorowanie i aktualizacja dokumentacji przetwarzania danych osobowych (Polityka bezpieczeństwa, Instrukcja zarządzania systemami informatycznymi), jak również zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, aktualnie należeć będą do obowiązków ABI. Jeżeli administrator danych nie powołał ABI, w.w. zadania zobowiązany jest realizować samodzielnie. d) Nowelizacja Ustawy wprowadza dla ABI jeszcze jeden obowiązek, polegający na konieczności opracowania sprawozdania dla administratora danych osobowych o zgodności przetwarzania danych o zobowiązującymi przepisami o ochronie danych osobowych. Co powinno znaleźć się w takim sprawozdaniu, szczegółowo określa art. 36c Ustawy. Podkreślenia wymaga jednak, iż Ustawa nie precyzuje z jaką częstotliwością takie sprawozdanie powinno być składane administratorowi danych osobowych i nie przewiduje odpowiedzialności karnej za niezrealizowanie tego obowiązku. I.5 OUTSOURCING FUNKCJI ABI Nowelizacja Ustawy wprowadziła nowy art. 36a ust. 7 stanowiący, iż administrator bezpieczeństwa danych podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Wykładnia literalna art. 36a ust. 7 Ustawy, co do zasady, wyłącza zatem możliwość outsourcingu funkcji ABI. Podkreślić należy, iż przed nowelizacją Ustawy outsourcing funkcji ABI był akceptowany przez GIODO. Podkreślenia wymaga, iż outsourcing funkcji ABI pozwalał dostosować organizację i sprawowanie nadzoru nad bezpieczeństwem danych osobowych do indywidualnych potrzeb konkretnego administratora danych. Podmioty świadczące usługę outsourcingu są to bowiem podmioty specjalizujące się w bezpieczeństwie danych osobowych, które uwzględniają unikalne potrzeby określonego administratora danych osobowych, opracowują i wdrażają rozwiązania właściwe dla danego administratora danych. 4

W jakim kierunku pójdzie interpretacja przepisu przez GIODO i sądy administracyjne w kwestii dopuszczalności outsourcingu funkcji ABI, nie jest wiadome. II. NOWA KATEGORIA ZBIORÓW ZWOLNIONYCH Z OBOWIĄZKU REJESTRACJI Nowelizacja Ustawy wprowadza również zmiany w katalogu zbiorów danych osobowych, które nie podlegają rejestracji w GIODO. Zwolnienie dotyczy zbiorów danych osobowych zbiorów danych osobowych niezawierających danych osobowych wrażliwych, o których jest mowa w art. 27 ust. 1 Ustawy (m.in. dane o stanie zdrowia, przynależności partyjnej lub związkowej, poglądach politycznych, czy przekonaniach religijnych), które: a) przetwarzane są wyłącznie w formie tradycyjnej, lub b) przetwarzane są przez administratorów danych, którzy powołali ABI i zgłosili do rejestracji GIODO fakt powołania ABI. III. ZMIANY DOTYCZĄCE PRZEKAZYWANIA DANYCH OSOBOWYCH ZA GRANICĘ Nowelizacja Ustawy wprowadziła również zmiany w zakresie obowiązku uzyskiwania zgody GIODO na transfer danych osobowych za granicę. Zmienione przepisy stanowią, iż transfer danych osobowych do krajów spoza Europejskiego Obszaru Gospodarczego bez konieczności uzyskiwania zgody GIODO jest dopuszczalny, jeżeli administrator danych osobowych zapewni odpowiednie zabezpieczenie danych osobowych poprzez: a) zastosowanie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską lub b) zastosowanie wiążących reguł korporacyjnych. GIODO zatwierdza w drodze decyzji administracyjnej wiążące reguły korporacyjne przyjęte w ramach grupy przedsiębiorców do celów przekazania danych osobowych do krajów spoza Europejskiego Obszaru Gospodarczego w trybie art. 31 Ustawy. Wprowadzona przez nowelizację zmiana ma na celu usprawnienie przekazywania danych osobowych do krajów spoza Europejskiego Obszaru Gospodarczego. Przed nowelizacją, niespełnienie przesłanek wskazanych w Ustawie zobowiązywało administratora danych osobowych do wystąpienia do GIODO o wyrażenie zgody na transfer danych osobowych. IV. PODSUMOWANIE Uwzględniając fakt, iż większość administratorów danych osobowych nie będzie pełnić funkcji ABI samodzielnie i będzie powoływać ABI, któremu powierzy organizację i kontrolę przetwarzania danych osobowych, zmiany do Ustawy w praktyce będą dla nich skutkowały dodatkowymi obowiązkami, zarówno dla administratora danych osobowych, jak i dla ABI: 5

1. Administrator danych osobowych zobowiązany jest powiadomić GIODO o fakcie powołania ABI poprzez zgłoszenie ABI do centralnego rejestru prowadzonego przez GIODO. 2. Administrator danych osobowych ma obowiązek informowania GIODO o zmianie ABI oraz zawiadamiania bieżąco o zmianach objętych zgłoszeniem (o każdorazowej wymianie dokumentu tożsamości przez ABI, bądź zmianie adresu do korespondencji ABI, jeśli adres ten jest inny niż adres administratora danych osobowych). 3. ABI zobowiązany jest do prowadzenia wewnętrznego jawnego rejestru zbiorów danych osobowych zbiorów danych osobowych, które nie są zwolnione z obowiązku zgłaszania do GIODO na podstawie art. 43 ust. 1 Ustawy. 4. ABI ma obowiązek opracowania, nadzorowania i aktualizacji dokumentacji przetwarzania danych osobowych (Polityka bezpieczeństwa, Instrukcja zarządzania systemami informatycznymi) Prosimy o weryfikacje czy Państwa firmy posiadają powyższą dokumentację i czy jest ona dostosowana do wymogów prawnych 5. Do obowiązków ABI należeć będzie również zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, czyli prowadzenia szkoleń w tym zakresie. Mamy nadzieję, że powyższe informacje okażą się pomocne w Państwa działalności. W razie jakichkolwiek pytań, pozostajemy do Państwa dyspozycji. Małgorzata Głuszek Stopczyk & Przemysław Stopczyk 6

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres