Newsletter Niebieski.net:
- porady biznesowe
- bezpieczeństwo w Sieci
- promocje
Zapisz się >>>
Jak możemy pomóc?

Szukając reklamy w Internecie i poza nim, zwróć się do nas. Pomożemy Ci w realizacji Twoich planów! Skontaktuj się z nami
Feb 05 2015

NOWE PRZEPISY O OCHRONIE DANYCH OD 1 STYCZNIA 2015 ROKU

Portrait of a beautiful woman writing and a laptop in frontOd 1 stycznia 2015 roku obowiązują nowe przepisy ustawy o ochronie danych osobowych. Zgodnie z nowelizacją firmy i jednostki organizacyjne przetwarzające zbiory podlegające zgłoszeniu do GIODO (np. dane Klientów, rejestry korespondencji) będą musiały dokonać rejestracji Administratora Bezpieczeństwa Informacji (ABI) lub zgłoszenia zbiorów do GIODO. Istnieją zatem dwa warianty do wyboru:

1. Pełnienie funkcji nadzorcy ochrony danych przez administratora danych (właściciela, Zarząd, Dyrekcję) z wdrożeniem dokumentacji i rejestracją zbiorów do GIODO, albo

2. wyznaczenie i zgłoszenie do rejestru – Administratora Bezpieczeństwa Informacji (ABI), który będzie czuwał nad dokumentacją i zbiorami wewnątrz podmiotu.

UWAGA! Rejestracja zbiorów danych podlegających zgłoszeniu do GIODO pozwoli na uniknięcie wyznaczenia Administratora Bezpieczeństwa Informacji (ABI) w podmiocie – co wiąże się z dodatkowymi obowiązkami i sprawozdaniami ABI względem GIODO – jest to bardzo korzystne rozwiązanie, dlatego rekomendujemy jak najszybsze wdrożenie dokumentacji z instrukcją zgłoszenia zbioru do GIODO i wsparciem prawnym >

Rejestracja zbiorów znosi konieczność wyznaczenia ABI także w spółkach

Nowelizacja znosi zatem aktualny dziś obowiązek wyznaczania ABI w podmiotach os. prawnej (do tej pory wg przepisów ABI nie musieli wyznaczać jedynie „jednoosobowi administratorzy danych”, czyli tacy, którzy osobiście mogli pełnić funkcję ABI np. w przypadku jednoosobowej działalności gospodarczej). W przypadku np. spółki z ograniczoną odpowiedzialnością, przetwarzającej np. dane osobowe klientów w myśl starych przepisów zarząd miał obowiązek wyznaczenia ABI oraz zgłoszenia zbioru do GIODO(chyba że jest zwolniony z obowiązku zgłaszania na podstawie art. 43 ust. 1 uodo).

W myśl nowych przepisów administrator danych będzie miał jedynie obowiązek zgłoszenia zbioru do GIODO, chyba że wyznaczy ABI, zgłosi go do rejestru ABI prowadzonego przez GIODO oraz będzie zapewniał ABI możliwość realizacji swoich czynności.

Nowe przepisy utrzymują obowiązek prowadzenia dokumentacji przetwarzania danych (Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemem Informatycznym itd.). Nie jest do końca zrozumiałe, dlaczego ustawodawca praktycznie zrezygnował z wprowadzenia dłuższego okresu vacatio legis (przy nowej ustawie o prawach konsumenta było to 6 miesięcy) – wprowadzenie tak kompleksowych zmian w tak krótkim czasie może skutkować powstaniem chaosu po stronie podmiotów podlegających nowym przepisom.

Warto jednak zastanowić się nad wyborem wariantu odpowiedniego w przypadku określonego podmiotu – rejestracja zbioru danych w GIODO, w przypadku gdy funkcję związane z ochroną danych będzie osobiście sprawował administrator danych (kierownik jednostki organizacyjnej), będzie generowała znacznie mniej biurokratycznych obowiązków niż wyznaczenie ABI wpisanego do rejestru.

Zmiany od 1 stycznia 2015 będą polegały w szczególności na:

  1. Zniesieniu obowiązku wyznaczania ABI, jeśli funkcję tą będzie osobiście sprawował Administrator Danych (kierownik jednostki organizacyjnej np., prezes zarządu, dyrektor placówki)
  2. Zniesieniu obowiązku zgłaszania zbiorów danych dla tych administratorów danych, którzy wyznaczą i zarejestrują ABI w GIODO oraz dla tych, którzy przetwarzają zbiory danych osobowych wyłącznie w formie papierowej (chyba że przetwarzają „dane wrażliwe”).
  3. Prowadzeniu przez GIODO rejestru ABI.
  4. Prowadzeniu przez ABI jawnych rejestrów zbiorów danych osobowych swoich administratorów danych, które nie są zwolnione z obowiązku zgłaszania do GIODO na podstawie art. 43 ust. 1 ustawy o ochronie danych osobowych

Jaki wariant spowoduje mniej obowiązków do spełnienia?

Paradoksalnie – największym „ułatwieniem” będzie możliwość pozwalająca na uniknięcie „dobrodziejstw” płynących z nowelizacji, czyli nie wyznaczanie ABI i zgłaszanie przetwarzanych zbiorów danych zwykłym trybem – eliminuje to takie obowiązki jak:

  1. Zgłaszanie powoływania i odwoływania ABI do GIODO.
  2. Obowiązek realizacji przez ABI szczegółowych raportów co może być biurokratyczną przeszkodą w funkcjonowaniu firmy. (ABI musiałby wykazywać w sprawozdaniu do GIODO najdrobniejsze uchybienia)
  3. Obowiązek prowadzenia wewnętrznego jawnego rejestru przetwarzanych zbiorów danych osobowych.
  4. W samej dokumentacji wewnętrznej (Polityka Bezpieczeństwa itd.) nie przewidziano zmian. Dla zbiorów, które już zostały zgłoszone do GIODO na ten moment nic się nie zmienia.

Jak zatem optymalnie spełnić obowiązki?

Po pierwsze wdrożyć dokumentację ochrony danych osobowych

Przede wszystkim każda firma lub jednostka organizacyjna bezwzględnie musi posiadać dokumentację przetwarzania danych osobowych, zgodną z rozporządzeniem do art. 39a ustawy, w tym szczególnie dokument polityki bezpieczeństwa, instrukcje zarządzania systemem informatycznym, wykazy ewidencyjne czy umowy powierzenia przetwarzania danych osobowych.

Brak dokumentacji może łączyć się z karami od 10.000 do 50.000 zł za każde uchybienie w związku z niewykonaniem decyzji administracyjnych. W celu spełnienia niniejszego elementu warto skorzystać z kompletnej dokumentacji przetwarzania danych RBDO >>

Po drugie wybór: Rejestracja zbiorów do GIODO lub wyznaczenie ABI i jego imienne zgłoszenie do rejestru ABI

Jeśli podmiot wdrożył już dokumentację, na spełnienie reszty obowiązków od 1 stycznia 2015 będzie mógł wybrać, albo zgłoszenie zbiorów danych podlegających pod rejestrację do GIODO (np. zbiory Klientów, newslettery, rejestry korespondencji, monitoring) albo wyznaczyć Administratora Bezpieczeństwa Informacji.

W przypadku rejestracji zbiorów danych do GIODO, można skorzystać z dokumentacji przetwarzania danych osobowych z instrukcją zgłoszenia zbioru do GIODO i wsparciem prawnym >>

Jeśli firma zdecyduje się na wyznaczenia ABI – wówczas rekomendujemy usługę kompleksowego wdrożenia ze szkoleniem ABI z 12 miesięcznym wsparciem prawnym >

Co zmiany oznaczają w praktyce?

Warto podkreślić, że zgłoszenie ABI do GIODO, oznacza brak konieczności rejestracji zbiorów do GIODO. Administrator danych (kierownik jednostki organizacyjnej), który wyznaczy ABI nie będzie miał obowiązku, aby zgłaszać zbiory do rejestracji w GIODO. Jednak ABI będzie miał obowiązek prowadzenia jawnego rejestru zbiorów danych wg ustalonego w rozporządzeniu wzoru.

Zniesienie obowiązku rejestracji zbiorów danych jak dotychczas do GIODO, w związku ze zgłoszeniem Administratora Bezpieczeństwa informacji nie będzie dotyczyć zbiorów danych tzw. wrażliwych (określonych w art. 27 uodo, czyli np. stan zdrowia, nałogi, poglądy polityczne itp.), chyba że wynika to z brzmienia art. 43 ust. 1

Podmiot ma zatem wybór – albo wyznacza Administratora Bezpieczeństwa Informacji albo zgłasza zbiory danych do GIODO.

ABI natomiast będzie zobowiązany do spełnienia w szczególności:

  • prowadzenie rejestru zbiorów danych osobowych przetwarzanych w firmie według wzoru określonego przez rozporządzenie.
  • dokonywanie sprawdzenia (audytu) zgodności przetwarzania danych osobowych na żądanie GIODO
  • opracowanie sprawozdania z tego audytu dla Administratora Danych
  • nadzorowanie i obsługa incydentów, naruszeń bezpieczeństwa danych osobowych i prowadzenie odpowiedniej dokumentacji w tym zakresie
  • tworzenie i aktualizowanie dokumentacji ochrony danych osobowych, nowelizacja nie przewiduje zmian

Powołany ABI będzie miał obowiązek raportowania do GIODO wszelkich uchybień

Ustawa zatem przede wszystkim wprowadza rozszerzenie kompetencji GIODO m. in. do prowadzenia rejestru Administratorów Bezpieczeństwa Informacji (ABI). To nie wszystko, GIODO, będzie miał możliwość zwrócenia się do ABI w celu zlecenie kontroli zastępczej w imieniu GIODO wskazując zakres i termin takiej kontroli.

W rzeczywistości zatem ABI będzie organem kontrolnym w przypadku wszelkich incydentów związanych z ochroną danych.

Dotychczas kontroli dokonywał wyłącznie GIODO lub w zakresie pracowników PIP (który jedynie zgłaszał te uchybienia do GIODO). Nowe przepisy zobowiązuję do przeprowadzenie kontroli wewnętrznego ABI, który następnie będzie miał obowiązek wysłać wyniki kontroli do GIODO. Nie zmienia to faktu, że GIODO dalej będzie miał możliwość bezpośredniej kontroli administratora danych poprzez wysłanie inspekcji.

Źródło:
W przypadku cytowania artykułu prosimy o bezwzględne zamieszczenie poniższych danych:

Wszelkie Prawa zastrzeżone – RBDO.PL
Rejestracja i Bezpieczeństwo Danych Osobowych
www.ochronadanych.niebieski.net