W dniu 27 listopada w Dzienniku Ustaw opublikowano ustawę z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz. U. 1662).Ustawa ta zwiera nowelizację ponad 30 ustaw, jedną z nich jest ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182).
Nowelizowane przepisy ustawy o ochronie danych osobowych dotyczą głównie zmian:
- doprecyzowanie i rozszerzenie uprawnień i obowiązków administratora bezpieczeństwa informacji. Administrator bezpieczeństwa informacji na mocy zmienionych przepisów staje się organem kontrolującym zasady przetwarzania danych osobowych,
- uprawnień Generalnego Inspektora Ochrony Danych Osobowych. Na GIODO nałożono obowiązek prowadzenia rejestru administratorów bezpieczeństwa informacji oraz nadano uprawnienia żądania od zarejestrowanych administratorów bezpieczeństwa informacji sprawdzenia zgodności z prawem przetwarzania danych osobowych,
- zasad rejestracji zbiorów danych osobowych. Rejestracji przez GIODO nie podlegają zbiory zarejestrowane przez administratora bezpieczeństwa informacji oraz prowadzone w formie innej niż informatycznej. Zmianie zasad rejestracji nie podlegają dane osobowe wrażliwe.
Ponadto nowelizacją objęto zasady przekazywania danych osobowych do państwa trzeciego.
Ustawa wchodzi w życie z dniem 1 stycznia 2015 r. oraz przewiduje czas na dostosowanie się do wymogów tam zawartych do 30 czerwca 2015 r.
1. ROZSZERZENIE UPRAWNIEŃ I OBOWIĄZKÓW ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI
Podobnie jak w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, w brzmieniu przed nowelizacją, nowelizująca ustawa daje możliwość administratorowi danych osobowych powołania administratora bezpieczeństwa informacji.
Administrator danych osobowych (ADO) może powołać również zastępcę (lub zastępców) administratora bezpieczeństwa informacji, który musi spełniać wymagania takie jak administrator bezpieczeństwa informacji.
W przypadku niepowołania administratora bezpieczeństwa informacji (ABI) jego zadania, z niewielkimi ograniczeniami, wykonuje administrator danych osobowych. Ograniczenia te dotyczą w szczególności sporządzania sprawozdania ze sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
W myśl nowych przepisów administratorem bezpieczeństwa informacji może być osoba, która:
- ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
- posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
- nie była karana za umyślne przestępstwo.
ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej tzn organowi (np. zarządowi spółki) lub osobie kierującej przedsiębiorstwem, urzędem administracji publicznej itp. Administrator danych osobowych może powierzyć ABI wykonywanie innych obowiązków niż tylko ochrona danych osobowych, jeżeli nie naruszy to prawidłowego wykonywania jego zadań z zakresu ochrony danych osobowych.
Administrator danych osobowych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań.
Do zadań administratora bezpieczeństwa informacji należy:
- zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
- a. sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
- b. nadzorowanie opracowania i aktualizowania dokumentacji opisującej ochronę danych osobowych oraz przestrzegania zasad w niej określonych,
- c. zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
- d. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych osobowych, podlegających obowiązkowej rejestracji. Wzór takiego rejestru określone zostanie w rozporządzeniu. Rejestr prowadzony przez ABI jest jawny, każdy ma prawo przeglądać taki rejestr.
Tryb i sposób realizacji obowiązków przez administratora bezpieczeństwa informacji oraz sposób prowadzenia rejestru zbiorów danych osobowych określone zostanie w rozporządzeniu ministra właściwego ds. administracji publicznej.
W projekcie rozporządzenia określono tryb i sposób:
- wykonywania przez ABI sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowania sprawozdania dla ADO dotyczącego tego sprawdzenia,
- nadzorowania przez ABI opracowywania i aktualizowania dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych oraz przestrzegania zasad w niej określonych.
2. ZMIANA WŁAŚCIWOŚCI GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH
Ustawodawca zobowiązuje GIODO do prowadzenia rejestru administratorów danych osobowych obok obecnie prowadzonego rejestru zbiorów danych osobowych. Generalnemu Inspektorowi Ochrony Danych Osobowych nadano nowe uprawnienia polegające na możliwości zwrócenia się z wnioskiem do administratora bezpieczeństwa informacji, (wpisanego do rejestru GIODO), o dokonanie sprawdzenie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz o opracowanie w tym zakresie sprawozdania dla administratora danych. Sprawozdanie to należy za pośrednictwem administratora danych osobowych (dalej „ADO”) przekazać GIODO.
3. ZMIANY ZASAD REJESTRACJI ZBIORÓW DANYCH OSOBOWYCH
Zgodnie z nowymi przepisami obowiązkami rejestracji nie będą podlegały zbiory danych osobowych przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych.
Obowiązkowi rejestracji zbiorów danych osobowych nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji.
Zmianie zasad rejestracji nie podlegają zbiory zawierające dane osobowe wrażliwe tzn. ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
4telpartner
www.4telpartner.pl
Zdecydowanie trzeba wdrażać taką dokumentację, bo już kilku moich znajomych z branży przyłapali, że nie mieli i poszły kary finansowe. A nie jest to kwestia kilka stówek niestety. Dokładnie o tej całej sytuacji z ochroną danych mówi 39 art ustawy. Warto sobie poczytać. Jeśli chodzi o samo wdrożenie dokumentacji to najlepiej kupić sobie całą instrukcję. Ja zamawiałem ze strony https://rbdo.com.pl. Można oczywiście przygotować wszystko samemu…ale jeśli ktoś potrafi zrozumieć wytyczne urzędników to gratuluję. Ja nie rozumiem.