Prezentacja o ochronie danych osobowych

Seminarium z nowelizacji ustawy o ochronie danych osobowych

Maciej Kawecki

WPiA Uniwersytet Jagielloński w Krakowie

http://www.cognity.pl/


IV Pakiet deregulacyjny

Kurs Ochrona Danych Osobowych





http://www.cognity.pl/szkolenie-ochrona-danych-osobowych-w-administracji-publicznej,s2,86.html



IV Pakiet DeregulacyjnyW dniu 24 listopada 2014 r. Prezydent RP podpisał ustawę z dnia 7 listopada 2014 r. oułatwieniu wykonywania działalności gospodarczej, wprowadzającą znaczące zmiany do 31aktów prawnych, m.in. :

Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych;

Ustawy z dnia 26 czerwca 1974 r. Kodeks pracy;

Ustawy z dnia 30 maja 1989 r. o izbach gospodarczych;

Ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych;

Ustawy z dnia 15 lutego 1992 r. o podatku dochodowym od osób prawnych;

Ustawy z dnia 7 lipca 1994 r. o gwarantowanych przez Skarb Państwa ubezpieczeniacheksportowych;

Ustawy z dnia 29 czerwca 1995 r. o statystyce publicznej;

Ustawy z dnia 10 kwietnia 1997 r. – Prawo energetyczne;

Ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych;

Kurs OchronaDanych Osobowych





http://www.cognity.pl/ochrona-danych-osobowych-w-osrodkach-pomocy-spolecznej-w-specyfice-zespolow-interdyscyplinarnych,s2,87.html


IV Pakiet Deregulacyjny

Cele nowelizacji

Uzasadnienie Ministerstwa Gospodarki

• ułatwienia w odprawach w portach morskich;

• zmniejszenie obowiązków administracyjnych i informacyjnych w prawiegospodarczym oraz redukcja kosztów działalności (np. umożliwieniezachowania ważności orzeczenia lekarskiego przez nowego pracodawcę wprzypadku zatrudnienia na podobne stanowisko);

• wsparcie inwestycji;

• usprawnienie i ułatwienie firmom prowadzenia wymiany transgranicznej;

• ułatwienia w podatku akcyzowym;

Brak informacji o ułatwieniach wynikających z ustawy o ochronie danychosobowych!!!!






http://www.cognity.pl/obowiazki-przetwarzajacych-dane-osobowe-czyli-kazdego-przedsiebiorstwa-spolki-urzedu,s2,88.html


IV Pakiet Deregulacyjny

Cele nowelizacji

Uzasadnienie Rządowego Centrum Legislacji

• Możliwość powierzenia przez GIODO ABI możliwości dokonania kontrolistanu ochrony danych osobowych u administratora – „odciążenie dlaadministratorów danych (w tym przedsiębiorców) w stosunku do stanuaktualnego, w którym w każdym wymagającym tego przypadku (np. skargiosoby trzeciej) podlegają oni bezpośredniej kontroli GIODO”.

• Zniesienie obowiązku rejestracji zbiorów – „wykonywanie obowiązkuzgłaszania do rejestracji GIODO zbiorów danych, a następnieaktualizowanie informacji w nich zawartych, stanowi znaczne obciążenieadministracyjne dla administratorów danych, w tym przedsiębiorców”.

• Pozostałe zmiany zostały uzasadnione wymogiem dostosowania polskichprzepisów do regulacji unijnych.






http://www.cognity.pl/szkolenie-ochrona-danych-osobowych-w-dzialach-hr-i-kadr,s2,279.html


Administrator Bezpieczeństwa Informacji








ABIDefinicja

Administrator Bezpieczeństwa Informacji jest osobą fizyczną wyznaczoną przez AdministratoraDanych, nadzorującą przestrzeganie zasad ochrony danych osobowych w strukturzeorganizacyjnej administratora danych.

Obowiązek/możliwość wyznaczenia ABI

Stan aktualny

Obowiązek wyznaczenia ABI - II SA/Wa 630/12

Prawodawca zdecydował o takim brzmieniu art. 36 ust. 3 ustawy, wprowadzając obowiązek, byosobą odpowiedzialną za nadzór i bezpieczeństwo przetwarzania danych osobowych wpodmiotach o wieloosobowej strukturze organizacyjnej była konkretnie wskazana osoba fizyczna.

Stan po 1 stycznia 2015 r.

Możliwość wyznaczenia ABI - treść art. 36 a u.o.d.o. po 1 stycznia 2015 r.

„Art. 36a. 1. Administrator danych może powołać administratora bezpieczeństwa

informacji”.








ABI

Usytuowanie ABI w organizacji na gruncie obecnie obowiązujących rozwiązańprawnych

Różne modele powołania ABI-ego

• ABI będący pracownikiem podmiotu zewnętrznego, trudniącego się obsługąadministratorów w zakresie ochrony danych osobowych;

• ABI będący pracownikiem/współpracownikiem administratora danychosobowych;

• ABI będący pracownikiem administratora danych osobowych nadzorującymdział bezpieczeństwa informacji (wyodrębnioną jednostkę w ramachstruktury administratora);

W każdym z przypadków, ABI powinien zostać powołanyzarządzeniem/uchwałą zarządu/członka zarządu (dyrektora bądźumocowanego kierownika).








ABIUsytuowanie ABI w organizacji na gruncie obecnie obowiązujących rozwiązańprawnych

Sposób określenia uprawnień ABI

• Dobrze przyjętą praktyką jest wskazywanie katalogu uprawnień i obowiązkówABI-ego w dokumencie powołującym go do pełnienia funkcji;

• Szczegółowy katalog uprawnień i obowiązków ABI-ego powinien zostać wskazanyw dokumentacji przetwarzania danych osobowych (zwłaszcza politycebezpieczeństwa);

• Usytuowanie ABI-ego powinno zostać przewidziane w regulaminieorganizacyjnym spółki/organogramie/innych dokumentach wewnętrznychadministratora danych osobowych.

Pozycja ABI-ego wewnątrz struktury organizacyjnej administratora danych powinnaumożliwiać mu sprawowanie pełnego nadzoru nad pracownikami administratora wtym poprzez przyznanie mu pełnej samodzielności i podległość wyłącznieadministratorowi danych osobowych (a nie np. Dyrektorowi Działu IT). Dobrze przyjętąpraktyką jest łączenie funkcji ABI z funkcją np. Dyrektora ds. Bezpieczeństwa Informacjibądź Kierownika Działu Bezpieczeństwa.








ABIUsytuowanie ABI w organizacji na gruncie nowelizacji

Kto może pełnić funkcję ABI

Administrator Danych Osobowych jest uprawniony dopozyskiwania od ABI-ego zaświadczenia o niekaralnościwydanego przez Krajowy Rejestr Karny bądź złożonego przezniego oświadczenia o niekaralności.







ABI

Usytuowanie ABI w organizacji na gruncie nowelizacji

Zmiany mające wpływ na pozycje ABI w organizacji

• Samodzielność organizacyjna ABI „Administrator bezpieczeństwainformacji podlega bezpośrednio kierownikowi jednostki organizacyjnejlub osobie fizycznej będącej administratorem danych”.

• Administrator Danych Osobowych zobowiązany jest do zapewnieniaśrodków i organizacyjnej odrębności administratora bezpieczeństwainformacji niezbędne do niezależnego wykonywania przez niego zadań.

• Przez środki o których mowa powyżej należy rozumieć możliwość wstępudo pomieszczeń w których dochodzi do przetwarzania danych osobowych,nieograniczonej kontroli procesów przetwarzania danych osobowych.








ABI


Rejestracja ABI u Generalnego Inspektora Ochrony Danych Osobowych

• Administrator Danych Osobowych jest obowiązany zgłosić do rejestracji

• GIODO powołanie i odwołanie administratora bezpieczeństwa informacji

• w terminie 30 dni od dnia jego powołania lub odwołania.

• Zgłoszenie powołania ABI do rejestracji powinno zawierać:

imię i nazwisko,

numer PESEL,

adres do korespondencji,

datę powołania,

oświadczenie o spełnianiu wymogów stawianych ABI-emu.








ABI



• Zgłoszenie odwołania ABI powinno zawierać:• -Dane ABI-ego;• -Datę i przyczynę odwołania.

• Administrator Danych Osobowych zobowiązany jest zgłosić do GIODO zmianęinformacji objętych zgłoszeniem rejestracyjnym w terminie 14 dni.

• Wykreślenie ABI z rejestru następuje po powiadomieniu o jego odwołaniu, wprzypadku jego śmierci bądź w razie utraty uprawnień do wykonywania funkcjiABI lub niewykonywania swoich zadań (na podstawie decyzji GIODO).

• Minister właściwy do spraw administracji publicznej określi, w drodzerozporządzenia, wzory zgłoszeń administratora bezpieczeństwa informacji.








ABI



Wzór wniosku

Część A.

Oznaczenie administratora danych

Nazwa administratora danych i adres jego siedziby albo nazwisko, imię i adres miejsca zamieszkaniaadministratora danych oraz nr REGON − jeżeli został nadany:

1. Administrator: ……………………………….

2. REGON: .………………………………

3. Adres: ……………………………….

ulica: ……………………………….

nr domu: lokal: ……………………………….

kod pocztowy: ……………………………….

miejscowość: ……………………………….








ABIWzór wniosku

Część B.

Dane osobowe administratora bezpieczeństwa informacji i data jego powołania

1.Imię i nazwisko: …………………………….

2. Numer PESEL lub, …………………………….

gdy ten numer nie został nadany, nazwa i seria/nr dokumentu stwierdzającego tożsamość: …………………………….

nazwa dokumentu tożsamości: seria/nr dokumentu tożsamości:

3. Adres do korespondencji, jeżeli jest inny niż wskazany w części A zgłoszenia:

ulica: ……………………………

nr domu: .…………………………..

lokal: ……………………………

kod pocztowy: ……………………………

miejscowość: ……………………………

4. Data powołania administratora bezpieczeństwa informacji: ……………………..








ABI

Wzór wniosku Część C.

Oświadczenie administratora danych o spełnieniu przez administratora bezpieczeństwa informacji warunków określonych w ustawie

Oświadczam, że administrator bezpieczeństwa informacji wskazany w części Bzgłoszenia:

*□ ma pełną zdolność do czynności prawnych oraz korzysta z pełni prawpublicznych,

*□ posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,

*□ nie był karany za umyślne przestępstwo,

*□ podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobiefizycznej będącej

administratorem danych.Kurs Ochrona Danych Osobowych







ABI








ABI


ABI w hierarchii organizacji

• ABI jest samodzielny w wykonywaniu swoich zadań oraz podlegawyłącznie Administratorowi Danych Osobowych (Zarząd, PrezesZarządu, Dyrektor właściwego Urzędu, osoba prowadząca

działalnośćgospodarczą).

• Administrator Danych Osobowych zapewnia środki i organizacyjnąodrębność ABI niezbędne do niezależnego wykonywania przez

niegozadań.








ABI


• Stworzenie odrębnej jednostki organizacyjnej ds. ochrony danych worganizacji z centralną pozycją ABI.

• Administrator Danych Osobowych uprawniony jest, do powołaniazastępców ABI-ego w określonej przez niego liczbie.

• Administrator Danych Osobowych może powołać odrębną komórkęw swojej strukturze, składającą się z ABI-ego oraz podległych muzastępców, odpowiadających za nadzór nad ochroną danychosobowych we właściwych komórkach Administratora DanychOsobowych.

• Zastępcy ABI-ego mogą być określani przykładowo jako tzw. RABI(Regionalni ABI) LABI (Lokalni ABI). .








ABI

Nowe zadania Administratora Bezpieczeństwa Informacji (czyli co może i musi wiedzieć ABI).

• nadzór nad prawidłowością przetwarzania danych;• nadzór nad dokumentacją;• zapewnienie zapoznania osób upoważnionych do przetwarzania

danych osobowych z przepisami o ochronie danych osobowych;• prowadzenie rejestru zbiorów danych osobowych;• prowadzenie regularnych audytów wewnętrznych;• raportowanie o nieprawidłowościach do zarządzających

organizacją oraz do GIODO (zasady przygotowania sprawozdań);








ABI

Nowe zadania Administratora Bezpieczeństwa Informacji (czyli co może i musi wiedzieć ABI).

Administrator Danych Osobowych może powierzyć ABI-emuszerszy zakres obowiązków niż wynikający z przepisówregulujących ochronę danych osobowych, o ile nie utrudni towykonywania funkcji wynikających z u.o.d.o. (art. 36 a ust. 4u.o.d.o.).

Administrator może połączyć funkcję ABI przykładowoz funkcją:-ASI;-Dyrektora IT;-Oficera ds. informacji niejawnych.








ABINowe zadania Administratora Bezpieczeństwa Informacji

(czyli co może i musi wiedzieć ABI).

Audyty

Audyt ABI musi zakończyć się sprawozdaniem, którego elementyokreślone zostały w u.o.d.o. po jej nowelizacji;

Audyt powinien obejmować dokumentację przetwarzania danychosobowych oraz całość procesów przetwarzania danychosobowych tradycyjnie oraz w systemach IT;

Nowelizacja u.o.d.o. wprowadza dwa rodzaje audytówprowadzonych przez ABI zakończonych sprawozdaniem:

• Audyt wewnętrzny – podjęty z własnej inicjatywy ABI-ego;• Audyt zewnętrzny – podjęty na wniosek GIODO (nie zastępuje

ewentualnego postępowania kontrolnego).








Zmiany w dokumentacji przetwarzania danych osobowych








Zmiany w dokumentacji

Art. 36 a ust. 2 pkt 1 c u.o.d.o.

Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Forma realizacji obowiązku

Dołączenie do Polityki Bezpieczeństwa jako załącznikaoświadczenia o zapoznaniu się pracowników/współpracownikówz przepisami ustawy o ochronie danych osobowych orazzobowiązania do przestrzegania powołanych przepisów;

Oświadczenie powinno zostać podpisane przez pracownika lubwspółpracownika oraz przechowywane w aktach osobowychpracowników;








Zmiana w dokumentacji









Art. 36 a ust. 2 pkt 1 a u.o.d.o.

Sprawdzanie zgodności przetwarzania danych osobowych zprzepisami o ochronie danych osobowych oraz opracowanie wtym zakresie sprawozdania dla administratora


Dołączenie do Polityki Bezpieczeństwa wzoru sprawozdania zaudytu przeprowadzonego przez Administratora BezpieczeństwaInformacji;

Wprowadzenie zmian do Polityki Bezpieczeństwa poprzezwprowadzenie procedury przeprowadzania obowiązkowychaudytów, wskazującej:• częstotliwość przeprowadzania audytu (nie rzadziej niż raz na

rok;• sposób przeprowadzania audytu;• wzór sprawozdania po przeprowadzonym audycie;









Sprawozdania z audytu z zakresu ochrony danych osobowychpowinno zawierać (art. 36 c u.o.d.o.) :

• oznaczenie administratora danych i adres jego siedziby lub miejscazamieszkania;

• imię i nazwisko administratora bezpieczeństwa informacji;• wykaz czynności podjętych przez administratora bezpieczeństwa informacji w

toku sprawdzenia oraz imiona,• nazwiska i stanowiska osób biorących udział w tych czynnościach;• datę rozpoczęcia i zakończenia sprawdzenia;• określenie przedmiotu i zakresu sprawdzenia;• opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne

informacje mające istotne znaczenie dla oceny zgodności przetwarzaniadanych z przepisami o ochronie danych osobowych;

• stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych wzakresie objętym sprawdzeniem wraz z planowanymi lub podjętymidziałaniami przywracającymi stan zgodny z prawem;

• wyszczególnienie załączników stanowiących składową część sprawozdania;• podpis administratora bezpieczeństwa informacji, a w przypadku

sprawozdania w postaci papierowej – dodatkowo parafy administratorabezpieczeństwa informacji na każdej stronie sprawozdania;

• datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwainformacji.









Art. 36 a ust. 2 pkt 2 u.o.d.o.

Prowadzenie rejestru zbiorów danych przetwarzanych przezadministratora danych, z wyjątkiem zbiorów, o którychmowa w art. 43 ust. 1 u.o.d.o.


• Dołączenie do Polityki Bezpieczeństwa jako załącznikawykazu zbiorów danych osobowych przetwarzanych przezadministratora z wyłączeniem zbioru danych osobowychwrażliwych.








Zmiany w dokumentacjiWzór ewidencji zbiorów danych osobowych

Prowadzony przez Administratora Bezpieczeństwa Informacji na podstawie 36a ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o

ochronie danych osobowychprzetwarzanego przez … z siedzibą w …, KRS: …, NIP:… .

Nazwa zbioru:
















Przekazywanie danych do państwa trzeciego








Przekazanie danych do p. trzeciegoPrzekazanie danych do państwa trzeciego będzie możliwe

Jeżeli państwo docelowe zapewnia na swoim terytoriumodpowiedni poziom ochrony danych osobowych.

Jeżeli administrator danych spełnia jedną z przesłanek o którychmowa w art. 47 ust. 3 u.o.d.o.

Jeżeli Generalny Inspektor Ochrony Danych Osobowych wyrazizgodę na transfer danych do państwa trzeciego;

lub

Jeżeli administrator danych zapewni odpowiednie zabezpieczeniaw zakresie ochrony prywatności oraz standardowe klauzuleumowne ochrony danych osobowych, zatwierdzone przezKomisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE;

Prawnie wiążące reguły lub polityki ochrony danych osobowych,zwane dalej „wiążącymi regułami korporacyjnymi”, które zostałyzatwierdzone przez GIODO.








Przekazanie danych do p. trzeciego

Zatwierdzenie wiążących reguł korporacyjnych

Generalny Inspektor zatwierdza, w drodze decyzji administracyjnej,wiążące reguły korporacyjne przyjęte w ramach grupyprzedsiębiorców do celów transferu danych do państwa trzeciego.

Generalny Inspektor przed zatwierdzeniem wiążących regułkorporacyjnych może przeprowadzić konsultacje z właściwymiorganami ochrony danych osobowych państw należących doEuropejskiego Obszaru Gospodarczego, na których terytoriummają siedziby przedsiębiorcy należący do grupy.








Współpraca administracyjna w UE








Współpraca administracyjna

Współpraca krajowych organów ochrony danych osobowych

Pierwszy raz uregulowana w ustawie krajowej!!

Art. 48 ust. 4 u.o.d.o.

Generalny Inspektor przed zatwierdzeniem wiążących regułkorporacyjnych może przeprowadzić konsultacje zwłaściwymi organami ochrony danych osobowych państwnależących do Europejskiego Obszaru Gospodarczego, naktórych terytorium mają siedziby przedsiębiorcy należący dogrupy, przekazując im niezbędne informacje w tym celu.








Gdzie szukać rzetelnych informacji








Gdzie szukać informacji?www.giodo.gov.pl

https://edugiodo.giodo.gov.pl

http://egiodo.giodo.gov.pl

www.e-ochronadanych.pl

http://orzeczenia.nsa.gov.pl












Education

Prezentacja o ochronie danych osobowych