Post on 18-Jul-2015
Seminarium z nowelizacji ustawy o ochronie danych osobowych
Maciej Kawecki
WPiA Uniwersytet Jagielloński w Krakowie
IV Pakiet deregulacyjny
Kurs Ochrona Danych Osobowych
IV Pakiet DeregulacyjnyW dniu 24 listopada 2014 r. Prezydent RP podpisał ustawę z dnia 7 listopada 2014 r. oułatwieniu wykonywania działalności gospodarczej, wprowadzającą znaczące zmiany do 31aktów prawnych, m.in. :
Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych;
Ustawy z dnia 26 czerwca 1974 r. Kodeks pracy;
Ustawy z dnia 30 maja 1989 r. o izbach gospodarczych;
Ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych;
Ustawy z dnia 15 lutego 1992 r. o podatku dochodowym od osób prawnych;
Ustawy z dnia 7 lipca 1994 r. o gwarantowanych przez Skarb Państwa ubezpieczeniacheksportowych;
Ustawy z dnia 29 czerwca 1995 r. o statystyce publicznej;
Ustawy z dnia 10 kwietnia 1997 r. – Prawo energetyczne;
Ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych;
Kurs OchronaDanych Osobowych
IV Pakiet Deregulacyjny
Cele nowelizacji
Uzasadnienie Ministerstwa Gospodarki
• ułatwienia w odprawach w portach morskich;
• zmniejszenie obowiązków administracyjnych i informacyjnych w prawiegospodarczym oraz redukcja kosztów działalności (np. umożliwieniezachowania ważności orzeczenia lekarskiego przez nowego pracodawcę wprzypadku zatrudnienia na podobne stanowisko);
• wsparcie inwestycji;
• usprawnienie i ułatwienie firmom prowadzenia wymiany transgranicznej;
• ułatwienia w podatku akcyzowym;
Brak informacji o ułatwieniach wynikających z ustawy o ochronie danychosobowych!!!!
Kurs OchronaDanych Osobowych
IV Pakiet Deregulacyjny
Cele nowelizacji
Uzasadnienie Rządowego Centrum Legislacji
• Możliwość powierzenia przez GIODO ABI możliwości dokonania kontrolistanu ochrony danych osobowych u administratora – „odciążenie dlaadministratorów danych (w tym przedsiębiorców) w stosunku do stanuaktualnego, w którym w każdym wymagającym tego przypadku (np. skargiosoby trzeciej) podlegają oni bezpośredniej kontroli GIODO”.
• Zniesienie obowiązku rejestracji zbiorów – „wykonywanie obowiązkuzgłaszania do rejestracji GIODO zbiorów danych, a następnieaktualizowanie informacji w nich zawartych, stanowi znaczne obciążenieadministracyjne dla administratorów danych, w tym przedsiębiorców”.
• Pozostałe zmiany zostały uzasadnione wymogiem dostosowania polskichprzepisów do regulacji unijnych.
Kurs Ochrona Danych Osobowych
Administrator Bezpieczeństwa Informacji
Kurs Ochrona Danych Osobowych
ABIDefinicja
Administrator Bezpieczeństwa Informacji jest osobą fizyczną wyznaczoną przez AdministratoraDanych, nadzorującą przestrzeganie zasad ochrony danych osobowych w strukturzeorganizacyjnej administratora danych.
Obowiązek/możliwość wyznaczenia ABI
Stan aktualny
Obowiązek wyznaczenia ABI - II SA/Wa 630/12
Prawodawca zdecydował o takim brzmieniu art. 36 ust. 3 ustawy, wprowadzając obowiązek, byosobą odpowiedzialną za nadzór i bezpieczeństwo przetwarzania danych osobowych wpodmiotach o wieloosobowej strukturze organizacyjnej była konkretnie wskazana osoba fizyczna.
Stan po 1 stycznia 2015 r.
Możliwość wyznaczenia ABI - treść art. 36 a u.o.d.o. po 1 stycznia 2015 r.
„Art. 36a. 1. Administrator danych może powołać administratora bezpieczeństwa
informacji”.
Kurs Ochrona Danych Osobowych
ABI
Usytuowanie ABI w organizacji na gruncie obecnie obowiązujących rozwiązańprawnych
Różne modele powołania ABI-ego
• ABI będący pracownikiem podmiotu zewnętrznego, trudniącego się obsługąadministratorów w zakresie ochrony danych osobowych;
• ABI będący pracownikiem/współpracownikiem administratora danychosobowych;
• ABI będący pracownikiem administratora danych osobowych nadzorującymdział bezpieczeństwa informacji (wyodrębnioną jednostkę w ramachstruktury administratora);
W każdym z przypadków, ABI powinien zostać powołanyzarządzeniem/uchwałą zarządu/członka zarządu (dyrektora bądźumocowanego kierownika).
Kurs Ochrona Danych Osobowych
ABIUsytuowanie ABI w organizacji na gruncie obecnie obowiązujących rozwiązańprawnych
Sposób określenia uprawnień ABI
• Dobrze przyjętą praktyką jest wskazywanie katalogu uprawnień i obowiązkówABI-ego w dokumencie powołującym go do pełnienia funkcji;
• Szczegółowy katalog uprawnień i obowiązków ABI-ego powinien zostać wskazanyw dokumentacji przetwarzania danych osobowych (zwłaszcza politycebezpieczeństwa);
• Usytuowanie ABI-ego powinno zostać przewidziane w regulaminieorganizacyjnym spółki/organogramie/innych dokumentach wewnętrznychadministratora danych osobowych.
Pozycja ABI-ego wewnątrz struktury organizacyjnej administratora danych powinnaumożliwiać mu sprawowanie pełnego nadzoru nad pracownikami administratora wtym poprzez przyznanie mu pełnej samodzielności i podległość wyłącznieadministratorowi danych osobowych (a nie np. Dyrektorowi Działu IT). Dobrze przyjętąpraktyką jest łączenie funkcji ABI z funkcją np. Dyrektora ds. Bezpieczeństwa Informacjibądź Kierownika Działu Bezpieczeństwa.
Kurs Ochrona Danych Osobowych
ABIUsytuowanie ABI w organizacji na gruncie nowelizacji
Kto może pełnić funkcję ABI
Administrator Danych Osobowych jest uprawniony dopozyskiwania od ABI-ego zaświadczenia o niekaralnościwydanego przez Krajowy Rejestr Karny bądź złożonego przezniego oświadczenia o niekaralności.
Kurs Ochrona Danych Osobowych
ABI
Usytuowanie ABI w organizacji na gruncie nowelizacji
Zmiany mające wpływ na pozycje ABI w organizacji
• Samodzielność organizacyjna ABI „Administrator bezpieczeństwainformacji podlega bezpośrednio kierownikowi jednostki organizacyjnejlub osobie fizycznej będącej administratorem danych”.
• Administrator Danych Osobowych zobowiązany jest do zapewnieniaśrodków i organizacyjnej odrębności administratora bezpieczeństwainformacji niezbędne do niezależnego wykonywania przez niego zadań.
• Przez środki o których mowa powyżej należy rozumieć możliwość wstępudo pomieszczeń w których dochodzi do przetwarzania danych osobowych,nieograniczonej kontroli procesów przetwarzania danych osobowych.
Kurs Ochrona Danych Osobowych
ABI
Usytuowanie ABI w organizacji na gruncie nowelizacji
Rejestracja ABI u Generalnego Inspektora Ochrony Danych Osobowych
• Administrator Danych Osobowych jest obowiązany zgłosić do rejestracji
• GIODO powołanie i odwołanie administratora bezpieczeństwa informacji
• w terminie 30 dni od dnia jego powołania lub odwołania.
• Zgłoszenie powołania ABI do rejestracji powinno zawierać:
imię i nazwisko,
numer PESEL,
adres do korespondencji,
datę powołania,
oświadczenie o spełnianiu wymogów stawianych ABI-emu.
Kurs Ochrona Danych Osobowych
ABI
Usytuowanie ABI w organizacji na gruncie nowelizacji
Rejestracja ABI u Generalnego Inspektora Ochrony Danych Osobowych
• Zgłoszenie odwołania ABI powinno zawierać:• -Dane ABI-ego;• -Datę i przyczynę odwołania.
• Administrator Danych Osobowych zobowiązany jest zgłosić do GIODO zmianęinformacji objętych zgłoszeniem rejestracyjnym w terminie 14 dni.
• Wykreślenie ABI z rejestru następuje po powiadomieniu o jego odwołaniu, wprzypadku jego śmierci bądź w razie utraty uprawnień do wykonywania funkcjiABI lub niewykonywania swoich zadań (na podstawie decyzji GIODO).
• Minister właściwy do spraw administracji publicznej określi, w drodzerozporządzenia, wzory zgłoszeń administratora bezpieczeństwa informacji.
Kurs Ochrona Danych Osobowych
ABI
Usytuowanie ABI w organizacji na gruncie nowelizacji
Rejestracja ABI u Generalnego Inspektora Ochrony Danych Osobowych
Wzór wniosku
Część A.
Oznaczenie administratora danych
Nazwa administratora danych i adres jego siedziby albo nazwisko, imię i adres miejsca zamieszkaniaadministratora danych oraz nr REGON − jeżeli został nadany:
1. Administrator: ……………………………….
2. REGON: .………………………………
3. Adres: ……………………………….
ulica: ……………………………….
nr domu: lokal: ……………………………….
kod pocztowy: ……………………………….
miejscowość: ……………………………….
Kurs Ochrona Danych Osobowych
ABIWzór wniosku
Część B.
Dane osobowe administratora bezpieczeństwa informacji i data jego powołania
1.Imię i nazwisko: …………………………….
2. Numer PESEL lub, …………………………….
gdy ten numer nie został nadany, nazwa i seria/nr dokumentu stwierdzającego tożsamość: …………………………….
nazwa dokumentu tożsamości: seria/nr dokumentu tożsamości:
3. Adres do korespondencji, jeżeli jest inny niż wskazany w części A zgłoszenia:
ulica: ……………………………
nr domu: .…………………………..
lokal: ……………………………
kod pocztowy: ……………………………
miejscowość: ……………………………
4. Data powołania administratora bezpieczeństwa informacji: ……………………..
Kurs Ochrona Danych Osobowych
ABI
Wzór wniosku Część C.
Oświadczenie administratora danych o spełnieniu przez administratora bezpieczeństwa informacji warunków określonych w ustawie
Oświadczam, że administrator bezpieczeństwa informacji wskazany w części Bzgłoszenia:
*□ ma pełną zdolność do czynności prawnych oraz korzysta z pełni prawpublicznych,
*□ posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
*□ nie był karany za umyślne przestępstwo,
*□ podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobiefizycznej będącej
administratorem danych.Kurs Ochrona Danych Osobowych
ABI
Kurs OchronaDanych Osobowych
ABI
Usytuowanie ABI w organizacji na gruncie nowelizacji
ABI w hierarchii organizacji
• ABI jest samodzielny w wykonywaniu swoich zadań oraz podlegawyłącznie Administratorowi Danych Osobowych (Zarząd, PrezesZarządu, Dyrektor właściwego Urzędu, osoba prowadząca
działalnośćgospodarczą).
• Administrator Danych Osobowych zapewnia środki i organizacyjnąodrębność ABI niezbędne do niezależnego wykonywania przez
niegozadań.
Kurs Ochrona Danych Osobowych
ABI
Usytuowanie ABI w organizacji na gruncie nowelizacji
• Stworzenie odrębnej jednostki organizacyjnej ds. ochrony danych worganizacji z centralną pozycją ABI.
• Administrator Danych Osobowych uprawniony jest, do powołaniazastępców ABI-ego w określonej przez niego liczbie.
• Administrator Danych Osobowych może powołać odrębną komórkęw swojej strukturze, składającą się z ABI-ego oraz podległych muzastępców, odpowiadających za nadzór nad ochroną danychosobowych we właściwych komórkach Administratora DanychOsobowych.
• Zastępcy ABI-ego mogą być określani przykładowo jako tzw. RABI(Regionalni ABI) LABI (Lokalni ABI). .
Kurs Ochrona Danych Osobowych
ABI
Nowe zadania Administratora Bezpieczeństwa Informacji (czyli co może i musi wiedzieć ABI).
• nadzór nad prawidłowością przetwarzania danych;• nadzór nad dokumentacją;• zapewnienie zapoznania osób upoważnionych do przetwarzania
danych osobowych z przepisami o ochronie danych osobowych;• prowadzenie rejestru zbiorów danych osobowych;• prowadzenie regularnych audytów wewnętrznych;• raportowanie o nieprawidłowościach do zarządzających
organizacją oraz do GIODO (zasady przygotowania sprawozdań);
Kurs Ochrona Danych Osobowych
ABI
Nowe zadania Administratora Bezpieczeństwa Informacji (czyli co może i musi wiedzieć ABI).
Administrator Danych Osobowych może powierzyć ABI-emuszerszy zakres obowiązków niż wynikający z przepisówregulujących ochronę danych osobowych, o ile nie utrudni towykonywania funkcji wynikających z u.o.d.o. (art. 36 a ust. 4u.o.d.o.).
Administrator może połączyć funkcję ABI przykładowoz funkcją:-ASI;-Dyrektora IT;-Oficera ds. informacji niejawnych.
Kurs Ochrona Danych Osobowych
ABINowe zadania Administratora Bezpieczeństwa Informacji
(czyli co może i musi wiedzieć ABI).
Audyty
Audyt ABI musi zakończyć się sprawozdaniem, którego elementyokreślone zostały w u.o.d.o. po jej nowelizacji;
Audyt powinien obejmować dokumentację przetwarzania danychosobowych oraz całość procesów przetwarzania danychosobowych tradycyjnie oraz w systemach IT;
Nowelizacja u.o.d.o. wprowadza dwa rodzaje audytówprowadzonych przez ABI zakończonych sprawozdaniem:
• Audyt wewnętrzny – podjęty z własnej inicjatywy ABI-ego;• Audyt zewnętrzny – podjęty na wniosek GIODO (nie zastępuje
ewentualnego postępowania kontrolnego).
Kurs Ochrona Danych Osobowych
Zmiany w dokumentacji przetwarzania danych osobowych
Kurs Ochrona Danych Osobowych
Zmiany w dokumentacji
Art. 36 a ust. 2 pkt 1 c u.o.d.o.
Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
Forma realizacji obowiązku
Dołączenie do Polityki Bezpieczeństwa jako załącznikaoświadczenia o zapoznaniu się pracowników/współpracownikówz przepisami ustawy o ochronie danych osobowych orazzobowiązania do przestrzegania powołanych przepisów;
Oświadczenie powinno zostać podpisane przez pracownika lubwspółpracownika oraz przechowywane w aktach osobowychpracowników;
Kurs Ochrona Danych Osobowych
Zmiana w dokumentacji
Kurs Ochrona Danych Osobowych
Zmiany w dokumentacji
Art. 36 a ust. 2 pkt 1 a u.o.d.o.
Sprawdzanie zgodności przetwarzania danych osobowych zprzepisami o ochronie danych osobowych oraz opracowanie wtym zakresie sprawozdania dla administratora
Forma realizacji obowiązku
Dołączenie do Polityki Bezpieczeństwa wzoru sprawozdania zaudytu przeprowadzonego przez Administratora BezpieczeństwaInformacji;
Wprowadzenie zmian do Polityki Bezpieczeństwa poprzezwprowadzenie procedury przeprowadzania obowiązkowychaudytów, wskazującej:• częstotliwość przeprowadzania audytu (nie rzadziej niż raz na
rok;• sposób przeprowadzania audytu;• wzór sprawozdania po przeprowadzonym audycie;
Kurs Ochrona Danych Osobowych
Zmiany w dokumentacji
Sprawozdania z audytu z zakresu ochrony danych osobowychpowinno zawierać (art. 36 c u.o.d.o.) :
• oznaczenie administratora danych i adres jego siedziby lub miejscazamieszkania;
• imię i nazwisko administratora bezpieczeństwa informacji;• wykaz czynności podjętych przez administratora bezpieczeństwa informacji w
toku sprawdzenia oraz imiona,• nazwiska i stanowiska osób biorących udział w tych czynnościach;• datę rozpoczęcia i zakończenia sprawdzenia;• określenie przedmiotu i zakresu sprawdzenia;• opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne
informacje mające istotne znaczenie dla oceny zgodności przetwarzaniadanych z przepisami o ochronie danych osobowych;
• stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych wzakresie objętym sprawdzeniem wraz z planowanymi lub podjętymidziałaniami przywracającymi stan zgodny z prawem;
• wyszczególnienie załączników stanowiących składową część sprawozdania;• podpis administratora bezpieczeństwa informacji, a w przypadku
sprawozdania w postaci papierowej – dodatkowo parafy administratorabezpieczeństwa informacji na każdej stronie sprawozdania;
• datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwainformacji.
Kurs Ochrona Danych Osobowych
Zmiany w dokumentacji
Art. 36 a ust. 2 pkt 2 u.o.d.o.
Prowadzenie rejestru zbiorów danych przetwarzanych przezadministratora danych, z wyjątkiem zbiorów, o którychmowa w art. 43 ust. 1 u.o.d.o.
Forma realizacji obowiązku
• Dołączenie do Polityki Bezpieczeństwa jako załącznikawykazu zbiorów danych osobowych przetwarzanych przezadministratora z wyłączeniem zbioru danych osobowychwrażliwych.
Kurs Ochrona Danych Osobowych
Zmiany w dokumentacjiWzór ewidencji zbiorów danych osobowych
Prowadzony przez Administratora Bezpieczeństwa Informacji na podstawie 36a ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o
ochronie danych osobowychprzetwarzanego przez … z siedzibą w …, KRS: …, NIP:… .
Nazwa zbioru:
Kurs Ochrona Danych Osobowych
Zmiany w dokumentacji
Kurs Ochrona Danych Osobowych
Przekazywanie danych do państwa trzeciego
Kurs Ochrona Danych Osobowych
Przekazanie danych do p. trzeciegoPrzekazanie danych do państwa trzeciego będzie możliwe
Jeżeli państwo docelowe zapewnia na swoim terytoriumodpowiedni poziom ochrony danych osobowych.
Jeżeli administrator danych spełnia jedną z przesłanek o którychmowa w art. 47 ust. 3 u.o.d.o.
Jeżeli Generalny Inspektor Ochrony Danych Osobowych wyrazizgodę na transfer danych do państwa trzeciego;
lub
Jeżeli administrator danych zapewni odpowiednie zabezpieczeniaw zakresie ochrony prywatności oraz standardowe klauzuleumowne ochrony danych osobowych, zatwierdzone przezKomisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE;
Prawnie wiążące reguły lub polityki ochrony danych osobowych,zwane dalej „wiążącymi regułami korporacyjnymi”, które zostałyzatwierdzone przez GIODO.
Kurs Ochrona Danych Osobowych
Przekazanie danych do p. trzeciego
Zatwierdzenie wiążących reguł korporacyjnych
Generalny Inspektor zatwierdza, w drodze decyzji administracyjnej,wiążące reguły korporacyjne przyjęte w ramach grupyprzedsiębiorców do celów transferu danych do państwa trzeciego.
Generalny Inspektor przed zatwierdzeniem wiążących regułkorporacyjnych może przeprowadzić konsultacje z właściwymiorganami ochrony danych osobowych państw należących doEuropejskiego Obszaru Gospodarczego, na których terytoriummają siedziby przedsiębiorcy należący do grupy.
Kurs Ochrona Danych Osobowych
Współpraca administracyjna w UE
Kurs Ochrona Danych Osobowych
Współpraca administracyjna
Współpraca krajowych organów ochrony danych osobowych
Pierwszy raz uregulowana w ustawie krajowej!!
Art. 48 ust. 4 u.o.d.o.
Generalny Inspektor przed zatwierdzeniem wiążących regułkorporacyjnych może przeprowadzić konsultacje zwłaściwymi organami ochrony danych osobowych państwnależących do Europejskiego Obszaru Gospodarczego, naktórych terytorium mają siedziby przedsiębiorcy należący dogrupy, przekazując im niezbędne informacje w tym celu.
Kurs Ochrona Danych Osobowych
Gdzie szukać rzetelnych informacji
Kurs Ochrona Danych Osobowych
Gdzie szukać informacji?www.giodo.gov.pl
https://edugiodo.giodo.gov.pl
http://egiodo.giodo.gov.pl
www.e-ochronadanych.pl
http://orzeczenia.nsa.gov.pl
Kurs OchronaDanych Osobowych