GoldenLine
Zaloguj się
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: Nowelizacja ustawy.

Odnośnie zgłaszania - zgłosić. Procedura jest szybka, bezbolesna i prosta.
Odnośnie rejestru - nie ma chyba (jeszcze) jednego wzoru, jak miałby taki rejestr wyglądać. Czyli każdy "sam sobie" tworzy taki dokument. Ogólnie wystarczy nazwa zbioru i jakie dane zawiera.
Link do wypowiedziLink
Dariusz Z.

Dariusz Z. Administrator of
Information Security

Temat: Nowelizacja ustawy.

W odpowiedzi na pytanie Pani Anny odnośnie prowadzenia jawnego rejestru zbiorów danych przytoczę jeden z pkt. zawarty w nowelizacji dotyczący zadań ABI tj.

2. Do zadań administratora bezpieczeństwa informacji należy:
2) prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7.

Co w moim przekonaniu przekłada się na to, że jawny rejestr będzie zawierał ściśle określony zakres danych tj.:
- nazwę zbioru,
- oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
- cel przetwarzania danych,
- opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
- sposób zbierania oraz udostępniania danych,
- informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
- informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Pytanie jak zapewnić od strony organizacyjnej jawność rejestru. Czy należy/wystarczy opublikować zestawienie na firmowej stronie internetowej?
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: Nowelizacja ustawy.

A czy jawnym rejestrem nie będzie rejestr, który jest "do wglądu" dla każdego kto zainteresuje się tym rejestrem?
Chociażby w formie papierowej w siedzibie firmy... lub na życzenie via mail ( na przykład).
Jak dla mnie, nie ma konieczności wyrzucania go na stronę.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Nowelizacja ustawy.

Sądzę, że ów jawny rejestr to nic innego jak to co robił do tej pory GIODO z eGIODO - zob. https://egiodo.giodo.gov.pl/index.dhtml

Dzisiaj juz wypadałoby chyba (o)publikować go na stronach internetowych - w końcu możemy założyć, że ABI będzie powoływany raczej w większych organizacjach, a te maja swoje witryny i zależy im na pozytywnym wizerunku...
Link do wypowiedziLink
Dariusz Z.

Dariusz Z. Administrator of
Information Security

Temat: Nowelizacja ustawy.

Generalnie zmiany opisane w nowelizacji wydają się właściwie i ewentualne problemy dotyczące wypełnienia wymogu jawności rejestru wydają się marginalne, ale warto o nim wspomnieć. Być może pojawią się jeszcze jakieś pomysły na forum, które będzie można wdrożyć w organizacji.

Czytając powyższe dwie odmienne opinie w zakresie udostępniania informacji można dojść do wniosku, że uzyskanie informacji o zbiorach DO w nowej przyjętej formie będzie wymagało więcej wysiłku dla osoby zewnątrz organizacji. W stanie na dzień dzisiejszy mamy jedną bazę prowadzoną przez Biuro GIODO udostępnioną publicznie na stronie WWW, która zawiera wykaz wszystkich zbiorów podlegających rejestracji. Po wprowadzaniu zmian, zbiór ten zostanie rozproszony na rejestr prowadzony przez GIODO w obecnie przyjętej formie z którego zostaną wyłączone zbiory DO zawierające tzw. dane zwykłe, ale tyko organizacji które powołają ABI. ABI będzie zobowiązany udostępniać zewnętrznie ekstrakt(*) zestawienia w różnych formach przyjętych u ADO. Niemniej efekt pozyskiwania informacji od GIODO może być nieco zrównoważony poprzez rejestr ABI, który będzie zawierał informacje kontaktowe do przedstawiciela ADO. Mogę więc chyba przyjąć, że dwie formy przekazywania informacji o zbiorach, które zostały wskazane powyżej będą poprawne.

Zastanawiam się czy wraz z wprowadzaniem „udogodnienia” poprzez prowadzenie przez ABI rejestrów lokalnie i ewentualnych rozbieżności co do sposobu ich udostępniania nie powinno się rozszerzyć funkcjonalności platformy eGIODO. ABI uzyskałby w drodze rejestracji login i hasło z odpowiednimi uprawnieniami w celu uzyskania dostępu do gotowego jakby nie było narzędzia. Możliwe by było gromadzenie informacji o wszystkich zbiorach w jednym miejscu, które spełnia wymóg zachowania jawności rejestru oraz kontrolę poprawności wprowadzanych informacji.
Droga rejestracyjna dla wskazanych zbiorów byłaby skrócona bez zbędnych papierowych formularzy, znaczków, opłat i podpisu ADO, więc efekt byłby ten sam, tylko wygodniejszej i ustandaryzowanej formie.
Dobrze by było, aby ABI uzyskał wraz z nowymi obowiązkami dodatkowe narzędzie do kontaktów z GIODO nie tylko zawierające rejestr, ale dodatkowo narzędzie autoryzujące sprawozdania przygotowane dla GIODO bez potrzeby jego drukowania i składania podpisu (być może podpis elektroniczny), wewnętrzny chat z urzędnikami też by się przydał. Dodatkowo wyposażenie systemu w zapis historii kontaktów z GIODO przydałby się organizacyjnie na wypadek kontroli oraz dla przyszłych ABI zatrudnionych u AD. Pewnie pieśń przyszłości o ile jest to wg. możliwe w realizacji.

(*) przez ekstrakt rejestru rozumiem, wydzielenie z prowadzonego wewnętrznie przez ABI zestawienia wszystkich zbiorów nie podlegających rejestracji oraz zbiorów zawierających dane wrażliwe zarejestrowane w GIODO, gdyż rejestr jawny tak jak rozumiem zapisy nowelizacji określa precyzyjnie co ma ów wykaz zawierać, chodź może się mylę.

Ps. Panie Leszku z doświadczenia wiem, że nie zawsze wprowadzanie zmian treści witrynie www w międzynarodowej firmie i ich późniejsza autoryzacja oraz aktualizacja należy do łatwych procesów w szczególności jeżeli wprowadzane treści nie są wymagane przez prawo, ale przy odrobinie determinacji jest to możliwe do realizacji. Tym szukam na tym forum argumentacji do determinacji. :-)
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: Nowelizacja ustawy.

Pana opis "działania" programu przypomina mi bardzo stat.gov.pl - stronę GUS'u, na której uprawnione osoby mogą beż zbędnych komplikacji w stylu "listów pisanie, maili wysyłanie" porozumieć się z GUS'em, wypęłnic odpowiednie formularze a do tego jest cała historia działań.
Taki program byłby idealny dla ABI: wszystko w GIODO, skąd osoby zainteresowane mogły by wyciągać odpowiednie dane (a'la KRS online), wpisywanie zbiorów do rejestru online itp.

Wystarczyło by "uzyskać" przy rejestrowaniu ABI login i hasło dla niego.
Link do wypowiedziLink
Dariusz Z.

Dariusz Z. Administrator of
Information Security

Temat: Nowelizacja ustawy.

Zapoznałem się jeszcze raz z dokumentem i znalazłem dość istotny punkt dotyczący prowadzenia rejestru, a chodzi dokładnie o ust. 7 pkt 2. Zawarty w nim zapis wskazuje, że być może informacja o trybie udostępniania informacji o zbiorach będzie opisana w Rozporządzeniu, co powinno ustandaryzować ten obszar.

7. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia:
2) sposób prowadzenia rejestru zbiorów danych, o którym mowa w ust. 2 pkt 2
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: Nowelizacja ustawy.

Pytanie z "innej beczki":
Wiadomo już, jakimi kwalifikacjami (lub też papierami) będzie musiał się "pochwalić" potencjalny ABI, zeby być tymże?
Czy też będzie to "zawód" który będzie mógł wykonywać każdy po po dowolnym kursie z ochrony danych?

Czy jakieś "studia" (chociażby podyplomowe), czy niekoniecznie?
Link do wypowiedziLink
Anna M

Anna M A

Temat: Nowelizacja ustawy.

Przyszła mi do głowy taka myśl. W związku z nowelizacja ustawy AD będzie mógł zgłosić do GIODO ABI. Czy jedna osoba będzie sprawować funkcję ABI w wielu podmiotach na zasadach outsourcingu?
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: Nowelizacja ustawy.

Nie widzę przeszkód.
Taka sama działalność jak inne.
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Nowelizacja ustawy.

Nowelizacja jeszcze przed nami, ale mamy tekst jednolity ustawy:
"Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 26 czerwca 2014 r. w sprawie ogłoszenia jednolitego tekstu ustawy o ochronie danych osobowych"
Link do wypowiedziLink
Przemysław B.

Przemysław B. Audytor, trener,
konsultant

Temat: Nowelizacja ustawy.

Mimo wszystko nie mogę się już doczekać nowej ustawy i rozporządzeń:)
Link do wypowiedziLink
Anna M

Anna M A

Temat: Nowelizacja ustawy.

W nowym ujednoliconym tekście Ustawy o ODO, nie zostały wprowadzone zmiany, które były w projekcie dotyczące prowadzenio jawnego zbioru u ADO bez konieczności rejestracji, zmian co do funkcji ABIego itp. Zmiany te są zawarte w projekcie ustawy o ułatwieniu wykonywania działalności gospodarczej, który jak widać jest w kolejce za ustawą o ochronie danych osobowych. Wiec w jakim celu nowelizować ustawę o ODO, żeby ją wkrótce znowu zmienić?
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Nowelizacja ustawy.

Sejm ustawę uchwalił. czekamy na Senat :)
Link do wypowiedziLink
Krzysztof K.

Krzysztof K. Analityk ds spraw
trudnych

Temat: Nowelizacja ustawy.

Jarosław Ż.:
Sejm ustawę uchwalił. czekamy na Senat :)

w takim kształcie jak cytowana tu wczesniej ? czy jakieś poprawki ? śledzi ktoś ten temat na kompetentnych www ?
Link do wypowiedziLink

konto usunięte

Temat: Nowelizacja ustawy.

Krzysztof,

http://orka.sejm.gov.pl/proc7.nsf/ustawy/2606_u.htm

Art. 9

zmiany w pigułce:

* rejestr ABI
* możliwość zwrócenia się przez GIODO do zarejestrowanych ABI o złożenie sprawozdania
* ustawowe zadania ABI
* możliwość powołania zastępców ABI
* warunki formalne do tego by być ABI (pełna zdolność do czynności prawnych, pełnia praw publicznych, odpowiednia wiedzę w zakresie ochrony danych osobowych, nie karany za umyślne przestępstwo)
* podległość bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych
* ABI jako samodzielne stanowisko (Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań)
* zwolnienie z obowiązku rejestracji danych osobowych zwykłych po wpisaniu ABI do rejestru przez GIODO
* jawny rejestr ABI, podstawy do wykreślenia ABI z listy
* ułatwienia w transgranicznym przekazywaniu danych (wiążące reguły korporacyjne, standardowe klauzule umowne)

Ważne:

* Administrator bezpieczeństwa informacji wyznaczony na podstawie art. 36 ust. 3 ustawy zmienianej w art. 9, w brzmieniu dotychczasowym, pełni funkcję administratora bezpieczeństwa informacji w rozumieniu art. 36a ust. 1 ustawy zmienianej w art. 9, w brzmieniu nadanym niniejszą ustawą, do czasu zgłoszenia go do rejestru, o którym mowa w art. 46c ustawy zmienianej w art. 9, w brzmieniu nadanym niniejszą ustawą, nie dłużej jednak niż do dnia 30 czerwca 2015 r.

* Do postępowań rejestracyjnych prowadzonych przez Generalnego Inspektora Ochrony Danych Osobowych na podstawie zgłoszeń, o których mowa w art. 41 ust. 1 i 2 ustawy zmienianej w art. 9, wszczętych i niezakończonych przed dniem wejścia w życie niniejszej ustawy stosuje się przepisy dotychczasowe.

* Ustawa wchodzi w życie z dniem 1 stycznia 2015 r.
Link do wypowiedziLink

konto usunięte

Temat: Nowelizacja ustawy.

Najpierw zrezygnowano z wymogu wyższego wykształcenia dla ABI czym jakby nie patrzeć zmniejszono jego "rangę", a teraz zrezygnowano z konieczności jego powoływania na rzecz dobrowolności, co zapewne zlikwidowałoby ową funkcję zanim na dobre zaczęła funkcjonować, więc przyjrzyjmy się w takim razie projektowi rozporządzenia UE w tym zakresie (a nuż zostanie kiedyś przyjęte):

Artykuł 22
Odpowiedzialność administratora○
1. Administrator przyjmuje polityki i realizuje odpowiednie środki w celu zapewnienia, by przetwarzanie danych osobowych odbywało się zgodnie z niniejszym rozporządzeniem oraz wykazania tej zgodności.
2. Środki przewidziane w ust. 1 obejmują w szczególności:
a) prowadzenie dokumentacji zgodnie z art. 28;
b) realizację wymogów bezpieczeństwa danych ustanowionych w art. 30;
c) dokonywanie oceny skutków w zakresie ochrony danych zgodnie z art. 33;
d) spełnianie wymogu uprzedniego uzyskania zezwolenia organu nadzorczego lub uprzedniej konsultacji z tym organem zgodnie z art. 34 ust. 1 i 2;
e) wyznaczenie inspektora ochrony danych zgodnie z art. 35 ust. 1.

Artykuł 35
Wyznaczenie inspektora ochrony danych
1. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, w każdym przypadku, w którym:
a) przetwarzania dokonuje organ lub podmiot publiczny; lub
b) przetwarzania dokonuje przedsiębiorstwo zatrudniające 250 osób lub więcej; lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych.
2. W przypadku, o którym mowa w ust. 1 lit. b), grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych.
3. Jeśli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, inspektor ochrony danych może być wyznaczony dla szeregu jego jednostek organizacyjnych, z uwzględnieniem struktury organizacyjnej organu lub podmiotu publicznego.
4. W przypadkach innych niż te, o których mowa w ust. 1, administrator, podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące różne kategorie administratorów lub podmiotów przetwarzających mogą wyznaczyć jednego inspektora ochrony danych.
5. Administrator lub podmiot przetwarzający wyznaczają inspektora ochrony danych na podstawie jego kwalifikacji zawodowych oraz w szczególności jego wiedzy specjalistycznej z zakresu prawa ochrony danych, praktyki i zdolności do wykonywania zadań, o których mowa w art. 37. Niezbędny poziom wiedzy specjalistycznej ustala się w szczególności zgodnie z prowadzonym przetwarzaniem danych oraz ochroną wymaganą dla danych osobowych przetwarzanych przez administratora lub podmiot przetwarzający.
6. Administrator lub podmiot przetwarzający gwarantują, by inne obowiązki zawodowe inspektora ochrony danych były zgodne z zadaniami i obowiązkami tej osoby jako inspektora ochrony danych i by nie skutkowały one konfliktem interesów.
7. Administrator lub podmiot przetwarzający wyznaczają inspektora ochrony danych na okres co najmniej dwóch lat. Inspektor ochrony danych może być powoływany na kolejne kadencje. Inspektora ochrony danych można odwołać w czasie trwania kadencji jedynie wtedy, gdy przestał spełniać warunki niezbędne do pełnienia przez niego obowiązków.
8. Inspektor ochrony danych może być zatrudniony przez administratora lub podmiot przetwarzający lub wykonywać swoje zadania na podstawie umowy o świadczenie usług.
9. Administrator lub podmiot przetwarzający informują organ nadzorczy oraz opinię publiczną o imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych.
10. Podmioty danych mają prawo kontaktować się z inspektorem ochrony danych we wszystkich kwestiach związanych z przetwarzaniem swoich danych oraz wnioskować o możliwość wykonania praw przysługujących im na mocy niniejszego rozporządzenia.
11. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących głównej działalności administratora lub podmiotu przetwarzającego, o której mowa w ust. 1 lit. c) oraz kryteriów dotyczących kwalifikacji zawodowych inspektora ochrony danych, o których mowa w ust. 5.

I teraz pytanie: Biorąc pod uwagę art 22 ust 2 pkt e i art 35 ust 1 i ust 5 w przedsiębiorstwach zatrudniających poniżej 250 osób inspektor danych osobowych (choćby i wspólny) musi być wyznaczony, czy może ?!

Póki co ja bym to interpretował że nie musi... więc rozporządzenie przywróci ewentualnie funkcję ABI w 3175 podmiotach o ile nie są zrzeszone w grupach i w ogóle będą się tematem interesować, a sam znam dwie takowe które na dzień dzisiejszy tego nie robią... Można więc powiedzieć że nigdy dobrze z tym nie było, ale dalsze zainteresowania ową tematyką, to jedynie hobbystycznie mają sens, bo zawodowo niewiele będą wnosiły. Możliwości pod tym względem w administracji publicznej z wiadomych przyczyn nie biorę pod uwagę...Ten post został edytowany przez Autora dnia 28.10.14 o godzinie 12:56
Link do wypowiedziLink
Krzysztof K.

Krzysztof K. Analityk ds spraw
trudnych

Temat: Nowelizacja ustawy.

Beata M.:
Krzysztof,

http://orka.sejm.gov.pl/proc7.nsf/ustawy/2606_u.htm

Dzieki. Jakoś nie miałem cierpliwości aby dotrzeć do tego linku, a szukałem dośc długo.
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Nowelizacja ustawy.

24 listopada 2014 Prezydent podpisał ustawę o ułatwieniu wykonywania działalności gospodarczej. Czyli ostatecznie przesądzone - mamy nowelizację ustawy o ochronie danych osobowych.

Warto zwrócić uwagę na poprawki wprowadzone przez Senat. Nieco doprecyzowano jawność rejestru zbiorów i jest już jasne, że rejestr prowadzony przez ABI nie musi zawierać zbiorów o których mowa w art. 43 ust. 1
Link do wypowiedziLink
Arkadiusz H.

Arkadiusz H. IOD

Temat: Nowelizacja ustawy.

Dla zainteresowanych cytuję uzasadnienia poprawek Senatu.

źródło: http://www.sejm.gov.pl/sejm7.nsf/PrzebiegProc.xsp?nr=2606

Poprawka nr 6 koryguje błąd językowy. Poprawiany przepis określa, że do zadań administratora bezpieczeństwa informacji należy zapewnienie przestrzegania przepisów o ochronie danych osobowych (wprowadzenie do wyliczenia), m.in. przez zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych (lit. c). Wątpliwości Senatu wzbudziło użycie wyrazu „zapewnienie” zamiast wyrazu „zapewnianie”, ponieważ w omawianych regulacjach ustawodawca wyraźnie stanowi o zadaniu (dla którego sformułowania poprawny jest wyraz „zapewnianie”), a nie o jego skutku (który można by wskazać przez użycie w przepisie wyrazu „zapewnienie”). Mając to na uwadze, Senat uchwalił omawianą poprawkę.
Poprawka nr 7 ujednolica zasady udostępniania rejestrów zbiorów danych prowadzonych przez administratora bezpieczeństwa informacji (ABI) i przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Porównanie instytucji rejestru prowadzonego przez GIODO oraz rejestru prowadzonego przez ABI wykazuje, że pomimo jawności obydwu rejestrów, tylko w przypadku rejestru GIODO ustawodawca wprost przesądza, że każdy ma prawo przeglądać rejestr.
Poprawka nr 8 zwalnia administratora bezpieczeństwa informacji (ABI) z obowiązku prowadzenia rejestrów zbiorów danych, w analogicznych przypadkach, w których funkcjonuje zwolnienie z obowiązku rejestracji zbiorów przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Zgodnie ze zmienianym przepisem ABI prowadzi jawny rejestr zbiorów danych osobowych przetwarzanych przez administratora danych.
Należy założyć, że jest to rejestr wszystkich zbiorów danych przetwarzanych przez administratora danych. Inaczej bowiem niż w przypadku rejestru prowadzonego przez GIODO, brak jest przepisu, który wyłączałby obowiązek prowadzenia jawnego rejestru zbiorów danych osobowych, o których mowa w art. 43 ustawy. Taki brak symetrii pomiędzy przepisami Senat uznał za nieuzasadniony.
Poprawka nr 9 umożliwia zwolnienie z obowiązku rejestracji zbiorów danych w rejestrach Generalnego Inspektora Ochrony danych Osobowych (GIODO), już z chwilą ponownego powołania administratora bezpieczeństwa informacji (ABI), wykreślonego uprzednio z rejestru administratorów w drodze czynności materialno-technicznej. Senat nie znalazł uzasadnienia dla „odroczenia” skorzystania z możliwości zwolnienia z obowiązku rejestracji zbiorów w rejestrach GIODO, jeśli powodem uprzedniego odwołania ABI nie były przyczyny określone w art. 46d ust. 2.Ten post został edytowany przez Autora dnia 27.11.14 o godzinie 08:33
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Nowelizacja Ustawy




Wyślij zaproszenie do
Anuluj