czerwiec 2015 – Strona 2 – Sylwia Czub bloguje o danych osobowych

11 cze

Jak wskazać programy służące do przetwarzania danych osobowych

Pytanie od Pani Anity:

Czy przy opisie programów służących do przetwarzania danych musimy szczegółowo wymieniać nazwy aplikacji edytorów tekstu, arkuszy kalkulacyjnych, programów pocztowych skoro pracujemy na kilku i może to się zmieniać?

Należy wskazać nazwy programów.

Uzasadnienie: W rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych, wymienione są elementy, które musi zawierać polityka bezpieczeństwa. Punkt 2 paragrafu 4 dotyczący programów, które służą do przetwarzania danych osobowych ma brzmienie: Read More →

08 cze

Rozporządzenie w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez ABI

Z dniem 11 maja 2015 roku ukazało się rozporządzenie określające obowiązki zarejestrowanego w GIODO ABI, które wynikają z nowelizacji ustawy o ochronie danych osobowych (obowiązującej od 1 stycznia 2015 roku).

Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji.

08 cze

Rozporządzenie w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych

Jeżeli administrator danych powoła i zarejestruje w GIODO adminstratora bezpieczeństwa informacji, to na tego ABIego spadnie obowiązek prowadzenia rejestru danych osobowych, który pierwotnie prowadziło GIODO.

Zasady realizacji tego obowiązku określa Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych

07 cze

Czy nazwa ABI jest zastrzeżona tylko dla osoby zarejestrowanej w GIODO?

Pytanie od Pani Moniki:

Nie chcemy powoływać Administratora Bezpieczeństwa Informacji (i zgłaszać go do GIODO), jednak administrator danych chce kogoś oddelegować do pomocy – czy w polityce bezpieczeństwa i w instrukcji zarządzania systemami może funkcjonować nazwa „ABI” czy zastosować jakieś inne nazewnictwo?

Jeżeli nie powołujecie Państwo Administratora Bezpieczeństwa Informacji, nie możecie posługiwać się, wobec osoby nadzorującej przestrzeganie przepisów ochrony danych osobowych, nazwą ABI. Jest to nazwa stanowiska, dla którego obowiązki są wyraźnie wskazane w art. 36 a w ustawie o ochronie danych osobowych, czyli zastrzeżona tylko i wyłącznie dla osób zarejestrowanych w GIODO. Wobec tego, jeżeli administrator danych, nie chce zarejestrować swojego pracownika w GIODO, nie powinien używać wobec niego oraz w stworzonej dokumentacji nazwy ABI. Można użyć innego, dowolnego określenia. Read More →

04 cze

Pytanie: Jaka jest podstawa prawna do wprowadzenia polityki bezpieczeństwa?

Pytanie od Pani Justyny:

Chciałabym wprowadzić zarządzeniem politykę bezpieczeństwa danych osobowych w bibliotece. Jaką podstawę prawną powinnam wskazać?

Podstawy prawne są dwie:

Art. 36 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2014 poz. 1182) oraz par. 5 rozporządzenia MSWiA z dnia 29. kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnym, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych osobywch (Dz. U. 2004 nr 100 poz. 1024).

Icons made by Freepik from www.flaticon.com is licensed by CC BY 3.0

01 cze

Pytanie: Kiedy muszę aktualizować zbiór w GIODO?

Pytanie od Pani Agnieszki:

Kiedy muszę aktualizować zbiór zarejestrowany w GIODO? Czy jest jakiś okres czasu, po którym należy zrobić aktualizację?

Jeżeli zmieniły się dane administratora danych (np. adres, nazwa) lub inne informacje związane ze zbiorem (zakres zbieranych danych, podmiot, któremu powierzono dane) stosuje się art. 41. ust 2. UODO:

Administrator danych jest obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji, o której mowa w ust. 1, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych. Read More →