Category Archives: Artykuły

05 lut

Rejestr Administratorów Bezpieczeństwa Informacji

Na platformie e-GIODO pojawił się rejestr Administratorów Bezpieczeństwa Informacji. Wszystkich zainteresowanych i ciekawych odsyłam do stron GIODO, a sama póki co polecam obserwowanie zachodzących zmian oraz wystąpień Generalnego Inspektora związanych z nową rolą ABI. Do końca czerwca 2015 r. administratorzy danych mają czas na podjęcie decyzji o powołaniu i zarejestrowaniu ABI, wobec tego warto (moim zdaniem) nie śpieszyć się z tą decyzją, aby rozsądnie rozważyć wszystkie za i przeciw.

02 lut

Stary ABI w świetle nowych przepisów, czy trzeba go powołać na nowo?

Osoby, które przed wejściem w życie nowelizacji ustawy pełniły rolę administratorów bezpieczeństwa informacji, często zastanawiają się, jak odnaleźć się w nowej rzeczywistości. Dużo pytań budzi przede wszystkim uchylenie art. 36 ust. 3, który nakazywał administratorowi danych wyznaczenie administratora bezpieczeństwa informacji, chyba że ADO postanowił sam wykonywać te czynności. Po 1. stycznia 2015 r. ustawodawca zwolnił administratorów danych osobowych z obowiązku wyznaczania ABI, na rzecz dobrowolnego powołania w zamian za pewne przywileje wynikające z ustawy.  Read More

20 sty

Co zrobić jeśli system służący do przetwarzania danych nie spełnia wymogów ustawowych

Zdarza się, że po przeprowadzeniu audytu bezpieczeństwa, okazuje się, że system informatyczny służący do przetwarzania danych osobowych (np. system kadrowy) nie spełnia wszystkich wymogów określonych przez rozporządzenie. Co powinniśmy wtedy zrobić? Read More

17 sty

Czy stworzenie dokumentu tekstowego zawierającego dane osobowe, to już przetwarzanie elektroniczne?

Pytanie od Pana Romana: Stworzenie dokumentu tekstowego, który zawiera dane osobowe uczestników konkursów na komputerze to już przetwarzanie elektroniczne?

Przetwarzanie danych osobowych z użyciem sprzętu komputerowego to przetwarzanie elektroniczne, jednakże należy pamiętać, że dokumenty tekstowe, czy arkusze kalkulacyjne nie są systemami informatycznymi (celem ich użytkowania jest przygotowanie dokumentu w formie papierowej). Wobec tego, jeżeli mamy zbiory danych osobowych prowadzone w formie papierowej, które są przetwarzane przy użyciu dokumentów tekstowych, czy arkuszy kalkulacyjnych, to zgodnie z ustawą są to zbiory prowadzone tylko i wyłącznie w formie papierowej. Read More

15 sty

Czy za każdym razem, gdy organizuję konkurs muszę zgłaszać zbiór do GIODO?

Wraca do mnie jak bumerang pytanie dotyczące zbiorów danych osobowych, które zawierają dane osobowe różnych osób w różnym zakresie pól informacyjnych, takich jak „uczestnicy konkursów”, czy „uczestników szkoleń”. W zależności od wydarzenia, raz zbiera się szerszy zakres danych od uczestników (dane teleadresowe, PESEL, dane kontaktowe), a czasami węższy (np. tylko imię, nazwisko i e-mail). Pytanie brzmi, czy za każdym razem, gdy planujemy zbierać dane do tego zbioru, powinniśmy zgłaszać zmianę do GIODO? A może każdy konkurs (szkolenie) zgłaszać jako odrębny zbiór? Read More

14 gru

Sposób prowadzenia rejestrów zbiorów w świetle nowych przepisów

Od nowego roku, jeśli administrator danych postanowi powołać ABI, to jednym z obowiązków ABI-ego będzie prowadzenie jawnego rejestru zbiorów danych osobowych. Ministerstwo Administracji i Cyfryzacji przygotowało projekt rozporządzenia dotyczący sposobu prowadzenia tego rejestru (dostępny tutaj).

W zakresie pól informacyjnych MAiC proponuje podawanie tych samych informacji, które do tej pory zbierał GIODO (oznaczenie administratora danych, cel przetwarzania, kategorie osób, zbierane dane, podstawa prawna, itd.).

Co ciekawe MAiC proponuje prowadzenie rejestru w formie elektronicznej lub papierowej. Read More

09 gru

Co zawiera karta zobowiązania generowana z MAK+?

W artykule z 5. października wyjaśniłam że biblioteka nie potrzebuje pobierać zgody na przetwarzanie danych osobowych od czytelników, gdyż działa na podstawie ustawy o bibliotekach, która zgodnie z ustawą o ochronie danych osobowych jest wystarczającą podstawą prawną do przetwarzania ich danych.

Co zatem powinna zawierać karta zobowiązania? Read More

05 gru

Projekt rozporządzenia MAiC w spr. wzorów zgłoszenia ABI

W dniu 24.11.2014 r. na stronach Ministerstwa Administracji i Cyfryzacji ukazał się projekt rozporządzenia dotyczącego powołania oraz odwołania przez administratora danych ABI-ego. Projekt jest związany z wchodzącą w życie 1 stycznia 2015 r. ustawą o ułatwieniu wykonywania działalności gospodarczej, która wprowadza szereg zmian w obowiązującej obecnie ustawie o ochronie danych osobowych.

Administratorzy danych, którzy zdecydują się na powołanie ABI, zgodnie z zapisami nowej ustawy, będą zobowiązani dokonać zgłoszenia tej osoby do jawnego rejestru GIODO. Zgłoszenie musi zawierać oznaczenie administratora danych osobowych (biblioteki) oraz dane powołanego ABI-ego w zakresie imienia, nazwiska, numeru PESEL oraz danych kontaktowych. Warto podkreślić, że ABI może podać dane służbowe, jako dane kontaktowe i że w ogólnodostępnym rejestrze nie będą ujawniane numery PESEL. Read More

02 gru

Stanowisko Ministerstwa Gospodarki w kwestii nowych obowiązków ABI

Ustawa o ułatwieniu wykonywania działalności gospodarczej, która wchodzi w życie z dniem 1. stycznia 2015 r. wprowadza szereg zmian dotyczących obowiązków Administratora Bezpieczeństwa Informacji. Poniżej przedstawiam wybrane fragmenty konsultacji międzyresortowych i społecznych, które mama nadzieję, że lepiej pozwolą zrozumieć zakres zmian i intencje ustawodawcy.

Większość wątpliwości budzą zapisy dotyczące ABI-ego.

Przykład (Biuro Informacji Kredytowej): 

Art. 12 pkt 4 – propozycja prowadzenia przez GIODO, rejestru administratorów
bezpieczeństwa informacji nie stanowi ułatwienia wykonywania działalności gospodarczej, a wprost przeciwnie nakłada na przedsiębiorców dodatkowe obowiązki tj. zgłaszania i odwoływania, a także aktualizowania informacji o ABI.

Odpowiedzi MG na pytania dotyczącego ABI:

Read More