01 paź

Rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych (…)

Ustawa o ochronie danych osobowych opisuje w sposób bardzo ogólny zasady zabezpieczenia zbiorów danych osobowych. Szczegółowe zasady zostały określone w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

W Rozporządzeniu określono co powinny zawierać polityka bezpieczeństwa oraz instrukcja zarządzania systemami informatycznymi. Jest to punkt wyjścia do stworzenia wymaganej przez ustawę dokumentacji.

01 paź

Jaką odpowiedzialność ponosi Administrator Bezpieczeństwa

Administrator Bezpieczeństwa (lub też Administrator Bezpieczeństwa Informacji, w skrócie ABI) to osoba, odpowiedzialna za kontrolę przestrzegania zasad przetwarzania danych osobowych w instytucji, np. bibliotece.

ABI pełni funkcje kontrolne, nadzorcze mające na celu zapewnienie bezpieczeństwa danych osobowych. ABI nie ponosi odpowiedzialności z tytułu nie przestrzegania UODO przez pracowników administratora (zgodnie z ustawą, każdy ponosi odpowiedzialność indywidualnie). Za niewywiązywanie się ze swoich obowiązków odpowiada przed administratorem danych dyscyplinarnie. Jeżeli sam został upoważniony do przetwarzania danych osobowych, ponosi odpowiedzialność zgodną z ustawą.

Wyznaczenie Administratora Bezpieczeństwa nie znosi z dyrektora odpowiedzialności.

01 paź

Administrator Bezpieczeństwa Informacji

Administrator Bezpieczeństwa (lub też Administrator Bezpieczeństwa Informacji, w skrócie ABI) to osoba, odpowiedzialna za kontrolę przestrzegania zasad przetwarzania danych osobowych w instytucji, np. bibliotece. Od stycznia 2015 roku zmieniły się obowiązki i zasady działania ABI. Przede wszystkim tę rolę może pełnić tylko i wyłącznie osoba, która spełnia wymagania określone art. 36 ust 5:

1)ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw
publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.

Powołany przez administratora danych ABI musi zostać zarejestrowany w GIODO. Co istotne, nie ma obowiązku powoływania ABI. Jest to istotna zmiana w stosunku do poprzednich przepisów. Read More

01 paź

Administrator danych osobowych

Zacznijmy od definicji ustawowej

Art. 7 ust. 4 UODO

Ilekroć w ustawie jest mowa o administratorze danych – rozumie się przez to organ, jednostkę organizacyjną podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych.

Konieczne jest przytoczenie art. 3 UODO (konkretnie ust. 2.2):

Ustawę stosuje się również do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

Konkluzja: Read More

01 paź

Monitoring na dworcach kolejowych pozostanie tajemnicą PKP S.A.

Polecam bardzo ciekawy artykuł Pani adwokat Marty Kwiatkowskiej-Cylke podsumowujący wyniki działania fundacji Panoptykon w zakresie badania zasad działania i zakresu monitoringu w pociągach.

Wstęp z artykułu (kliknięcie odniesie do całości)

” W dniu 20 sierpnia 2014 r. Wojewódzki Sąd Administracyjny w Warszawie wydał ciekawy wyrok w sprawie związanej z monitoringiem wizyjnym. W postępowaniu prowadzonym pod sygn. akt II SAB/Wa 345/14 Sąd rozważał: czy pytania zadane przez Fundację Panoptykon w oparciu o ustawę z dnia 6 września 2001 r. o dostępie do informacji publicznej, dotyczące działania systemu monitoringu wizyjnego zamontowanego na dworcach kolejowych, stanowią informację publiczną w rozumieniu ww. ustawy oraz czy spółka PKP S.A. jest podmiotem zobowiązanym do udzielania odpowiedzi na te pytania.”

24 wrz

Ustawa o ochronie danych osobowych

Aktualny, jednolity tekst ustawy jest tutaj.

Ustawę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i art. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych lub RODO).

Ustawa określa:
1) podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o jego wyznaczeniu;
2) warunki i tryb akredytacji podmiotu uprawnionego do certyfikacji w zakresie ochrony danych osobowych, akredytowanego
przez Polskie Centrum Akredytacji, zwanego dalej „podmiotem certyfikującym”, podmiotu monitorującego
kodeks postępowania oraz certyfikacji;
3) tryb zatwierdzenia kodeksu postępowania;
4) organ właściwy w sprawie ochrony danych osobowych;
5) postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;
6) tryb europejskiej współpracy administracyjnej;
7) kontrolę przestrzegania przepisów o ochronie danych osobowych;
8) odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych i postępowanie przed sądem;
9) odpowiedzialność karną i administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.