21 Sty

Jak przekonać szefa, że ochrona danych osobowych to istotna sprawa?

Coraz częściej dostaję od Was wiadomości, w których skarżycie się na, że powierzono Wam obowiązki związane z ochroną danych osobowych, a jednocześnie utrudnia się ich wypełnianie. Macie problemy z przekonaniem zwierzchników, że po pierwsze powinni zainwestować w Wasze wykształcenie, po drugie powinni Was wspierać w wypełnianiu Waszych obowiązków. Czasami ten sam szef, który wyznaczył osobę do koordynacji ochrony danych osobowych, kładzie tej osobie kłody pod nogi i każe się nie wtrącać i nie utrudniać pracy innym. Read More

03 Sty

Jak sporządzić plan sprawdzeń

Pytanie od Pani Moniki:

Mam  pytanie odnośnie sprawozdania sporządzanego przez ABI, a konkretnie o plan  sprawdzeń. Mianowicie nie wiem jak sporządzić taki plan, co konkretnie miało by się tam znaleźć? Jeśli mogę prosić o jakieś wskazówki byłabym wdzięczna.

Zasady przygotowywania sprawdzenia określa Rozporządzenie w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez ABI, z którego wynika że:

ABI przygotowuje plan sprawdzeń na okres nie krótszy niż kwartał, nie dłuższy niż rok

W praktyce w dużych instytucjach (np. bankach) plany sprawdzeń przygotowuje się na krótsze okresy, gdyż zarówno liczba sprawdzeń, jak i ich zakres są większe niż w przypadku mały instytucji i gdzie planowanie sprawdzeń ma bardzo duże znaczenie dla zarządzania bezpieczeństwem. W małych i średnich instytucjach (bibliotekach, spółdzielniach mieszkaniowych, ośrodkach pomocy społecznej, itp.) wystarczy jeden plan sprawdzeń na okres całego roku.

Read More

12 Gru

Raport na potrzeby GIODO

Otrzymuję ostatnio sygnały od Was, że „dzwonią różni ludzie, żeby przypomnieć o zrobieniu rocznego sprawozdania dla GIODO„, a Was zalewa zimny pot i zastanawiacie się o co chodzi i co się stanie, jeśli tego się nie zrobi.

Na początku zastanówmy się o jaki raport może chodzić. W ustawie o ochronie danych osobowych jest mowa o sprawozdaniu ze sprawdzenia zgodności z przepisami o ochronie danych osobowych, które przygotowuje się dla administratora danych (36a ust. 2 pkt 1 lit. a). Jednocześnie w ustawie jest wyraźnie wskazane, że sprawozdanie przygotowuje ABI i ten obowiązek nie dotyczy jednostek, które nie powołały ABI (36 b). Read More

25 Lis

Czy pracownicy muszą otrzymać certyfikaty, żeby móc przetwarzać dane osobowe?

Coraz częściej pytacie, czy pracownicy muszą przejść certyfikowane szkolenie z ochrony danych osobowych, aby móc legalnie ich dopuścić do pracy z danymi. Artykuł 37 ustawy o ochronie danych osobowych określa, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Upoważnienie wydaje pracownikom administrator danych i nie wymaga to współpracy z żadną firmą.

Jeżeli potrzebujecie wzór upoważnienia, możecie go bezpłatnie pobrać z mojej strony:  wzór upoważnienia.

Do obowiązków administratora danych, należy także zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, które wynika z art. 36a ust. 2. Read More

22 Lis

Czy nowy ABI musi tworzyć dokumentację od nowa?

Pytanie od Pana Dominika;

Jestem nowo powołanym ABI. Moja firma posiada dokumentację przetwarzania danych osobowych, przygotowaną przez firmę, która wcześniej pełniła tę rolę. Czy powinienem napisać politykę i instrukcję od nowa, czy mogę zostawić stare?

Administrator Bezpieczeństwa Informacji ma obowiązek czuwać nad aktualnością dokumentacji przetwarzania danych osobowych oraz stosowaniem jej na co dzień w instytucji. Jeżeli stworzona już dokumentacja jest zgodna z rozporządzeniem, to nie ma potrzeby tworzyć ją od nowa. Read More

21 Lip

Co powinna zrobić biblioteka, która nie powoła ABI?

To pytanie pojawiło się ostatnio w wielu mailach, dlatego poświęcę mu kilka słów.

Przede wszystkim, jeżeli nie zdecydowaliśmy się na „ścieżkę z zarejestrowanym ABI-m”, to zmiany dla instytucji będą niewielkie. Tak naprawdę dopiero powołanie i zarejestrowanie ABI-ego w GIODO wprowadza rewolucję w dotychczasowej pracy z danymi osobowymi.

Read More

08 Cze

Rozporządzenie w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez ABI

Z dniem 11 maja 2015 roku ukazało się rozporządzenie określające obowiązki zarejestrowanego w GIODO ABI, które wynikają z nowelizacji ustawy o ochronie danych osobowych (obowiązującej od 1 stycznia 2015 roku).

Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji.

 

08 Cze

Rozporządzenie w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych

Jeżeli administrator danych powoła i zarejestruje w GIODO adminstratora bezpieczeństwa informacji, to na tego ABIego spadnie obowiązek prowadzenia rejestru danych osobowych, który pierwotnie prowadziło GIODO.

Zasady realizacji tego obowiązku określa Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych

07 Cze

Czy nazwa ABI jest zastrzeżona tylko dla osoby zarejestrowanej w GIODO?

Pytanie od Pani Moniki:

Nie chcemy powoływać Administratora Bezpieczeństwa Informacji (i zgłaszać go do GIODO), jednak administrator danych chce kogoś oddelegować do pomocy – czy w polityce bezpieczeństwa i w instrukcji zarządzania systemami może funkcjonować nazwa „ABI” czy zastosować jakieś inne nazewnictwo?

Jeżeli nie powołujecie Państwo Administratora Bezpieczeństwa Informacji, nie możecie posługiwać się, wobec osoby nadzorującej przestrzeganie przepisów ochrony danych osobowych, nazwą ABI. Jest to nazwa stanowiska, dla którego obowiązki są wyraźnie wskazane w art. 36 a  w ustawie o ochronie danych osobowych, czyli zastrzeżona tylko i wyłącznie dla osób zarejestrowanych w GIODO. Wobec tego, jeżeli administrator danych, nie chce zarejestrować swojego pracownika w GIODO, nie powinien używać wobec niego oraz w stworzonej dokumentacji nazwy ABI.  Można użyć innego, dowolnego określenia. Read More