Tag Archives: ustawa

Spotkałam się z opinią, że podmioty przetwarzające informacje niejawne są zwolnione z obowiązków wynikających z ustawy o ochronie danych osobowych. Jest to oczywiście błędne przeświadczenie, ale warto omówić jego genezę i wyjaśnić dlaczego tak nie jest. Zwłaszcza, że wiele takich podmiotów stosuję tę „zasadę zwolnienia” i nie wypełnia obowiązków wynikających z przepisów prawa.

Miejska legenda wywodzi się z art. 43. 1. ustawy: Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych zawierających informacje niejawne. Z treści cytowanego przepisu wyraźnie wynika, że zwolnienie dotyczy tylko zbiorów danych zawierających informacje niejawne, nie dotyczy pozostałych zbiorów danych, nie oznacza także, że taki administrator danych jest zwolniony z pozostałych obowiązków wynikających z ustawy (stworzenia polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi, upoważnienia, zobowiązania do poufności, itd.). Read More →

Po opublikowaniu mojego artykułu odnośnie obowiązku zgłaszania do rejestru GIODO zbioru danych osób skazanych przez sąd na bezpłatne prace społeczno-użytkowe otrzymałam wiadomość od Pani Beaty Lewandowskiej (która jest wykwalifikowanym Administratorem Bezpieczeństwa Informacji oraz Audytorem Wewnętrznym ISO 27007) i nie zgadza się z moim stanowiskiem. Przeprowadziłyśmy dość długą, merytoryczną i interesującą dyskusję, którą postanowiłam Wam częściowo przytoczyć. Myślę, że zainteresuje wszystkich zaangażowanych w zagadnienie bezpieczeństwa informacji.

Beata Lewandowska: Witam, Pani Sylwio przeczytałam artykuł na temat zbioru danych pracowników skazanych i wysłanych na prace społeczne. Pani Sylwio administratorem tych danych jest Sąd i powinna być zawarta umowa powierzenia danych, a wówczas taki zbiór zgłasza do GIODO Sąd, a nie pracodawca. Pracodawca nie zbiera danych tylko je przechowuje po tym jak mu przekazano z Sądu. Taka jest moja interpretacja tej sytuacji. Decyzja GIODO jest z 2008 roku, czyli przed wszelkimi nowelizacjami. Uważam, że nastąpiła nadinterpretacja przepisów. Oczywiście najczęściej jest to zbiór danych doraźny.

Sylwia Czub: Dzień dobry! Chętnie podyskutuję na ten temat. Przede wszystkim, dlaczego uważa Pani, że należy zawrzeć umowę powierzenia, jeżeli przetwarzanie danych odbywa się na podstawie przepisów prawa (przede wszystkim kodeks karny wykonawczy)? Read More →

Muszę przyznać, że tempo zmian jest porażające. Jeszcze do niedawna posługiwaliśmy się tekstem jednolitym ustawy z 2015 roku, a już mamy ogłoszony nowy tekst jednolity ustawy – Dz.U. 2016 poz. 922. Przepis wszedł w życie 28 czerwca 2016 r.

Oczywiście każda zmiana przepisów zachęca armię firm do proponowania niepotrzebnych usług, które pomogą Waszym podmiotom dostosować się do nowych przepisów. Uspokajam, zmiany nie są przerażające. Nowelizacja ustawy uwzględniła zmiany, wprowadzone przez:

1) ustawę z dnia 22 grudnia 2015 r. o zmianie ustawy o działach administracji rządowej oraz niektórych innych ustaw (Dz. U. poz. 2281),
2) ustawę z dnia 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci (Dz. U. poz. 195),
3) ustawę z dnia 18 marca 2016 r. o zmianie ustawy o Rzeczniku Praw Obywatelskich oraz niektórych innych ustaw (Dz. U. poz. 677).

Zmiany wprowadzone przez zmianę ustawy o administracji rządowej oraz niektórych innych ustaw dotyczą zmiany organu odpowiedzialnego za wydanie odpowiednich przepisów wykonawczych oraz wzorów legitymacji inspektorów GIODO. Kompetencje wymienionego wcześniej w ustawie MSWiA przejęło Ministerstwo Administracji i Cyfryzacji.

Zmiany wprowadzone przez ustawę o pomocy państwa w wychowaniu dzieci (tzw. ustawa 500+) omawiałam już szczegółowo w tym artykule. Generalnie dotyczą zasad powierzenia danych osobowych podmiotom działających w interesie publicznym. Negatywne stanowisko GIODO oraz interpretację GIODO w zakresie stosowania tych przepisów przedstawiłam tutaj.

Najnowsze zmiany wynikają z o zmianie ustawy o Rzeczniku Praw Obywatelskich oraz niektórych innych ustaw i dotyczą możliwości pociągnięcia do odpowiedzialności Generalnego Inspektora Ochrony Danych Osobowych.

Pamiętajcie, że aktualny tekst ustawy znajdziecie zawsze w Internetowym Systemie Aktów Prawnych. Jest to też miejsce, gdzie powinniście szukać aktów wykonawczych do ustawy.

Mamy już obowiązujące ogólne rozporządzenie o ochronie danych osobowych, jednak jeszcze przez dwa lata jest czas na dostosowanie się do nowych przepisów, co oznacza że administrator danych może podjąć decyzję, czy stosuje jeszcze przepisy krajowe, czy już unijne. Od 1 czerwca w krajowej ustawie o ochronie danych osobowych pojawi się kilka zmian dotyczących możliwości pociągnięcia Generalnego Inspektora Ochrony Danych Osobowych do odpowiedzialności.

Tekst z zaznaczonymi zmianami jest dostępny na stronach GIODO.

Doczekaliśmy się – Parlament Europejski uchwalił nowe rozporządzenie o ochronie danych osobowych oraz dyrektywę w sprawie przekazywania danych do celów policyjnych i sądowych. Oznacza to, że od momentu opublikowania Państwa członkowskie UE mają dwa lata, aby w pełni dostosować się do nowych przepisów. Warto podkreślić, że w odróżnieniu od dotychczas obowiązującej dyrektywy 95/46/WE, kraje członkowskie nie będą dokonywać własnej implementacji rozporządzenia, gdyż rozporządzenia unijne przyjmuje się wprost, dokładnie w brzemieniu, w którym zostały ogłoszone. Mówiąc krótko, w całej UE będą jednolite, identyczne przepisy o ochronie danych osobowych. Jest to bardzo duży krok na przód, bo dotychczas były duże rozbieżności w interpretacji przepisów o ochronie danych osobowych wynikających z dyrektywy 95/46/WE, np. były różne definicje zgody lub różny zakres danych uznany za wrażliwy (Polska jest jedynym krajem UE, w którym przynależność związkową uznaje się za dane wrażliwe). Read More →