VIII Europejski Dzień Ochrony Danych Osobowych – 28.01.2015

28 stycznia przypada Dzień Ochrony Danych Osobowych, 1 stycznia 2015 weszła w życie nowelizacja Ustawy o ochronie danych osobowych  i dlatego warto przypomnieć jakie obowiązki spoczywają po stronie przedsiębiorców w zakresie przetwarzania danych osób fizycznych, a także przedstawić zmiany które weszły w życie od pierwszego stycznia.

Niestety mimo że ustawa o ochronie danych osobowych obowiązuje już od 16 lat świadomość po stronie wścieli firm nadal pozostawia wiele do życzenia. W wielu przypadkach nie znają oni podstawowych obowiązków. Jakie nakładają na nich jej przepisy. Należy pamiętać, że praktycznie każda firma, (tzw. Administrator Danych Osobowych w skrócie ADO) w swoje działalności przetwarza dane osobowe w tym między innymi – dane kadrowe, finansowe, potencjalnych i obecnych klientów, dostawców, współpracowników, dane związane z marketingiem i promocją, subskrybentów newsletter, a także wiele innych w zależności od prowadzonej działalności.

IcałośćIch ochrona jest dla ustawodawcy na tyle istotna, że naruszenie wymagań ustawy może powodować nawet odpowiedzialność karną, jednak dla firmy nie mniej ważne są inne zagrożenia związane z nieodpowiednim ich przetwarzaniem. Utrata lub ujawnienie danych osobowych przetwarzanych przez firmę może powodować utratę zaufania klientów, dostawców i współpracowników, zachwianie ciągłości działania, wprowadzić chaos w działalności, powodować znaczne koszty odtworzenia zbioru, a w skrajnych przypadkach firma może przestać istnieć.

W naszej wieloletniej praktyce z danymi osobowymi widać, że najważniejszym punktem ochrony danych osobowych, dającym najlepsze efekty a zarazem powodującym najmniejsze koszty jest dbanie o wysoką świadomość pracowników, stałe podnoszenie ich wiedzy w tym zakresie, a także codzienne pokazywanie przez kierownictwo jakie znaczenie ma dla firmy świadome zarządzanie informacją w firmie.

Nie da się jednak dbać o sama, wysoką świadomość pracowników nie spełniając obowiązków ustawowych, do których nalezą między innymi:

  • wyznaczenia administratora bezpieczeństwa informacji, chyba że ADO sam pełni tą funkcję – w tym zakresie pojawiło się szereg zmian w nowelizacji obowiązującej od 01.01.2015 – o czym w dalszej części;
  • opracowanie i wdrożenie dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych.
  • nadawanie pisemnego upoważnienia do przetwarzania danych osobowych wszystkim osobom, które mają do nich dostęp;
  • prowadzenie pisemnej ewidencji osób upoważnionych do przetwarzania danych osobowych;
  • wypełnianie obowiązku informacyjnego w stosunku do właściciela danych;
  • wprowadzenie zabezpieczeń technicznych i organizacyjnych miejsc przetwarzania danych osobowych oraz systemów informatycznych służących do przetwarzania danych osobowych;
  • zawarcie pisemnej umowy w przypadku powierzenia danych osobowych do dalszego przetwarzania. Najczęściej w przedsiębiorstwach stykamy się z powierzeniem danych w przypadku zawarcia umowy z biurem rachunkowym w celu prowadzenia dokumentacji rachunkowej i kadrowej firmy ( samo zawarcie umowy nie zwalnia przedsiębiorcy od obowiązku wymuszenia na biurze rachunkowym przetwarzania danych osobowych zgodnie z ustawą)
  • zgłoszenie zbioru danych do Generalnego Inspektora Ochrony Danych Osobowych, chyba że przedsiębiorca wyznaczył Administratora bezpieczeństwa informacji w zbiorach nie są przetwarzane dane wrażliwe

Największe zmiany w nowelizacji obowiązującej od 01.01.2015 roku dotyczą funkcji Administratora Bezpieczeństwa Informacji oraz rejestracji zbiorów w GIODO.

Administrator bezpieczeństwa informacji (ABI) jest to osoba która zgodnie z ustawą w imieniu ADO ma zapewnić przestrzegania przepisów o ochronie danych osobowych w zakresie danych przetwarzanych w firmie. W zakresie jej obowiązków jest między innymi – co najmniej raz do roku dokonywanie kontroli, przygotować sprawozdanie dla ADO w tym zakresie, nadzorować i aktualizować dokumentację z zakresu ochrony danych osobowych, szkolić osoby które mają dostęp do danych osobowych a także prowadzić rejestr zbiorów danych przetwarzanych przez firmę. Nowością w nowelizacji jest również dookreślenie kto może pełnić tą funkcję oraz dookreślenia miejsca ABI w strukturach organizacji. Funkcję ABI może pełnić osoba która ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, posiada odpowiednią wiedzę w zakresie ochrony danych osobowych, także nie była karana za umyślne przestępstwo.

Administrator Bezpieczeństwa Informacji w zakresie ochrony danych osobowych musi podlegać bezpośrednio kierownikowi jednostki organizacyjnej, a dodatkowe obowiązki takiej osobie można powierzyć tylko jeżeli nie powoduje to negatywnych skutków w zakresie ochrony danych osobowych w firmie. Każdy ADO do 30.06.2015, jest zobowiązany do zgłoszenia swojego ABI do GIODO który będzie prowadził jawny rejestr tych osób, jednak jeżeli tego obowiązku nie dokona będzie zobowiązany sam realizować zadania ustawowo nałożone na ABI.

Biorąc pod uwagę wielość obowiązków wynikających z pełnienia funkcji ABI a także brak przygotowanych osób do pełnienia tych zadań, jest usługa outsourcingu funkcji Administratora Bezpieczeństwa Informacji, która jest w pełni akceptowalna przez przepisy prawa a także GIODO. Taką usługę w swojej ofercie posiada nasza firma – Spektrum szkolenia*doradztwo*coaching

Po nowelizacji ustawy powołanie ABI ściśle się wiąże z rejestracją zbiorów danych osobowych w GIODO. Nowością jest brak obowiązku zgłaszania do rejestracji zbiorów danych osobowych prowadzonych w firmie, w której powołany i zgłoszony do GIODO jest ABI, a zbiory nie zawierają danych wrażliwych. Z obowiązku rejestracji są również wyłączone zbiory prowadzone tylko w wersji tradycyjnej (papierowej) w których nie są przetwarzana dane osobowe wrażliwe. Kolejną nowością jest obowiązek prowadzenia jawnego rejestru zbiorów danych osobowych przetwarzanych przez firmę.

Na szersze omówienie tematu firma Spektrum szkolenia*doradztwo*coaching zaprasza na szkolenia:

Ochrony danych osobowych w administracji publicznej i jednostkach samorządu terytorialnego 06.02.2015r

Administrator bezpieczeństwa informacji – praktyczne rozwiązania– 16.02.2015 r.

Ochrona danych osobowych w oświacie – 23.01.2015

Szczegóły tych i innej oferty na stronie www.spektrum-szkolenia.pl w zakładce harmonogram szkoleń.

Szukaj