Dostosowanie przedsiębiorstwa do wymogów wynikających z nowelizacji ustawy o ochronie danych osobowych

Znowelizowane przepisy ustawy o ochronie danych osobowych, które obowiązują od dnia 1 stycznia 2015r., wprowadziły istotne zmiany w zakresie zarządzania ochroną danych osobowych w przedsiębiorstwach i podmiotach administracji publicznej.

 

Zgodnie z brzmieniem nowego art. 36a ust. 1 Ustawy (który zastąpił uchylony art. 36 ust. 3 Ustawy), Administrator Danych może powołać Administratora Bezpieczeństwa Informacji (ABI), który będzie realizował zadania określone w ust. 2 tego artykułu lub zadecydować, że jego zadania będzie realizować samodzielnie.

 

Do nowych ustawowych zadań Administratora Bezpieczeństwa Informacji należy w pierwszej kolejności sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowywanie w tym zakresie sprawozdania dla Administratora Danych. Szczegółowy tryb i zakres przeprowadzania sprawdzeń określono w Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745). Rozporządzenie to wskazuje 3 rodzaje sprawdzeń jakie jest zobligowany przeprowadzać ABI: sprawdzenie planowe, doraźne oraz realizowane na wniosek GIODO.

 

Nowe przepisy prawa określają sposób dokumentowania czynności przez Administratora Bezpieczeństwa Informacji, które są realizowane w trakcie sprawdzeń. Wszystkie więc sprawdzenia przeprowadzane przez ABI muszą być rzetelnie dokumentowane dla celów dowodowych.

 

Przeprowadzenie każdego rodzaju sprawdzenia musi być zakończone opracowaniem przez ABI Sprawozdania, które powinno zawierać elementy wskazane w ustawie.

 

Poza funkcją audytową (sprawdzenia) oraz sprawozdawczą (sprawozdania), ABI realizuje funkcję nadzorczą w obszarze dokumentacji z zakresu ochrony danych osobowych, która powinna być wdrożona w każdym podmiocie.  Zobowiązany jest do stałego nadzorowania procesów opracowania i aktualizowania dokumentacji przetwarzania danych osobowych oraz przestrzegania zasad w niej określonych.

 

ABI zobowiązany jest również do zapewnienia, aby wszystkie osoby upoważnione do przetwarzania danych osobowych były zapoznane z przepisami o ochronie danych osobowych (co w praktyce wiąże się z realizacją funkcji szkoleniowej przez ABI).

 

ABI również zobowiązany do prowadzenia jawnego rejestru zbiorów danych osobowych, w przypadku gdy danych podmiot przetwarza zbiory danych podlegające na podstawie nowych wymogów prawnych wpisowi do takiego rejestru.

 

Choć znowelizowana ustawa o ochronie danych osobowych wskazuje ustawowe obowiązki, które muszą być realizowane przez Administratora Bezpieczeństwa Informacji (lub przez Administratora Danych jeśli nie wyznaczy ABI), to sam sposób ich realizacji powinien być doprecyzowany w wewnętrznych procedurach obowiązujących w danym podmiocie.

 

Najważniejsze elementy usługi:

  • opracowanie opisu stanowiska Administratora Bezpieczeństwa Informacji oraz zakresu realizowanych obowiązków lub – gdy przedsiębiorstwo zdecyduje by nie powoływać ABI – opracowanie zakresu obowiązków osoby wyznaczonej przez Zarząd przedsiębiorstwa do realizacji w jej imieniu zadań z zakresu ustawy o ochronie danych osobowych
  • opracowanie dokumentu powołującego Administratora Bezpieczeństwa Informacji w przedsiębiorstwie  lub wyznaczającego osobę odpowiedzialną w imieniu Zarządu do realizacji zadań z zakresu ustawy o ochronie danych osobowych
  • opracowanie dokumentu zgłaszającego Administratora Bezpieczeństwa Informacji do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych
  • sporządzenie procedur określających sposób realizacji poszczególnych zadań z zakresu ochrony danych osobowych przez Administratora Bezpieczeństwa Informacji lub osobę wyznaczoną przez Zarząd
  • opracowanie wzorów dokumentów niezbędnych do przeprowadzania sprawdzeń z zakresu ochrony danych osobowych przez ABI  lub osobę wyznaczoną przez Zarząd oraz sporządzania sprawozdań z przeprowadzonych sprawdzeń
  • opracowanie wzoru rejestru zbiorów danych osobowych, który prowadzi Administrator Bezpieczeństwa Informacji
  • szkolenie dla wybranych pracowników odpowiedzialnych za realizację wdrożonych procedur z zakresu ochrony danych osobowych, wyjaśniające w jaki sposób należy stosować przyjęte rozwiązania, aby spełniać aktualne wymagania ustawy o ochronie danych osobowych

Skontaktuj się z nami

Dariusz Kasjaniuk

Prezes Zarządu

22 651 60 31

501 069 394

office@jds.com.pl

Zostań naszym klientem