23 czerwca 2015
W związku z licznymi pytaniami dotyczącymi zagadnień ochrony danych osobowych, instytucji GIODO oraz powołania ABI, Biuro ZPOZ-DŚ przygotowało pytania oraz odpowiedzi.
1. Kto to jest ABI ?
ABI to Administrator Bezpieczeństwa Informacji. Osoba, której głównym zadaniem jest zapewnianie przestrzegania przepisów o ochronie danych osobowych.
2. Wymagania dla ABI
Jest to osoba, która :
a) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
b) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
c) nie była karana za umyślne przestępstwo.
3. Zadania ABI
a) przestrzeganie przepisów o ochronie danych osobowych
b) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
c) nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych,
d) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
e) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych
4. Czy należy powołać oraz zgłosić ABI do rejestru GIODO do dnia 30.06.2015r. ?
Powołanie ABI jest przywilejem a nie obowiązkiem. W przypadku nie wyznaczenia ABI, zadania związane z ochroną danych osobowych wykonuje Administratora Danych Osobowych (np. właściciel praktyki, Prezes Zarządu Spółki, Dyrektor placówki publicznej).
Data 30.06.2015r. to ostatni dzień zgłoszenia ABI, którzy pełnili tą funkcję przed 1 stycznia 2015r. (przed 1 stycznia 2015r. nie było ustawowych wymagań dla ABI – pkt 2). Data ta często zostaje użyta w mailach od firm szkolących w ochronie danych osobowych jako „marketingowy straszak”.
5. Czy można powołać ABI i zgłosić po 30.06.2015r.
Data 30.06.2015r. tyczy się tylko ABI, którzy pełnili tą funkcję przed 1 stycznia 2015r.
Każde powołanie / odwołanie ABI należy zgłosić do GIODO w ciągu 30 dni od powołania.
6. Jak zgłosić ABI do GIODO ?
Na dzień 18.06.2015r. zgłoszenie ABI można wykonać tylko w formie papierowej zgodnie z załącznikiem nr 1 do Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji .
Wniosek zgłoszenie ABI wypełnia oraz podpisuje Administrator Danych Osobowych.
Wypełnione zgłoszenie wysyła na adres GIODO
Biuro Generalnego Inspektora Ochrony Danych Osobowych
ul. Stawki 2
00-193 Warszawa
7. Gdzie znajduje się elektroniczny Rejestr ABI ?
Dostępny jest pod adresem : https://egiodo.giodo.gov.pl/search_ado.dhtml
Jest rejestrem jawnym.
8. Czy należy zgłaszać do rejestru GIODO zbiory przetwarzanych danych ?
W przypadku powołania ABI nie musimy zgłaszać do GIODO zbiorów danych (za wyjątkiem zbiorów z danymi wrażliwymi).
W przypadku nie powołania ABI musimy zgłaszać do GIODO zbiory danych za wyjątkiem :
a) zawierających informacje niejawne, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
b) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, przetwarzanych przez Generalnego Inspektora Informacji Finansowej,przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym,
c) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
d) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
e) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
f) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
g) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
h) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
i) powszechnie dostępnych,
j) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
k) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
l) zbiorów prowadzonych w wersji papierowej (bez użycia systemu informatycznego za wyjątkiem, że nie zawierają danych wrażliwych)
9. Jakie dane zaliczają się do danych wrażliwych ?
a) dane rasowe lub etniczne;
b) poglądy polityczne;
c) przekonania religijne lub filozoficzne;
d) stan zdrowia;
e) przynależność partyjna, związkowa lub wyznaniowa;
f) kod genetyczny;
g) nałogi;
h) życie seksualne;
i) skazania i orzeczenia dotyczące mandatów i kar.
10. Czy podmioty udzielające świadczeń zdrowotnych mają obowiązek rejestracji zbiorów danych osobowych swoich pacjentów ?
Nie mają takiego obowiązku. Szczegółowe informacje (strona GIODO).
Dodatkowa opinia mecenasa : OPINIA
11. Podstawowe akty prawne ochrony danych osobowych.
a) Dz.U. 1997 nr 133 poz. 883 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
b)Dz.U. 2004 nr 100 poz. 1024 Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
12. Co min. kontroluje GIODO
Informacja ze strony GIODO.
ABC kontroli GIODO
a) Politykę Bezpieczeństwa – do wykorzystania tylko dla członków ZPOZ-DŚ (WZÓR BEZ POWOŁANIA ABI, ZAŁĄCZNIK 1, ZAŁĄCZNIK 2, ZAŁĄCZNIK 3, ZAŁĄCZNIK 4 );
b) Instrukcję Zarządzania Systemem Informatycznym (WSKAZÓWKI GIODO)
c) Oświadczenia pracowników z zakresu przetwarzania danych oraz zachowaniu tajemnicy (WZÓR);
d) Upoważnienia Administratora Danych do przetwarzania danych (WZÓR);
e) Czy zbiory przetwarzanych danych inne niż zwolnione z obowiązku zostały zgłoszone do GIODO;
W przypadku zmian / aktualizacji artykułu, będą dodatkowe informacje na stronie www.
Szczegółowe informacje można uzyskać pod numerem telefonu: 728 543 695