UoODO - jak przetrwać ;-)

Ustawa o Ochronie Danych Osobowych weszła w życie 29 sierpnia 1997 ma więc niemalże 18 lat !!!

Fakt, w międzyczasie niemalże jak „dorastające dziecko” UoODO jak to podczas dorastania zmieniało się wskutek kilku nowelizacji, ale nadal dziwi mnie brak wiedzy dotyczących ochrony danych osobowych który w szczególności wyostrzył się na skutek zmian jakie nastąpiły w zeszłym roku.

Próbując więc pomóc w „nadrabianiu zaległości” polecam lekturę:

1) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych – aktualny tekst jednolity http://isip.sejm.gov.pl/DetailsServlet?id=WDU19971330883

2) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych - http://isip.sejm.gov.pl/DetailsServlet?id=WDU20041001024&min=1

3) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych http://isip.sejm.gov.pl/DetailsServlet?id=WDU20082291536&min=1
Zachęcam również do wykorzystania „Rejestru Zbiorów Danych Osobowych” https://egiodo.giodo.gov.pl/index.dhtml

4) Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji
http://isip.sejm.gov.pl/DetailsServlet?id=WDU20140001934&min=1

Pamiętajmy o niezbędnych dokumentach jakie muszą być przygotowane i aktualizowane w związku z obowiązywaniem UoODO:

  • Polityka Bezpieczeństwa Informacji (wymóg ustawowy)
  • Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (wymóg ustawowy)
  • Ewidencja osób upoważnionych do przetwarzania danych osobowych (wymóg ustawowy)
  • Pisemne upoważnienia na przetwarzanie danych osobowych (wymóg ustawowy)
  • Pisemne zobowiązania osób przetwarzających dane osobowe
  • Dokumenty zapewniające wiedzę o tym kto, jakie dane i kiedy wprowadził do zbiorów (wymóg ustawowy)
  • Pełna dokumentacja, którą musi prowadzić Administrator Danych dotycząca sposobu przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ich ochronę (wymóg ustawowy)
  • Dokumenty opisujące zbiory danych i ich zgodność z wymogami prawnymi (wymogi rozporządzenia do ustawy)
  • Dokumenty opisujące miejsca i sposoby przetwarzania danych osobowych, przepływu danych między systemami itp. (wymogi rozporządzenia do ustawy)
  • Dokumenty odnotowujące udostępnianie danych osobowych (wymogi rozporządzenia do ustawy)

Warto również przeanalizować bardzo dobrze przygotowany ale niestety nie uwzględniający zmian prawnych UODO Survival Kit 2.1 po polsku czyli „Wytyczna zarządzania i nadzoru nad systemami informatycznymi pod kątem zgodności z Ustawą o ochronie danych osobowych” o szczególności tabelę 2.2 Listy pytań kontrolnych”
http://www.isaca.org/Groups/Professional-English/poland/GroupDocuments/U...

Jeżeli jesteśmy placówką administracji publicznej zastosujmy się przed wszystkim do wymogów Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych http://isap.sejm.gov.pl/DetailsServlet?id=WDU20120000526

____________________________________
AKTUALIZACJA 2015-05-25

Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych http://www.dziennikustaw.gov.pl/DU/2015/719

____________________________________
AKTUALIZACJA 2015-05-29

Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji http://www.dziennikustaw.gov.pl/DU/2015/745
____________________________________

CIEKAWOSTA: Google też musi wyznaczyć ABI-ego http://uodo.pl/2014/google-musi-wyznaczyc-abi-ego/