Witam serdecznie
Czytając różne fora zauważyłem iż narosło wiele mitów odnoście obowiązków wynikających z ustawy o ochronie danych osobowych, postaram się je rozwiać i w skrócie wszystko wyjaśnić.
Zacznijmy zatem od początku, ustawa dotyczy prawie wszystkich firm, instytucji itp które przetwarzają dane osobowe, nie jest istotne czy jest to firma jednoosobowa czy wielka korporacja. Zatem każdy podmiot który przetwarza dane osobowe jest prawnie zobligowany do posiadania odpowiedniej dokumentacji czyli polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym. Dokumentację taką należy przygotować po przeprowadzeniu audytu. Musimy tu również pamiętać iż ustawa o ochronie danych osobowych wyznacza tylko ramy i minimum zabezpieczeń, jeśli któraś z ustaw sektorowych która odnosi się do naszej działalności wprowadza bardziej rygorystyczne środki ochrony to musimy dostosować się właśnie do niej.
Od nowelizacji która była w 2015 roku Administrator Danych Osobowych ma wybór czy powołać ABI czy też nie. W przypadku niepowołania ABI obowiązki Administratora Bezpieczeństwa Informacji przechodzą na ADO, wyjątkiem są tu sprawozdania które sporządza ABI dla ADO.
W przypadku powołania ABI musimy go zarejestrować w GIODO, zwalnia nas to jednak z obowiązku rejestracji zbiorów, chyba że nasze zbiory zawierają dane wrażliwe. Pamiętajmy że nawet jeśli nie ma obowiązku rejestracji zbiorów to muszą one być ujęte w naszej dokumentacji. ABI ma również obowiązek tworzenia sprawozdań dla ADO, sprawozdanie te są tworzone minimum raz na 3 miesiące a maksymalnie raz na rok. Odbywają się one na podstawie harmonogramu sprawdzeń stworzonego przez ABI i przekazanego do ADO. Pamiętajmy nie wysyłamy żadnych sprawozdań do GIODO, chyba że GIODO samo o nie nas poprosi.
Kontrolować nas mogą GIODO oraz PIP.
Więcej informacji na
http://www.giodo.info.pl