Z dniem 1.1.2015 r. weszła w życie ustawa z 7.11.2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 poz. 1662). Wprowadziła ona liczne i dość istotne zmiany do ustawy z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.). Dotyczą one głównie usytuowania w strukturze organizacyjnej i zadań administratora bezpieczeństwa informacji (ABI). Po nowelizacji rola osoby pełniącej tę funkcję w organizacji oraz jej znaczenie w procesie przetwarzania danych osobowych wyraźnie wzrosły. Administrator bezpieczeństwa informacji uzyskał szerokie uprawnienia kontrolne w swojej jednostce oraz gwarancje samodzielności w procesie ich realizacji.
W celu uszczegółowienia sposobu realizacji zadań określonych w znowelizowanej ustawie o ochronie danych osobowych Minister Administracji i Cyfryzacji wydał:
rozporządzenie z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r. poz. 745), które weszło w życie w dniu 30 maja 2015 r.
rozporządzenie z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. poz. 719), które weszło w życie z dniem 26 maja 2015 r.
W celu wyjaśnienia wszystkich zawiłości związanych z wejście w życiem przepisów związanych z ochroną danych osobowych Wydawnictwo C.H. Beck wraz z gronem ekspertów przygotowało publikację:
Ochrona danych osobowych i informacji niejawnych w sektorze publicznym
Książka ta wyjaśnia:
w zakresie ochrony danych osobowych:
kto w sektorze samorządowym jest administratorem danych osobowych,
jakie informacje należy uznać za dane osobowe;
kiedy i jak należy powołać administratora bezpieczeństwa informacji i kto może pełnić taka funkcję (wymogi wobec ABI),
w jaki sposób zlecić pełnienie funkcji ABI zewnętrznej firmie i kto spoza jednostki może pełnić takie funkcje,
jakie są możliwości łączenia stanowiska administratora danych osobowych z innymi stanowiskami w urzędzie,
jaki jest zakres zadań i obowiązków administratora bezpieczeństwa informacji,
w jaki sposób dokonać rejestracji zbiorów danych w GIODO i jakie dane są zwolnione z takiego obowiązku,
jak prowadzić rejestr zbiorów danych w siedzibie jednostki przez powołanego ABI,
w jaki sposób administrator danych osobowych może delegować swoje uprawnienia (zastępcy ABI, upoważnienia wydawane przez ABI),
kto i jaki sposób powinien nadawać upoważnienia do przetwarzania danych osobowych,
jak dokonać sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych i sporządzić sprawozdanie z tego tytułu,
jak określić działania, które należy podjąć w związku z stwierdzonymi podczas kontroli naruszeniami,
jak przygotować politykę bezpieczeństwa informacji,
jak i kiedy należy dokonywać aktualizacji i weryfikacji dokumentacji opisującej sposób przetwarzania danych osobowych,
jakie są obowiązki ABI w zakresie zabezpieczania zbiorów danych w jednostce,
jaki jest zakres obowiązków i odpowiedzialność administratora danych osobowych, a jaka administratora bezpieczeństwa informacji;
jakie są uprawnienia informacyjne i kontrolne osób, których dane dotyczą;
jakie są uprawnienia GIODO,
jak przygotować się na postępowanie kontrolne GIODO.
w zakresie ochrony informacji niejawnych:
jakie są zadania i obowiązki pełnomocnika ds. informacji niejawnych,
jakie są obowiązki kierownika jednostki w zakresie ochrony informacji niejawnych,
jak i kiedy można nadać klauzulę tajności,
jakie są skutki bezprawnego oznaczenia klauzulą „ściśle tajne” lub „tajne”,
jak wygląda procedura uzyskania dostępu do informacji niejawnych – omówienie tzw. postępowania sprawdzającego,
jakie środki bezpieczeństwa fizycznego należy przedsięwziąć, aby chronić informacje niejawne,
jaki jest zakres ochrony tajemnicy przedsiębiorstwa w postępowaniu o udzielenie zamówienia publicznego.
w zakresie ochrony systemów teleinformatycznych:
jakie są prawne i normatywne podstawy zabezpieczenia systemów teleinformatycznych w jednostkach finansów publicznych,
jak prowadzić kontrolę dostępu do sieci teleinformatycznych i systemach informatycznych,
jak zagwarantować bezpieczeństwo transmisji danych,
jak monitorować operacje w systemie teleinformatycznym,
jak chronić się przed niepożądanym oprogramowaniem,
w jaki sposób szyfrować dane,
jakie zabezpieczenia stosować w aplikacjach, aby uchronić się przed dostępem osób nieupoważnionych (ochrona przed atakami z zewnątrz),
jak wykorzystać usługę bezpiecznego podpisu elektronicznego do ochrony danych w jednostce (omawiamy wymagania dotyczące tej usługi),
jak zarządzać danymi elektronicznymi,
jakie są wymagania dotyczące zabezpieczenia systemu informatycznego wykorzystywanego do udostępniania Biuletynu Informacji Publicznej,
jakie są zabezpieczenie fizyczne i środowiskowe systemów informatycznych.
Do książki jest dołączona płyta CD na której znajdują się m.in.:
w zakresie ochrony danych osobowych
zarządzenie w sprawie wyznaczenia administratora bezpieczeństwa informacji (wraz z załącznikiem określającym zakres zadań i uprawnienia administratora bezpieczeństwa informacji,
umowa o powierzenie przetwarzania danych osobowych zewnętrznemu ABI,
wzór upoważnienia do przetwarzania danych,
wzór ewidencji osób upoważnionych,
wzór pełnomocnictwa udzielonego ABI przez administratora danych,
wzór rejestru zbiorów przetwarzanych przez administratora danych prowadzonego przez ABI,
wzór zgłoszenia zbioru danych do GIODO
wzór sprawozdania ze sprawdzeniazgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych przeprowadzonego przez ABI,
lista kontrolna pomocna przy sprawdzaniu zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
wzór polityki bezpieczeństwa,
wzór instrukcji zarządzania systemem informatycznym,
Wzór decyzji o odmowie udostępnienia informacji publicznej zewzględu na prywatność osoby fizycznej
wzór oświadczenia użytkownika o zapoznaniu się z regulacjami dotyczącymi danych osobowych i o zachowaniu w tajemnicy tych danych i sposobów ich zabezpieczenia
wzór imiennego upoważnienia inspektorów GIODO.
oświadczenie uczestnika projektu o wyrażenie zgody na przetwarzanie danych osobowych,
zgoda na wykorzystanie wizerunku dziecka uczestniczącego w projekcie,
w zakresie ochrony informacji niejawnych
regulamin udzielania zamówień publicznych objętych klauzulą „tajne” lub „ściśle tajne” w rozumieniu przepisów o ochronie informacji niejawnych, wyłączonych spod przepisów Prawa zamówień publicznych,
ankieta bezpieczeństwa osobowego,
wniosek o przeprowadzenie postępowania sprawdzającego