Vademecum administratora bezpieczeństwa informacji
„Vademecum ABI” to poradnik dla osób wykonujących oraz planujących pełnić
obowiązki administratora bezpieczeństwa informacji, którzy pragną zgłębić i
usystematyzować wiedzę na temat obowiązujących zasad postępowania i wymagań
stawianych przed Administratorami Bezpieczeństwa Informacji, wprowadzonych w
znowelizowanej ustawie o ochronie danych osobowych.
Adresatami poradnika są także administratorzy danych osobowych, specjaliści ds.
ochrony danych osobowych, audytorzy i inne osoby, które zainteresowane są doskonaleniem
procesów ochrony informacji w oparciu o nowe regulacje i wymagania prawa polskiego lub
chcą postępować zgodnie z wytycznymi przygotowanymi dla ABI, mimo że nie są do tego
zobowiązani, ponieważ nie będą powoływać i zgłaszać do GIODO administratorów
bezpieczeństwa informacji.
Opisane w niniejszej książce zagadnienia oparte są o praktyczne doświadczenia i
interpretacje autorów, którzy doradzają klientom w tematach związanych z ochroną
danych osobowych, aktywnie uczestniczą w procesie modyfikacji i tworzenia nowych
regulacji oraz współtworzą wypracowywane przez ostatni rok branżowe standardy
postępowania przy przetwarzaniu, nadzorze i ochronie danych osobowych.
Omówiono obowiązujące przepisy dotyczące ochrony danych osobowych, najważniejsze
przepisy z nimi powiązane oraz wynikającą z nich odpowiedzialność ABI i ADO.
Przedstawione zostały wszystkie etapy funkcjonowania administratora bezpieczeństwa
informacji, od wskazówek pomocnych przy podejmowaniu decyzji o powołaniu i wyborze osoby
na to stanowisko/funkcję, przez proces jego powołania, rejestracji i umiejscowienia w
strukturze organizacyjnej, szczegółowy opis obowiązków wynikających z przepisów, aż
po zakończenie wykonywania czynności ABI. Szczegółowo omówione zostały obowiązki
ABI.
Zalecenia dotyczące sposobu wykonywania i dokumentowania sprawdzeń, nadzorowania
dokumentacji ochrony danych osobowych, zapoznawania osób przetwarzających dane z
przepisami o ich ochronie oraz możliwości powierzania administratorom bezpieczeństwa
informacji dodatkowych obowiązków, uzupełnione zostały o wskazówki praktyczne i przykłady
opisujące ich realizację.
Osobna część publikacji poświęcona została zasadom prowadzenia rejestrów
zbiorów danych osobowych, ze szczególnym uwzględnieniem obowiązku prowadzenia rejestrów
przez administratorów bezpieczeństwa informacji w związku ze zwolnieniem administratorów
danych z konieczności zgłaszania części przetwarzanych zbiorów danych do rejestru
prowadzonego w biurze GIODO.
Wykaz skrótów
O Autorach
Przedmowa (Paweł Litwiński)
Rozdział I. Prawo ochrony danych osobowych (Michał Kluska)
1. Ustawa o ochronie danych osobowych
1.1. Pojęcia podstawowe
1.1.1. Dane osobowe
1.1.2. Zbiór danych
1.1.3. Przetwarzanie danych
1.1.4. System informatyczny
1.1.5. Zabezpieczeniu danych w systemie informatycznym
1.1.6. Usuwanie danych
1.1.7. Administrator danych osobowych
1.1.8. Zgoda osoby, której dane dotyczą
1.1.9. Odbiorca danych
1.1.10. Państwo trzecie
2. Zmiany przepisów obowiązujące od 1 stycznia 2015 r.
2.1 Rozszerzenie zadań Generalnego Inspektora Ochrony Danych Osobowych
2.2. Przekazywanie danych osobowych do państw trzecich
2.3. Administrator bezpieczeństwa informacji - nowe kompetencje
2.4. Sprawozdanie dotyczące zgodności przetwarzania danych osobowych z przepisami
2.5. Rejestr zbiorów danych prowadzony przez administratorów bezpieczeństwa informacji
2.6. Rejestr administratorów bezpieczeństwa informacji
3. Obowiązki administratora bezpieczeństwa informacji związane z przetwarzaniem danych
osobowych
4. Przepisy wykonawcze do ustawy o ochronie danych osobowych
5. Inne przepisy dotyczące ochrony informacji
5.1. Informacje niejawne
5.2. Tajemnica przedsiębiorstwa
5.3. Tajemnica zawodowa
Rozdział II. Powołanie administratora bezpieczeństwa informacji
(Maciej Kołodziej)
1. Wymagania stawiane przed powoływanymi administratorami bezpieczeństwa informacji
2. Umiejscowienie administratora bezpieczeństwa informacji w strukturze organizacyjnej
3. Uprawnienia administratora bezpieczeństwa informacji w organizacji
4. Forma prawna powołania administratora bezpieczeństwa informacji
5. Organizacje, w których nie powołano administratora bezpieczeństwa informacji
6. Uwagi
7. Przykład dokumentowania procesu rekrutacji i powołania administratora bezpieczeństwa
informacji
Rozdział III. Rejestr administratorów bezpieczeństwa informacji prowadzony
przez Generalnego Inspektora Ochrony Danych Osobowych (Maciej Kołodziej)
1. Postępowanie rejestracyjne przed Generalnym Inspektorem Ochrony Danych Osobowych
2. Zmiany danych administratora bezpieczeństwa informacji w rejestrze Generalnego
Inspektora Ochrony Danych Osobowych
3. Wykreślenie administratora bezpieczeństwa informacji z rejestru Generalnego
Inspektora Ochrony Danych Osobowych
4. Przykłady zgłoszenia administratora bezpieczeństwa informacji, zmiany danych i
wyrejestrowania z rejestru Generalnego Inspektora Ochrony Danych Osobowych
4.1. Zgłoszenie powołania administratora bezpieczeństwa informacji
4.2. Zmiana danych zgłoszonych do rejestru
4.3. Zgłoszenie odwołania administratora bezpieczeństwa informacji
Rozdział IV. Obowiązki administratora bezpieczeństwa informacji (Maciej
Kołodziej)
1. Obowiązki w zakresie wykonywania sprawdzeń
1.1. Wymóg przeprowadzania sprawdzeń
1.2. Przygotowanie planu sprawdzeń
1.3. Przeprowadzanie sprawdzeń
1.4. Sprawozdanie ze sprawdzenia
1.5. Przykłady dokumentowania procesów kontrolnych
1.5.1. Plan sprawdzeń
1.5.2. Sprawdzenie
1.5.3. Sprawozdanie po sprawdzeniu
2. Obowiązki administratora bezpieczeństwa informacji w zakresie dokumentacji ochrony
danych osobowych
2.1. Polityka bezpieczeństwa przetwarzania danych osobowych
2.2. Wykaz zbiorów danych osobowych
2.3. Instrukcja zarządzania systemem informatycznym
2.4. Ewidencja osób upoważnionych do przetwarzania danych
2.5. Instrukcja postępowania w sytuacjach naruszenia ochrony danych osobowych
2.6. Pozostałe dokumenty
2.7. Przykłady
2.7.1. Wykaz zbiorów danych osobowych
2.7.2. Zawartość dokumentacji ochrony danych
3. Obowiązki administratora bezpieczeństwa informacji w zakresie zapoznawania osób
upoważnionych z przepisami
4. Prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych
4.1. Stan prawny do 31.12.2014 r.
4.2. Stan prawny od 1.1.2015 r.
4.3. Ogólnokrajowy, jawny rejestr zbiorów danych osobowych, prowadzony przez
Generalnego Inspektora Ochrony Danych Osobowych
4.4. Rejestry prowadzone przez administratorów bezpieczeństwa informacji
4.5. Zbiory zawierające dane zwykłe przetwarzane poza systemami informatycznymi
4.6. Zbiory zawierające dane zwykłe przetwarzane w systemach informatycznych
4.7. Zbiory zawierające dane wrażliwe
4.8. Przykłady rejestrów zbiorów danych osobowych
4.8.1. Rejestr prowadzony na podstawie wniosku rejestracyjnego do GIODO, udostęniany w
wersji papierowej lub elekronicznej
4.8.2. Rejestr udostępniany w postaci papierowej w siedzibie administratora danych
4.8.3. Rejestr prowadzony elektronicznie, udostępniany na terminalach informacyjnych lub
komputerach
4.8.4. Rejestr udostępniany w Internecie jako plik PDF lub grafika do pobrania
4.8.5. Rejestr udostępniany w Internecie jako plik w formacie edytowalnym
4.8.6. Rejestr udostępniany jako plik do przeglądania
4.8.7. Inne sposoby udostępniania rejestrów
5. Inne obowiązki powierzane administratorowi bezpieczeństwa informacji
Rozdział V. Administrator bezpieczeństwa informacji a umowy dotyczące
przetwarzania danych osobowych (Grzegorz Wanio)
1. Umowa powierzenia danych do przetwarzania
2. Udostępnianie danych
Rozdział VI. Odpowiedzialność administratora bezpieczeństwa informacji i
administrator danych osobowych (Michał Kluska)
1. Nieuprawnione przetwarzanie danych osobowych (art. 49 OchrDanychU)
2. Udostępnienie danych osobowych nieuprawnionym (art. 51 OchrDanychU)
3. Niezabezpieczenie danych osobowych (art. 52 OchrDanychU)
4. Niezgłoszenie zbioru do rejestru (art. 53 OchrDanychU)
5. Niedopełnienie obowiązku informacyjnego (art. 54 OchrDanychU)
6. Utrudnianie kontroli (art. 54a OchrDanychU)
Rozdział VII. Perspektywy dla administratorów bezpieczeństwa informacji w
świetle nadchodzących zmian europejskich regulacji dotyczących ochrony
prywatności (Grzegorz Wanio)
1. One Stop Shop
2. Zasięg terytorialny
3. Okoliczności wyrażenia zgody
4. Zgłaszanie incydentów bezpieczeństwa
5. Profilowanie
6. Odpowiedzialność i kary finansowe
7. Kolejne kroki na drodze legislacyjnej
Rozdział VIII. Wzory dokumentów przydatnych w działalności administratora
bezpieczeństwa informacji
1. Wzór dokumentu powołania administratora bezpieczeństwa informacji
2. Wzór dokumentu wyznaczenia specjalisty do spraw ochrony danych osobowych
3. Upoważnienie do przetwarzania danych osobowych - wzór 1.
4. Upoważnienie do przetwarzania danych osobowych - wzór 2.macji
5. Wzór umowy powierzenia danych osobowych do przetwarzania
Rozdział IX. Wybrane przepisy związane z obowiązkami administratora
bezpieczeństwa informacji
1. Wykonywanie sprawdzeń przetwarzania danych osobowych
2. Dokumentowanie przetwarzania danych osobowych
3. Edukacja z zakresie ochrony danych
4. Rejestracja i prowadzenie rejestrów zbiorów danych osobowych
5. Inne czynności wykonywane przez administratora bezpieczeństwa informacji
147 stron, Format: 16.5x23.8cm, oprawa miękka