Facebook
gofin.pl
Wydawnictwo Podatkowe
piątek, 26 kwietnia 2024 r.

Jak szukać?»

30 kwietnia 2024 r. (wtorek) mija termin złożenia do US zeznań za 2023 r.: PIT-28, PIT-28S, PIT-36, PIT-36S, PIT-36L, PIT-36LS, PIT-37, PIT-38, PIT-39
Aktualnie jesteś: Gofin.pl (strona główna)  »  HITY GOFINU

HITY GOFINU
A
A
A
poleć artykuł  
drukuj artykuł
Obowiązki przedsiębiorców, którzy nie powołali i nie zgłosili ABI
Gazeta Podatkowa nr 69 (1214) z dnia 27.08.2015

Na mocy zmian wprowadzonych do ustawy o ochronie danych osobowych z dniem 1 stycznia br. administratorzy danych (np. przedsiębiorcy będący spółkami prawa handlowego lub będący osobami fizycznymi) uzyskali możliwość powoływania w swoich firmach administratorów bezpieczeństwa informacji (ABI) na nowych zasadach. Obecnie powołanie w firmie ABI jest uprawnieniem, a nie obowiązkiem administratora danych. Powołanie ABI i zgłoszenie go do rejestru administratorów bezpieczeństwa informacji prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych powoduje, że administrator danych nie ma obowiązku zgłaszania do rejestracji u GIODO zbiorów przetwarzanych przez siebie danych. Taki obowiązek obciąża natomiast tych administratorów danych, którzy nie powołają w swoich firmach ABI. Jakie jeszcze obowiązki obciążają tych administratorów danych, którzy nie powołali ABI?

Co, jeśli nie zgłoszono ABI?

Ci przedsiębiorcy, którzy powołali ABI w swoich firmach na podstawie przepisów obowiązujących przed 1 stycznia 2015 r., byli zobowiązani zgłosić ich do rejestru administratorów bezpieczeństwa informacji prowadzonego przez GIODO, na nowych zasadach do 30 czerwca tego roku. Jeżeli takiego zgłoszenia nie dokonali, to po tej dacie dotychczasowi ABI przestali pełnić tę funkcję z mocy prawa, a wszelkie obowiązki w zakresie zapewniania przestrzegania przepisów o ochronie danych osobowych przejęli administratorzy danych.

Generalny Inspektor Ochrony Danych Osobowych twierdzi, że odsetek podmiotów, które powołały ABI, jest jednak wciąż zbyt mały. To zaś oznacza, że duża część przedsiębiorców wybiera ten model zarządzania ochroną danych w firmie, który zakłada niepowoływanie ABI z jednoczesnym obowiązkiem zgłaszania do rejestracji Generalnemu Inspektorowi zbiorów danych osobowych. Jeżeli administrator danych nie powołał w swojej firmie ABI, to przetwarzanie danych może rozpocząć dopiero po zgłoszeniu zbioru danych do rejestracji Generalnemu Inspektorowi, chyba że ustawa zwalnia go z tego obowiązku. Jeżeli zaś chodzi o tzw. dane wrażliwe (patrz ramka), to administrator danych może rozpocząć ich przetwarzanie w zbiorze danych po zarejestrowaniu zbioru przez GIODO (nie już w momencie dokonania zgłoszenia do GIODO).

Trzeba zauważyć, że nie wszystkie zbiory danych podlegają obowiązkowi zgłaszania ich do rejestracji u GIODO. Katalog administratorów danych, którzy podlegają takiemu zwolnieniu, i którzy nawet jeśli nie powołają ABI nie muszą dokonywać wspomnianych zgłoszeń, zawiera art. 43 ust. 1 i 1a ustawy o ochronie danych osobowych (patrz ramka).

Dane wrażliwe:

dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.


Z obowiązku rejestracji zbioru danych zwolnieni są m.in. administratorzy danych:

- przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;
- dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;
- przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
- powszechnie dostępnych;
- przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;
- przetwarzanych w zakresie drobnych bieżących spraw życia codziennego;
- przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane wrażliwe.

Jakie obowiązki ma administrator danych?

Administrator danych zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Przede wszystkim powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, które stosuje w celu zabezpieczania danych.

Przedsiębiorca, który zdecyduje się nie powoływać w swojej firmie ABI, zobowiązany jest wykonywać wszystkie te obowiązki, które obciążają ABI, z wyłączeniem obowiązku sporządzania przez administratora bezpieczeństwa informacji sprawozdania dla administratora danych. W związku z tym zapewnia przestrzeganie przepisów o ochronie danych osobowych, w szczególności przez:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
     
  • nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki, które stosuje w celu zabezpieczania danych, a także przestrzegania zasad w niej określonych,
     
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.


Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.


Administrator danych jest zobowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. W związku z tym administrator danych musi prowadzić ewidencję osób upoważnionych do ich przetwarzania. Obecnie nie obowiązuje żaden urzędowy wzór takiego upoważnienia, powinien on jednak zawierać:

  • imię i nazwisko osoby upoważnionej,
     
  • datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
     
  • identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Zgłoszenie zbiorów danych do GIODO

Jak już wspomniano, administrator danych jest zobowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 i 1a ustawy.

Takie zgłoszenie powinno zawierać:

  • wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
     
  • oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer REGON, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych innemu podmiotowi lub wyznaczenia takiego podmiotu, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
     
  • cel przetwarzania danych,
     
  • opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
     
  • sposób zbierania oraz udostępniania danych,
     
  • informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
     
  • opis środków technicznych i organizacyjnych zastosowanych w celu ochrony tych danych,
     
  • informację o sposobie wypełnienia warunków technicznych i organizacyjnych,
     
  • informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Zgłoszenia można dokonać także drogą elektroniczną, z użyciem bezpiecznego podpisu elektronicznego. Zgłoszenie może również zostać przekazane drogą elektroniczną bez użycia podpisu elektronicznego, jeżeli zostanie uzupełnione zgłoszeniem w formie papierowej. Aplikacja umożliwiająca skuteczne dokonanie zgłoszenia drogą elektroniczną znajduje się na stronie internetowej GIODO - w systemie "platforma e-GIODO" (www.giodo.gov.pl). Wzór takiego zgłoszenia zawiera rozporządzenie Ministra Administracji i Cyfryzacji w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r. nr 229, poz. 1536).

Administrator danych jest zobowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji dotyczących danego zbioru, w terminie 30 dni od dnia dokonania modyfikacji w zbiorze danych. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych. W związku z tym, że rejestr jest ogólnodostępny, to każdy ma prawo go przeglądać. Na żądanie administratora danych może być wydane zaświadczenie o zarejestrowaniu zgłoszonego przez niego zbioru danych. Wykreślenie z rejestru zbiorów danych osobowych jest dokonywane, w drodze decyzji administracyjnej, jeżeli:

  • zaprzestano przetwarzania danych w zarejestrowanym zbiorze,
     
  • rejestracji dokonano z naruszeniem prawa.

Administrator danych w każdym czasie może powołać ABI. Termin graniczny do 30 czerwca br. dotyczył tylko tych administratorów, którzy chcieli, by dotychczasowi ABI pełnili u nich w firmach dalej tę funkcję, na nowych zasadach. Jeśli administrator danych zdecyduje się powołać ABI, ma 30 dni na zgłoszenie go do rejestru prowadzonego przez GIODO. W ciągu 14 dni powinien poinformować GIODO o wszelkich zmianach dotyczących powołanego ABI, a w ciągu 30 dni musi go powiadomić o ewentualnym odwołaniu go z tego stanowiska.

Dokumentacja dotycząca ochrony danych

Zakres dokumentacji, jaki powinien opracować administrator danych w zakresie zapewnienia prawidłowej ochrony danych osobowych, określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. nr 100, poz. 1024). Na tę dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Dokumenty te powinny być prowadzone w formie pisemnej.

Polityka bezpieczeństwa powinna zawierać:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
     
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
     
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
     
  • sposób przepływu danych pomiędzy poszczególnymi systemami,
     
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Z kolei instrukcja powinna zawierać w szczególności:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
     
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
     
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników, - procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
     
  • sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych,
     
  • sposób zabezpieczenia systemu informatycznego,
     
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

System informatyczny, w którym przetwarzane są dane osobowe, musi mieć określony poziom bezpieczeństwa, uzależniony od kategorii danych, które podlegają przetwarzaniu. Wyróżnia się trzy poziomy:

  • podstawowy,
     
  • podwyższony,
     
  • wysoki.

Poziom podstawowy ma zastosowanie, gdy w systemie informatycznym nie są przetwarzane dane wrażliwe oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych, nie jest połączone z siecią publiczną. Opis środków bezpieczeństwa stosowany na wspomnianych poziomach określa załącznik do powołanego rozporządzenia.

Podstawa prawna

Ustawa z dnia 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 ze zm.)
Serwis POLSKI ŁAD
Serwis TARCZA ANTYKRYZYSOWA
więcej na: tarcza.gofin.pl »
CN 2023
PKWiU 2015
POLECAMY
 
Przydatne linki
Portal Podatkowo-Księgowy

GOFIN.pl

Gofin.pl/PIT

Gofin.pl/Prawnik-Radzi

Gofin.pl/Rachunkowosc

Gofin.pl/Bilans

Gofin.pl/Podatki

Gofin.pl/Prawo-Pracy

Gofin.pl/Skladki-Zasilki
POMOCNIKI Księgowego

Aplikacja GOFIN NEWS

Interpretacje Urzędowe

Polski Ład

Schematy opodatkowania

Aplikacja GOFIN SGK

Kalkulatory

Przepisy Prawne

Terminy

Asystent Gofin

Klasyfikacje

Przewodnik Kadrowego

Wideopomocniki

Druki Gofin

Newslettery

Przewodnik Księgowego

Wskaźniki

Forum

Orzecznictwo dla firm

Przewodnik VAT

Wszystko dla Księgowych

Indeks Księgowań BUDŻET

Serwis Plan Kont

Pytania Czytelników

Indeks Księgowań FIRMA

Podcasty

Tarcza Antykryzysowa
Serwisy specjalistyczne

Czas Pracy

Podatek Dochodowy

Rozliczenie Delegacji

Vademecum Księgowego

Kalkulatory Podatkowe

Podatek VAT

Rozliczenia Podatkowe

Vademecum Podatnika

Kasa Fiskalna

Poradnik Księgowego

Rozliczenie Wynagrodzenia

Zakładamy Firmę

Kodeks Pracy

Porady Podatkowe

Vademecum Kadrowego

Zasiłki
więcej serwisów specjalistycznych
 
Sklep internetowy - sklep.gofin.pl
Promocje
Czasopisma i Gazeta
Serwisy internetowe
Inne produkty i usługi
Wydawnictwo Podatkowe GOFIN »
Biuro Obsługi Klienta »
Zamów egzemplarz bezpłatny »
Sklep internetowy»
 
O Wydawnictwie
Księgowi stawiają na GOFIN
Sklep internetowy
PoznajProdukty.gofin.pl
Regulamin
Reklama
Newslettery
Kontakt
Polityka prywatności
Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • niezbędnego zapewnienia prawidłowego działania Serwisów (utrzymania sesji),
  • realizacji funkcjonalności ułatwiających obsługę Serwisu,
  • dopasowania reklam w serwisach społecznościowych,
  • analizy statystyk ruchu i reklam w Serwisach,
  • zbierania i przetwarzania danych w celu wyświetlenia reklam produktów własnych i klientów reklamowych oraz do śledzenia użytkowników, kliknięć i konwersji wyświetlanych reklam.
Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z Serwisu, w celu administrowania Serwisem, dostosowania treści Serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika Serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z Serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o. Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam są partnerzy Wydawnictwa Podatkowego GOFIN sp. z o.o., Google Inc, Facebook Inc.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych
  • Niezbędność przetwarzania danych w związku z wykonaniem umowy.

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora.

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora.

  • Dobrowolna zgoda.

    Aby móc realizować cele:
    - zapamiętania Pani/Pana decyzji w Serwisach w zakresie korzystania z dostępnych opcjonalnie funkcjonalności,
    - analiz statystyk ruchu i reklam w Serwisach,
    - dopasowania reklam w serwisach społecznościowych,
    - wyświetlania spersonalizowanych reklam produktów własnych i klientów reklamowych oraz do śledzenia użytkowników, kliknięć i konwersji wyświetlanych reklam w związku z odwiedzaniem niniejszego Serwisu internetowego partnerzy Wydawnictwa Podatkowego Gofin sp. z o.o. muszą mieć możliwość przetwarzania Pani/Pana danych.

Potrzebna jest Nam Pani/Pana dobrowolna zgoda na zapisy w plikach cookies w celach realizacji powyższych celów.
W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na zapisywanie informacji w plikach cookies przez kliknięcie przycisku „Zgadzam się” lub „Nie teraz” w przypadku braku zgody. Istnieje możliwość skorzystania z „ustawień zaawansowanych” plików cookies w celu określenia indywidualnych zgód na zapis wybranych plików cookies realizujących wybrane cele.