Przeniesienie kopii baz danych do chmury zapewnia bezpieczeństwo, a poza tym urzędnicy państwowi mają cały czas dostęp do informacji, nawet jeśli data center ucierpiało w wyniku rosyjskiego bombardowania. Ukraiński rząd określił też przepisy prawne i dotyczące bezpieczeństwa mające chronić cenne zasoby cyfrowe przed atakami cybernetycznymi oraz innymi zagrożeniami.

George Dubinskiy, wiceminister transformacji cyfrowej Ukrainy, przyznał, że w pierwszych dniach wojny rosyjskie rakiety uszkodziły rządowe centrum danych. Jednak żadne dane nie zostały utracone, ponieważ wcześniej utworzono ich kopie zapasowe.

– To był dla nas sygnał alarmowy. Musieliśmy podjąć działania, aby zabezpieczyć i uratować nasze krytyczne dane – powiedział Dubinskiy w rozmowie z The Wall Street Journal.

O tym, że Rosjanie zaatakują budynki rządowe i obiekty wojskowe było wiadomo od początku inwazji. Jednakże najeźdźcy równolegle prowadzili działania zaczepne w cyberprzestrzeni. W maju Stany Zjednoczone, Wielka Brytania i kraje Unii Europejskiej oskarżyły Rosję o cyberatak na Viasat – dostawcę internetu satelitarnego, który rozpoczął się godzinę przed inwazją na Ukrainę. W jego wyniku od usług internetowych zostało odciętych nie tylko tysiące Ukraińców, ale również Europejczycy oraz farmy wiatrowe w Niemczech. Drugi poważny incydent miał miejsce kilka dni później, kiedy to kremlowscy hakerzy sparaliżowali funkcjonowanie infrastruktury informatycznej Ukrtelecom.

Baza danych VIP w Polsce

Oczywiście Rosja konsekwentnie zaprzecza zarzutom o przeprowadzaniu wspomnianych cyberataków. Ukraińcy nie uwierzyli jednak tym zapewnieniom i bardzo szybko przystąpili do działań, których celem jest ochrona danych. Rząd w Kijowie musiał mieć pewność, że kluczowe systemy informatyczne będą działać niezależnie od sytuacji na froncie. Pierwszym krajem, do którego Ukraina zwróciła się o pomoc, była Polska. Obecnie część danych rządowych znajduje się w naszym kraju, w specjalnie zaprojektowanej prywatnej chmurze.

George Dubinskiy nie chce zdradzać więcej szczegółów na temat wspólnej polsko-ukraińskiej inicjatywy. Wiadomo jedynie, że serwer zawiera wyłącznie dane pochodzące z Ukrainy, a ukraińscy i polscy urzędnicy testowali je wspólnie. Wiele wskazuje na to, że Ukraina podejmie podobną współpracę z Estonią i Francją. Przy czym tamtejsze Ministerstwo Transformacji Cyfrowej dało pierwszeństwo tzw. bazom „VIP”, a więc niezbędnym do wsparcia gospodarki. Władze chcą, żeby nawet w czasie wojny funkcjonowały takie usługi, jak cyfrowa identyfikacja obywateli czy dostęp do danych podatkowych.

– Jesteśmy odpowiedzialni za wszystkie wrażliwe dane. Niezależnie od kosztów, to kwestia naszego bezpieczeństwa – podkreśla George Dubinskiy.

Istnieje duże ryzyko, że Rosja może wykorzystywać dane osobowe Ukraińców w złośliwy sposób do celów strategicznych w przejętych regionach. Na przykład informacje o pewnych grupach mieszkańców mogą ułatwić śledzenie ich ruchów i kontaktów. Jednakże przekazywanie poufnych rządowych baz danych za granicę wiąże się z przeglądem wymogów prawnych i bezpieczeństwa dotyczących ochrony, takich jak chociażby poziom szyfrowania. Niektóre rejestry rządowe zawierają około 1,5 petabajta danych, a urzędnicy w pewnych przypadkach spędzali tygodnie na projektowaniu systemu przechowywania danych i jego testowaniu.

– Urzędnicy rządowi nadzorujący przenoszenie danych zagranicę muszą się poważnie zastanowić, czy mogą zaufać sieciom telekomunikacyjnym. Poza tym powinni wyjaśnić ze swoimi odpowiednikami w państwie przyjmującym, czy krajowe zespoły zajmujące się cyberbezpieczeństwem wkroczą, aby pomóc w przypadku cyberataku – komentuje Chris Kubecka, specjalistka ds. cyberwojny w Middle East Institute, jednym z waszyngtońskich think tanków.

Artykuł Ukraina przenosi dane do Polski pochodzi z serwisu CRN.

Prezes Urzędu Ochrony Danych Osobowych będzie miał nie tylko uprawnienia kontrolne (przy czym kontrola nie będzie mogła trwać dłużej niż miesiąc). Jego zadaniem będzie także wydawanie rekomendacji dotyczących sposobów zabezpieczania danych osobowych. Będą w nich określone środki techniczne i organizacyjne niezbędne do zapewnienia bezpieczeństwa przetwarzania danych osobowych. Każdy podmiot będzie musiał jednak samodzielnie ocenić ryzyko związane z wyciekiem danych osobowych i na własną odpowiedzialność dobrać odpowiednie środki zabezpieczające.   

W kompetencjach Prezesa Urzędu będzie prawo opiniowania założeń i projektów aktów prawnych dotyczących ochrony danych osobowych. Będzie mógł również występować do organów państwa z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.

Zadaniem nowej ustawy o ochronie danych osobowych jest wprowadzenie do polskiego porządku prawno-instytucjonalnego unijnego rozporządzenia o ochronie danych osobowych (RODO). Z chwilą wejścia w życie nowej ustawy utraci moc dotychczasowa ustawa o ochronie danych osobowych z 1997 roku.

Artykuł PUODO zastąpi GIODO pochodzi z serwisu CRN.

Klienci są najbardziej skłonni do udostępniania swojego adresu mailowego. Tak zadeklarowało 55 proc. badanych. Wśród innych danych osobowych, którymi są gotowi podzielić się w zamian za dodatkowe benefity, znalazły się: imię i nazwisko (27 proc.), płeć (10 proc.) oraz adres zamieszkania (2 proc.). 85 proc. ankietowanych wymienia też jednak dane, których nie udostępniłoby pod żadnym warunkiem. Są to: numer i seria dowodu osobistego (54 proc.) oraz numer PESEL (32 proc.). Jedynie 2 proc. klientów jest gotowych udostępnić wszystkie dane, o jakie zostaną poproszeni.

Najbardziej przekonujące do udostępnienia danych osobowych są zniżki na zakupy. Wymienia je 45 proc. ankietowanych. Wśród najbardziej motywujących zachęt są też: gratisowe produkty (41 proc.) oraz dodatkowe punkty lojalnościowe (38 proc.). W dalszej kolejności znalazły się: uzyskanie oferty dopasowanej do indywidualnych potrzeb (21 proc.) oraz otrzymywanie newsletterów i informacji handlowych (6 proc.). Jedna trzecia respondentów twierdzi jednak, że żadne korzyści nie są w stanie skłonić ich do podania dodatkowych danych osobowych. Co czwarty ankietowany zadeklarował, że nigdy nie udziela zgody na przetwarzanie swoich danych w celach marketingowych.

Niemal dwie trzecie ankietowanych jest zdania, że udostępnianie danych osobowych firmom może być niebezpieczne. Co czwarty badany wierzy jednak w zachowanie przez nie poufności. Wyniki Payback Opinion Poll pokazują, że największym zaufaniem w kwestii bezpieczeństwa danych osobowych respondenci darzą banki (61 proc.) oraz urzędy administracji publicznej (24 proc.). To właśnie tym dwóm podmiotom oraz sklepom internetowym najczęściej udostępniają swoje dane osobowe.

Artykuł Polacy skłonni udostępniać dane za zniżki pochodzi z serwisu CRN.

Projekt nowej, polskiej ustawy przewiduje powołanie nowego organu państwowego odpowiedzialnego za nadzór nad przestrzeganiem przepisów o ochronie danych osobowych. Będzie nim Prezes Urzędu Ochrony Danych Osobowych, który zastąpi obecnego Generalnego Inspektora Ochrony Danych Osobowych. Będzie powoływany na czteroletnią kadencję przez sejm na wniosek premiera. Będzie posiadał immunitet i będzie go można odwołać tylko w szczególnych, wskazanych w ustawie przypadkach.

Prezes Urzędu Ochrony Danych Osobowych będzie miał nie tylko uprawnienia kontrolne. Jego zadaniem będzie także wydawanie rekomendacji dotyczących sposobów zabezpieczania danych osobowych. Będą w nich określone środki techniczne i organizacyjne niezbędne do zapewnienia bezpieczeństwa przetwarzania danych osobowych. Rekomendacje będą uwzględniały specyfikę danego rodzaju działalności a ich opracowanie będzie konsultowane z zainteresowanymi podmiotami z poszczególnych środowisk.    

Prezes Urzędu będzie również zatwierdzał i udostępniał standardowe klauzule umowne, wiążące reguły korporacyjne oraz kodeksy postępowań w sprawach związanych z ochroną danych osobowych. W ramach swoich uprawnień będzie zatwierdzał zasady i prowadził certyfikację procesów ochrony danych osobowych oraz wydawał akredytacje podmiotom zajmującym się monitorowaniem przestrzegania zatwierdzonych kodeksów postępowania. Będzie miał również prawo opiniowania założeń i projektów aktów prawnych dotyczących ochrony danych osobowych. W jego gestii będzie prowadzenie systemu teleinformatycznego umożliwiającego administratorom dokonywanie zgłoszenia naruszeń ochrony danych osobowych.

Nowością w przygotowywanej ustawie jest określenie zasad przetwarzania danych biometrycznych, zarówno w obszarze zatrudnienia jak i w sektorze bankowym oraz ubezpieczeniowym. Dane takie będą mogły być pozyskiwane przez banki oraz ubezpieczycieli w celu weryfikacji tożsamości klientów. Przetwarzanie przez pracodawcę danych biometrycznych obejmować może dane osobowe pracownika, tylko jeśli dotyczą one stosunku pracy i pracownik wyrazi na to zgodę.

Projekt nowej ustawy o ochronie danych osobowych zawiera jednocześnie propozycje zmian przepisów sektorowych w ponad 130 ustawach. Został obecnie skierowany do konsultacji. Otrzymało go ponad dwieście podmiotów typu izby gospodarcze i organizacje pozarządowe z prośbą o uwagi i wnioski. Konsultacje mają jednak charakter otwarty, może wziąć w nich udział każdy zainteresowany. Opinie można przesyłać do 13 października br. Projekt ustawy wraz z informacjami o trybie konsultacji znajduje się na stornie: mc.gov.pl/konsultacje.

Artykuł Ustawa o RODO do konsultacji pochodzi z serwisu CRN.

Wśród uchybień wskazanych przez kontrolerów znalazły się: brak procedur określających sposób postępowania w razie wystąpienia incydentu związanego z ochroną danych osobowych; przyznawanie jednemu użytkownikowi więcej niż jednej karty z certyfikatem umożliwiającym zdalny dostęp do rejestru PESEL; brak w aplikacji pośredniczącej w dostępie do bazy PESEL funkcjonalności umożliwiającej wskazanie uzasadnienia dla dokonywanego sprawdzenia danych; brak oprogramowania służącego do analizy logów systemowych, w tym operacji dokonywanych przez użytkowników korzystających z rejestru.

Jak podaje Biuro Generalnego Inspektora Ochrony Danych Osobowych, Ministerstwo Cyfryzacji, jako administrator danych przetwarzanych w systemie PESEL, było informowane o tych problemach po raz pierwszy w marcu 2017 roku. Resort zadeklarował usunięcie naruszeń, ale w zbyt odległych terminach, na które GIODO nie mógł się zgodzić . W związku z tym GIODO wydał 12 września decyzję nakazującą Ministerstwu usunięcie wskazanych nieprawidłowości jeszcze w tym roku lub, jak w przypadku modyfikacji aplikacji dostępowej, najpóźniej do marca przyszłego roku.

Ministerstwo Cyfryzacji poinformowało w wydanym oświadczeniu, że wnioski zawarte w komunikacie GIODO są nieprawdziwe. Resort zapewnił, że do rejestru PESEL nie mają dostępu żadne osoby czy instytucje do tego nieuprawnione.

Urząd twierdzi, że nieustannie podejmuje działania o charakterze analitycznym i wykonawczym, których celem jest podnoszenie poziomu bezpieczeństwa prowadzonych rejestrów publicznych, w tym ochrony danych osobowych. Niezależnie od opinii GIODO 12 września odbyło się kolejne spotkanie kierownictwa resortu z kierownictwem Centralnego Ośrodka Informatyki w tej właśnie sprawie. Wyrazem starań resortu ma być m.in. przyjęcie w sierpniu br., zgodnie z wcześniejszymi założeniami, dokumentów aktualizujących Politykę Certyfikacji dla infrastruktury SRP v.2.1 oraz Politykę Certyfikacji dla operatorów SRP v.1.9.

Ministerstwo Cyfryzacji zwraca również uwagę, że obowiązek podawania sygnatury prowadzonej sprawy (dotyczy głównie kancelarii komorniczych) w celu pozyskania danych z rejestru PESEL nie wynika wprost z przepisów prawa. Nie ma zatem możliwości weryfikowania celowości pobierania danych na tej właśnie podstawie. Nawet jednak wprowadzenie takiego obowiązku nie dawałoby gwarancji prawidłowej weryfikacji celowości pobierania danych, gdyż ministerstwo nie jest w stanie zweryfikować czy komornik jest uprawniony do pobierania danych w tej właśnie konkretnej sprawie.

Uwzględniając, mimo to, rekomendację GIODO resort zlecił kilka tygodni temu Centralnemu Ośrodkowi Informatyki analizę możliwości technicznych wdrożenia zmiany w aplikacji ŹRóDŁO polegającej na odnotowaniu uzasadnienia dostępu do danych lub sygnatury akt sprawy. Zaplanowany na ten rok budżet, jak podaje MC w oświadczeniu, nie przewidywał finansowania tych prac. Nie udało się również uzyskać na nie środków z rezerwy celowej. Realnym terminem wdrożenia zmian jest, według Ministerstwa Cyfryzacji, trzeci kwartał przyszłego roku.

Artykuł GIODO znalazł luki w systemie PESEL pochodzi z serwisu CRN.

Na serwerze znajdowały się także dane pracowników Zakładu. Oprócz podstawowych informacji identyfikacyjnych (imię, nazwisko, PESEL itp.) były również numery dokumentów tożsamości oraz kont bankowych.

Zdaniem przedstawicieli Zaufanej Trzeciej Strony, to największy, ujawniony do tej pory przypadek wycieku danych w polskiej służbie zdrowia. W ujawnionych plikach były zarówno dane archiwalne jak i całkiem świeże, modyfikowane kilka tygodni temu. Dostęp do serwera plików nie wymagał żadnego logowania.

W niektórych folderach zostały odkryte ślady zostawione przez ransomware. Widoczne też były zaszyfrowane przez ransomware pliki. Nie udało się ustalić, „czy był to efekt uruchomienia ransomware na serwerze, czy też pobrania plików z dostępnego serwera, zaszyfrowania i wgrania ich z powrotem na serwer”. Znaleziono także pirackie wersje popularnych programów komputerowych oraz programów do tzw. kopania kryptowalut.

Po poinformowaniu dyrekcji SPZOM przez redakcję serwisu dane z serwera zostały usunięte.

Źródło: Zaufanatrzeciastrona.pl

Artykuł Wyciekły dane 50 tys. pacjentów pochodzi z serwisu CRN.

Przypomnijmy, że pan Schrems zażądał od lokalnego oddziału Facebooka, aby ten nie przekazywał jego danych osobowych do Stanów Zjednoczonych. Firma nie spełniła żądania, a irlandzki urząd ochrony danych osobowych poparł koncern Marka Zuckerberga. W tej sytuacji skarżący wystąpił na drogę sądową. W rezultacie sprawa oparła się o Sąd Najwyższy, który zwrócił uwagę na decyzję Komisji Europejskiej nr 2000/520/WE (program Safe Harbor), w efekcie czego doszło do zgody na przekazywanie danych osobowych pochodzących z terenu Unii Europejskiej na terytorium Stanów Zjednoczonych. Przy czym jednym ze skutków Safe Harbor było umożliwienie amerykańskim służbom wywiadowczym dostępu do europejskich danych.

Sprawa wydawała się przesądzona, ale irlandzcy sędziowie postanowili poprosić o opinię w sprawie Schremsa swoich kolegów z TSUE. A ci spowodowali spore trzęsienie ziemi na arenie międzynarodowej, gdyż uznali, że krajowe organy ochrony danych osobowych nie mogą dokonywać niejako automatycznego odrzucenia skarg swoich obywateli, powołując się na wiążące decyzje Komisji Europejskiej. Tym samym doszło do podważenia istoty programu Safe Harbor, ze względu na brak realnego wpływu Europejczyków na ochronę danych osobowych w USA.

W odpowiedzi na werdykt TSUE ruszyły prace nad przygotowaniem nowych regulacji. Trwały ponad cztery lata, a ich efektem jest zastąpienie dyrektywy 95/46/WE rozporządzeniem Parlamentu Europejskiego oraz Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnego przepływu takich danych (skrótowo nazwanym RODO). Jednym z rozwiązań przyjętych w toku prac legislacyjnych przez Unię Europejską jest „Tarcza prywatności”, która określa nowe zasady przekazywania danych pomiędzy Unią i Stanami Zjednoczonymi.

Zasady „Tarczy prywatności” wiążą się z nałożeniem restrykcyjnych zobowiązań na przedsiębiorców amerykańskich, którzy mają być zobligowani do zachowania odpowiedniego poziomu ochrony. Ciekawe wydaje się ponadto ustanowienie amerykańskiego odpowiednika Rzecznika Praw, do którego obywatele państw UE będą mogli bezpośrednio zgłaszać ewentualne naruszenia. Jednak na tym etapie jest zdecydowanie za wcześnie na końcową ocenę postanowień „Tarczy prywatności”.

Przekazywanie danych w inne rejony świata

Niezależnie od przyszłych skutków „Tarczy prywatności” przedsiębiorcy z UE mogą przekazywać dane poza teren Wspólnoty do państw innych niż USA. Oczywiście tylko w zgodzie z określonymi przepisami. Na gruncie obecnie obowiązujących regulacji polskich, zawartych w Ustawie o ochronie danych osobowych, aktualny pozostaje obowiązek weryfikacji, czy kraj, gdzie działa podmiot, któremu zamierzamy powierzyć przetwarzanie danych osobowych, zapewnia odpowiedni poziom ochrony. Decyzję o tym, czy takie państwo zapewnia odpowiedni poziom ochrony, podejmuje Komisja Europejska. Ocena poziomu ochrony jest uzależniona m.in. od przepisów prawa obowiązujących w danym państwie. Powszechnie dostępny jest więc wykaz państw, które zapewniają odpowiedni poziom ochrony (www.giodo.gov.pl).

Zdarzają się jednak sytuacje, gdy np. ze względów gospodarczych administrator danych zamierza przekazać dane podmiotowi przetwarzającemu mającemu siedzibę na terenie kraju, wobec którego Komisja Europejska nie wydała pozytywnego rozstrzygnięcia w zakresie zapewnienia odpowiedniego poziomu ochrony. Nie oznacza to dla administratora danych sytuacji bez wyjścia. Może on bowiem zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych o wydanie decyzji administracyjnej zezwalającej na dokonanie transferu danych. Zasadniczo wymagane jest jednak nie tylko wykazanie interesu faktycznego i prawnego, ale też udowodnienie, że został zachowany odpowiedni poziom ochrony przekazywanych danych.

Na tym nie koniec. Polski ustawodawca wyszedł naprzeciw oczekiwaniom przedsiębiorców i od 1 stycznia 2015 r. umożliwił skorzystanie z innego katalogu instrumentów, które umożliwiają ominięcie procedury administracyjnej i konieczności uzyskania zgody Generalnego Inspektora Ochrony Danych Osobowych. Mowa o możliwości skorzystania z dwóch instrumentów, na jakie składają się standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE, lub tzw. wiążące reguły korporacyjne, powszechniej znane jako BCR (Binding Corporate Rules).

Binding Corporate Rules

Sięganie po BCR staje się coraz bardziej atrakcyjne dla przedsiębiorców. W praktyce mają one formę dokumentu zawierającego zasady związane z przekazywaniem danych osobowych i warunki ich ochrony w ramach przedsiębiorstw działających w jednej branży lub będących członkiem tej samej grupy kapitałowej.

Każde przedsiębiorstwo działające jako przetwarzający jest uprawnione do przygotowania własnego katalogu zasad składających się na BCR, a następnie do złożenia wniosku o zatwierdzenie BCR do krajowego organu ochrony danych. Zatwierdzenie BCR stanowi potwierdzenie zachowania odpowiedniego poziomu ochrony i w tym znaczeniu umożliwia przyspieszenie procedury przekazywania danych, która jest nieodłączną częścią działań uczestników rynku. Zaakceptowanymi dokumentami BCR posługują się skutecznie m.in. takie korporacje jak:
Intel, ING, Accenture, Shell czy Siemens.

Artykuł Transfer danych osobowych do państw trzecich pochodzi z serwisu CRN.

– Zmian jest sporo. To przede wszystkim rozszerzenie praw podmiotu danych osobowych. Rozszerzono również katalog obowiązków administratorów danych osobowych, który teraz będzie się nazywał inspektorem danych osobowych – mówi Anna Dmochowska, adwokat, specjalista ds. ochrony danych w ODO 24.

Zgodnie z nowymi zasadami trzeba będzie informować np. klientów e-sklepu o tym, jakie dane i w jakim celu są zbierane, kto będzie je przetwarzał oraz kto w danej firmie jest inspektorem danych osobowych wraz z kontaktem. Przedsiębiorca musi także jasno informować np. internautę i klienta o jego prawach: do usunięcia, przeniesienia danych, ograniczenia lub wycofania zgody na ich przetwarzanie. Klauzula dotycząca danych osobowych, w którą obecnie internauta klika lub klient podpisuje ją na papierze, będzie więc znacznie obszerniejsza.

Administratorzy danych będą musieli poinformować klientów o tym, że podlegają profilowaniu, czyli wykorzystywaniu danych do tworzenia analizy klienta lub prognozowania jego przyszłych potrzeb. Możliwość tworzenia takich profili także zostanie ograniczona do określonych przypadków.

Rozporządzenie wprowadza także prawo do bycia zapomnianym oraz prawo do przenoszenia danych osobowych. Np. konsument będzie mógł przenosić swoje dane osobowe od jednego administratora do drugiego.

Trzeba zadbać o bezpieczeństwo

Podmioty przetwarzające dane będą musiały zabezpieczyć ich ochronę od samego początku, czyli już na etapie projektowania przez przedsiębiorców nowych produktów i usług. Prywatność będzie także traktowana jako standardowe ustawienia systemów. Dla przykładu w serwisach społecznościowych domyślnie ustawiona zostanie opcja, by jak najmniej informacji o użytkowniku było dostępnych publicznie, a on sam będzie mógł tę prywatność zmniejszać.

– Rozporządzenie wprowadzi zasadę szacowania ryzyka. Administrator danych osobowych sam będzie musiał podjąć decyzję o tym, jakie środki musi podjąć, aby dane osobowe były w sposób odpowiedni chronione, aby nie dochodziło do jakichkolwiek incydentów. Co więcej, będzie musiał się z tego rozliczać, wykazując, że stosuje odpowiednie środki – mówi ekspert.

Przedsiębiorcy będą więc mogli zawierać umowy o powierzenie przetwarzania danych tylko z podmiotami, które gwarantują odpowiednie zabezpieczenie tego procesu.

Rozporządzenie wprowadza wysokie kary za nierespektowanie przepisów. Firmy muszą się liczyć z sankcjami do wysokości 20 mln euro lub 4 proc. globalnego rocznego obrotu z poprzedniego roku finansowego.

Artykuł Nowe prawo o ochronie danych osobowych, wysokie kary pochodzi z serwisu CRN.

W tym roku w Polsce zmieniono ustawę o ochronie danych osobowych. Zgodnie z nowymi przepisami w firmie powinna być osoba o statusie administratora bezpieczeństwa informacji, która zajmuje się nadzorowaniem przetwarzania danych i prowadzeniem dokumentacji. GIODO ma prawo do sprawdzenia przedsiębiorstw, a czynność tę mają wykonywać na jego zlecenie ABI. 

Na odbywającej się w Warszawie konferencji poświęconej ochronie danych osobowych jeden z prawników ocenił, że tegoroczna ustawa jest 'kamieniem milowym i pomostem między tym co jest i tym, co ma nastąpić ’ w zakresie ochrony danych. Zwracano ponadto uwagę, że zarówno przedsiębiorcy jak i konsumenci przywiązują większą niż kiedyś wagę do bezpieczeństwa informacji.

Artykuł Unia chce karać za dane osobowe pochodzi z serwisu CRN.

Przepisy wprowadzają także wymagania dotyczące kompetencji ABI. Wymagania są m.in. następujące: wyższe wykształcenie, niekaralność za przestępstwo z winy umyślnej, wiedza dotyczącą przepisów o ochronie danych osobowych. Pozycja takiej osoby, poprzez uregulowanie jej statusu w przedsiębiorstwie, będzie mocniejsza niż do tej pory.

Zmiana zmniejsza obowiązki administracyjne firm prowadzących działalność globalną. Przekazywane poza Europejski Obszar Płatniczy dane osobowe zawarte m.in. w umowach międzynarodowych nie będą wymagały każdorazowej zgody GIODO.

Nowelizacja ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych wchodzi w życie 1 stycznia 2015 r., ale przedsiębiorstwa będą miały pół roku na dostosowanie statusu ABI do obowiązujących przepisów (do 30 czerwca 2015 r.).

Zmiany dotyczą wszystkich podmiotów, zatrudniających choćby jednego pracownika. 
– Wszędzie tam dochodzi już bowiem do przetwarzania danych osobowych – wyjaśnia Iwona Kozieł, ekspertka ds. ochrony danych osobowych w Kancelarii Lex Artist. – W momencie przyjęcia do pracy co najmniej jednego zatrudnionego właściciel firmy lub wyznaczona przez niego osoba ma już do czynienia z danymi osobowymi.

Artykuł Nowe uprawnienia GIODO do kontroli firm pochodzi z serwisu CRN.