Aktualnosci

Nowa wersja eABI 3.0.0

23 maja opublikowana została nowa wersja oprogramowania eABI.

Ze względu na wejście  w życie RODO oraz dostosowaniem oprogramowania do nowych przepisów kolejna wersja ma nr 3.0.0 Oprogramowanie można pobrać ze strony Dokumentacja

Główne zmiany wersji 3.0.0 to możliwość przełączenia w tryb RODO

Oprogramowanie zawiera nowe podstawy prawne. Rozszerzony został  zakres upoważnienia o nowe czynności wyszczególnione w RODO. 

Nowa wersja eABI 2.5.0

W dniu 15 kwietnia 2018 r. opublikowana została nowa wersja oprogramowania eABI o numerze 2.5.0.

Nowa wersja zawiera głównie zmodyfikowany rejestr czynności przetwarzania oraz umożliwia przeprowadzenie analizy ryzyka danych osobowych i innych aktywów związanych z przetwarzaniem danych osobowych.

Zapraszamy do pobrania nowej wersji tu


Nowa wersja eABI 2.4.0

Szanowni Państwo.

W dniu 29 sierpnia 2017r. opublikowana została nowa wersja oprogramowania eABI.

Wersja zawiera elementy wymagane przez Rozporządzenie Parlamentu Europejskiego i Rady (UE)

Zapraszamy do zapoznania się z nowościami.

Więcej na ten temat poniżej oraz w dziale Dokumentacja.

Rejestr naruszeń ochrony danych osobowych

Rozporządzenie PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
o ochronie danych), zwanym dalej RODO, nakłada na administratora danych obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych.

Zasady zgłaszania naruszenia ochrony danych organowi nadzorczemu określone są w artykule 33 RODO.

Administrator danych osobowych ma obowiązek zgłoszenia organowi nadzorczemu przypadek naruszenia ochrony danych osobowych w ciągu 72 godzin. Jeżeli zgłoszenie przekazane zostanie po 72 godz. należy wówczas dołączyć wyjaśnienie przyczyn opóźnienia.

Zwolnienie z obowiązku zgłoszenia naruszenia, organowi nadzorczemu możliwe jest, jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Jeżeli naruszenie dotyczy podmiotu przetwarzającego, to podmiot przetwarzający bez zbędnej zwłoki zgłasza je administratorowi danych.

Zgłoszenie musi zawierać co najmniej:

1.       Opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie
i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie.

2.       Zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji.

3.       Opisywać możliwe konsekwencje naruszenia ochrony danych osobowych.

4.       Opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Jeżeli informacji nie możemy udzielić w tym samym czasie możemy je przekazywać organowi nadzorczemu sukcesywnie bez zbędnej zwłoki.

Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania artykułu 33 RODO.

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych.

 

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Zawiadomienie, jasnym i prostym językiem powinno opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej niżej wymienione informacje:

1.       Imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji.

2.       Opisywać możliwe konsekwencje naruszenia ochrony danych osobowych.

3.       Opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Zawiadomienie nie jest wymagane w następujących przypadkach:

1.       Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych.

2.       administrator zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w pkt. 1.

3.       Wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, wymienionych wyżej.

Oprogramowanie eABI umożliwia dokumentowanie naruszeń ochrony danych osobowych.


n1png

Rysunek 1 Ewidencja naruszeń ochrony danych osobowych


n2png

Rysunek 2 Dodaj naruszenie


n3png

Rysunek 3 Zawiadomienie organu nadzorczego


n4png
Rysunek 4 Zawiadomienie osoby


n5png

Rysunek 5 Dodanie osób których dotyczy naruszenie


n6png

Rysunek 6 Informacja o naruszeniu


Oprogramowanie umożliwia wydrukowanie zestawień. Do wyboru mamy wydruk:

1.       Wszystkich naruszeń.

2.       Naruszeń zgłoszonych organowi nadzorczemu.

3.       Naruszeń nie zgłoszonych organowi nadzorczemu.


n7png

Rysunek 7 Raport Wykaz naruszeń

Zapraszamy do zapoznania się z oprogramowaniem eABI

Rejestr czynności przetwarzania

Rozporządzenie PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nakłada na administratora danych lub podmiot przetwarzający obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiadają.

Zawartość rejestru czynności przetwarzania przypomina rejestr zbiorów danych osobowych prowadzony obecnie przez ABI na podstawie ustawy o ochronie danych osobowych. Zawartość rejestru przetwarzania określona jest w art. 30 RODO. Rejestr różni się w zależności od tego czy dane przetwarzane są przez administratora lub podmiot przetwarzający.

Jeżeli rejestr prowadzony jest przez administratora umieszcza się w nim następujące dane:

1.        Imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych.

2.       Cele przetwarzania.

3.       Opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych.

4.       Kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych.

5.       Gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń.

6.       Jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych.

7.       jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Podmiot przetwarzający prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:

1.       imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych.

2.       Kategorie przetwarzań dokonywanych w imieniu każdego z administratorów.

3.       Gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń.

4.       Jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Rejestry mają formę pisemną w tym formę elektroniczną. Rejestr udostępnia się na żądanie organu nadzorczego.

Warto podkreślić również, że prowadzenie rejestru nie jest czynnością obligatoryjną. Zwolnieni z prowadzenia rejestru są przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Art. 9 ust 1 odnosi się co do zasady, do zakazu przetwarzana danych sensetywnych. Zgodnie z nim zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. W art. 9 ust 2 wymieniony jest katalog przypadków, kiedy przetwarzanie danych sensetywnych jest dozwolone.

Za pomocą oprogramowania eABI możemy prowadzić rejestr czynności przetwarzania wymagany art. 30 RODO.

rejestrczynnoscipng

Rysunek 1 Rejestr czynności przetwarzania

Jak wspomniano wyżej rejestr prowadzi administrator oraz podmiot przetwarzający. Rejestry różnią się zawartością pól.


dodajnowypng

Rysunek 2 Nowa pozycja rejestru


Dodając nową pozycję rejestru mamy do wyboru czy dopisujemy rejestr dla administratora (ADO) czy Podmiotu przetwarzającego (Podmiot).

W zależności od wybranej opcji otwiera się odpowiedni formularz


rejestrdodajpng

Rysunek 3 Dodaj rejestr dla ADO

Program umożliwia wybranie zbioru danych oraz wypełnienie poszczególnych pól poprzez przepisanie już posiadanych danych w bazie programu eABI.

Opis środków technicznych można wpisać ręcznie lub zaznaczyć odpowiednie opcje wynikające z art. 32 RODO.


rejestrpodmiotaddpng

Rysunek 4 Dodaj rejestr dla Podmiotu

Funkcjonalność rejestru:

1. Dodawanie, poprawianie i usuwanie pozycji rejestru danych.
2. Zmianę typu wpisu z ADO na Podmiot i odwrotnie.
3. Wydrukowanie rejestrów osobno dla ADO i Podmiotu.

Poniżej przedstawiono przykład rejestru administratora danych.


rejestradopng

Rysunek 5 Przykład - Rejestr czynności przetwarzania ADO


rejestrpodmiotpng
Rysunek 6 przykład - Rejestr czynności przetwarzania podmiotu przetwarzającego

Zapraszamy do zakupu oprogramowania eABI.
Ochrona danych osobowych z eABI - to proste!
www.eabi.pl

Nowy projekt ustawy o ochronie danych osobowych

Ministerstwo cyfryzacji opublikowało projekt nowej ustawy o ochronie danych osobowych.
Według projektu GIODO będzie teraz Prezesem Urzędu Ochrony Danych Osobowych.
Projekt zawiera przepisy dotyczące akredytacji i certyfikacji, postępowania w sprawie naruszeń przepisów o ochronie danych osobowych, zasady współpracy Urzędu z innymi organami nadzorczymi
Projekt zawiera także przepisy dotyczące nakładania kar administracyjnych, czym straszono ADO już od dawna.
Przy okazji pracujemy nad modyfikacją programu eABI.
Poniżej link do projektu.
https://mc.gov.pl/…/projekt-ustawy-o-ochronie-danych-osobow…

29 wrzesień 2016 r. nowa wersja 2.3.0


W zakładce dokumentacja dostepna jest już nowa wersja programu eABI. Poniżej przedstawiamy wykaz zmian w programie.


1. Akty prawne - dodano treść Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony danych osobowych.
2. Zestawienia - upoważnienia w podziale na zbiory. Ustawiono sortowanie wg wydania upoważnienia.
3. Wykaz zbiorów z datą sprawdzenia. Ustawiono sortowanie wg daty sprawdzenia.
4. Dodano wydruk odwołania upoważnienia do przetwarzania danych osobowych.
5. Dodano nowe wydruki upoważnień w nowej perspektywie EFS. Nowe logotypy.
6. Dodano wydruk upoważnienia dla ADO lub Procesora przetwarzającego dane na podstawie art 31 ustawy, dla nowej perspektywy EFS.
7. Dodano wydruk oświadczenia o zachowaniu w tajemnicy danych osobowych dla umów zleceń w trybie uproszczonym.
8. Zaktualizowano nr dziennika ustaw na wydrukach (Dz. U. z 2016 r. poz. 922 tekst jednolity).
9. Rozszerzono funkcjonalność formularza pracownicy o możliwość ewidencjonowania informacji o odbiorcach danych, sposobie ich pozyskania oraz wniesienia sprzeciwu o którym mowa w art 32 ust 1 pkt 8 ustawy.
10. Dodano raport umożliwiający wydrukowanie w powszechnie zrozumiałej formie danych przetwarzanych w systemie. Wymogi określone w par 7 rozporządzenia MSWIA w sprawie dokumentacji przetwarzania danych osobowych......
11. Zbiory GIODO zmieniono opisy pól zgodnie z rejestrem prowadzonym przez GIODO. Nr księgi, nr zgłoszenia, data zatwierdzenia/aktualizacji zbioru.
12. Plan sprawdzeń. Ograniczono możliwość wyboru terminu sprawdzenia wykraczający poza zakres dat określony w planie sprawdzeń.
13. Plan sprawdzeń - Dodano raport - Wykonanie planu sprawdzeń. Dodano nowy wydruk planu sprawdzeń.
14. Sprawdzenia - Dodano raport zestawienie sprawdzeń.
15. Dodano dokument: Opis struktury bazy danych eABI zawierający dane osobowe. Menu Administrator>Opis struktury
16. Programy - Dodano możliwość dodania dowolnego pliku do programu.
17. Zbiory - Dodano możliwość dodania dowolnego pliku do zbioru danych.
18. Dodano procedurę wymuszenia zmiany hasła na żądanie lub automatycznie co 30 dni.
19. Opracowano formularze do ewidencjonowania sposobu przepływu danych pomiędzy poszczególnymi systemami.
20. Sprawozdania. Poprawiono wydruk sprawozdania.
21. Sprawozdania. Zmodyfikowano wydruk zestawienia sprawozdań. Dodano filtrowanie wg. daty podpisania sprawozdania.
22. Optymalizacja aplikacji. Po wpisaniu pierwszej litery w zielone pole filtrowania automatycznie uaktywnia się przycisk filtruj. Naciśnięcie klawisza spowoduje uruchomienie filtra. Skasowanie liter i naciśnięcie klawisza spowoduje wyłączenie filtra.
23. Optymalizacja aplikacji. Upoważnienia - zmieniono typ filtrowania z dokładnego na przybliżony.
24. Poprawiono procedurę generowania identyfikatorów oraz loginów.