Już od 1 stycznia 2015 r. w życie wchodzą ważne zmiany w ustawie o ochronie danych osobowych. W ramach tzw. IV ustawy deregulacyjnej przyjętej przez Sejm i podpisanej w listopadzie przez Prezydenta RP, zmienionych zostanie szereg przepisów. Głównym celem tych zmian będzie uproszczenie procedur i ułatwienie życia przedsiębiorcom.
Zdjęcie royalty free z Fotolia
Pierwsza ważna zmiana dotyczyć będzie funkcjonowania Administratora Bezpieczeństwa Informacji (ABI) i rozszerzenia jego kompetencji w zakresie ochrony danych. Na podstawie poprzednich przepisów istniał spór czy Administrator Danych Osobowych jest zobligowany do powołania ABI, jeżeli sam nie sprawuje tej funkcji, czy też jest to jego swobodna decyzja. Nowe przepisy wprost wskazują, że takiej konieczności nie ma. Jeżeli jednak ABI nie zostanie powołany wszystkie jego obowiązki przewidziane w ustawie wykonywać będzie sam administrator danych.
Obowiązki administratora
W razie powołania przez Administratora Danych Osobowych osoby na stanowisko ABI, do jej obowiązków zgodnie ze znowelizowaną ustawą należeć będą zapewnianie przestrzegania przepisów o ochronie danych osobowych. Administrator będzie zobowiązany do sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, nadzorowania opracowywania i aktualizowania dokumentacji, zapewniania zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, a także do prowadzenia jawnego rejestru zbiorów danych przetwarzanych przez administratora danych. Dodatkowym obowiązkiem będzie również sporządzanie audytów na zlecenie GIODO.
Administrator danych może rozszerzyć zakres działania ABI i powierzyć mu również inne zadania, które nie naruszają jego obowiązków dotyczących ochrony danych osobowych.
Kto może zostać ABI
Wskazać należy, iż nie każdy będzie mógł zostać powołany na stanowisko ABI. W ustawie wskazano szereg przesłanek, które musi spełnić taka osoba, m.in. administrator posiadać musi wykształcenie wyższe, nie może być osobą karaną za przestępstwo popełnione z winy umyślnej, a co najważniejsze musi posiadać odpowiednią wiedzę z zakresu przepisów o ochronie danych osobowych. Założeniami ustawodawcy jest również zapewnienie Administratorowi Bezpieczeństwa Informacji niezależności w wykonywaniu swoich obowiązków. Dlatego też osoba sprawująca funkcję administratora bezpieczeństwa podlegać może wyłącznie kierownikowi jednostki organizacyjnej albo osobie fizycznej będącej administratorem danych. Dodatkowo administrator uprawniony będzie do tworzenia własnej struktury organizacyjnej.
Nowy rejestr Administratorów Bezpieczeństwa Informacji
Fakt powołania danej osoby na stanowisko ABI, każdy administrator ochrony danych zobowiązany będzie zgłosić do GIODO. Zgłoszenie powołanego Administratora Bezpieczeństwa Informacji nastąpić musi w terminie 30 dni od dnia jego powołania. Od 1 stycznia 2015 roku ustanowiony zostanie również jawny rejestr Administratorów Bezpieczeństwa Informacji, gdzie będą oni zgłaszani przez administratorów danych. Rejestr ten prowadzony będzie przez GIODO, który sprawować ma kontrolę nad osobami pełniącymi funkcję administratorów danych. GIODO z urzędu wydawał będzie decyzję o wykreśleniu konkretnego ABI z rejestru, jeśli nie będzie on spełniał ustawowych wymogów lub nie będzie realizował zadań zakresu ochrony danych.
Wyłączenia w zgłaszaniu bazy danych do GIODO
Dużą zmianą wprowadzoną przez nowelizację będzie również zwolnienie z wymogu rejestracji zbiorów danych do GIODO, dla tych wszystkich jednostek które powołały do życia Administratora Bezpieczeństwa Informacji. Wyłączenie to nie będzie jednak dotyczyć zbioru danych wrażliwych, czyli danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazać, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
Do katalogu wyjątków dotyczących obowiązku rejestracji baz danych dodane zostanie zwolnienie z obowiązku rejestracyjnego klasycznych zbiorów danych, a więc wszystkich tych zbiorów, które przetwarzane są z udziałem systemów informatycznych. Wyłączenie to dotyczy zbiorów niezawierających danych wrażliwych.
Ocena nowelizacji
Nowelizacja ustawy z jednej strony wprowadza pozytywną zmianę w postaci ograniczenia obowiązku rejestracji zbiorów danych osobowych, który był dotychczas uciążliwy dla podmiotów przetwarzających dane. Natomiast w dalszym ciągu niewiadomą pozostają nowe kompetencje ABI. Pojawiają się głosy, iż ABI będzie człowiekiem GIODO, który na jego zlecenie będzie kontrolował przedsiębiorców. W związku z określonymi cechami, które musi posiadać ABI, chodzi tutaj o wiedzę z zakresu ochrony danych osobowych niewiadomym jest również czy na tą pozycję lepiej powołać wyspecjalizowane jednostki zewnętrzne czy też kogoś wewnątrz struktury organizacyjnej. Jedno jest pewno dopiero praktyka pokaże jak nowe zmiany wpłyną na funkcjonowanie mechanizmów ochrony danych osobowych.
Maciej Zawadzki
Założyciel serwisu PrawnieSkuteczni.pl
Prawnik zajmujący się zagadnieniami związanymi z tematyką e-commerce. Swoje doświadczenia zdobywał w renomowanych krakowskich kancelariach pod okiem specjalistów. Interesuje się problematyką umów z zakresu prawa IT oraz umów obejmujących prawo autorskie.