Poznań: + 48 61 22 23 997        Warszawa: + 48 22 506 52 42
pl   en
Kontakt z ekspertem
Sommerrey & Partners Sommerrey & Partners
   Powrót do wszystkich artykułów

Zmiany w ustawie o ochronie danych osobowych

Z dniem 1 stycznia 2015 r. zaczną obowiązywać zmiany w ustawie o ochronie danych osobowych. Są one wynikiem wejścia w życie ustawy o ułatwieniu wykonywania działalności gospodarczej, tzw. IV ustawy deregulacyjnej.

12 stycznia 2015
Hubert Sommerrey
Aktualności

Z dniem 1 stycznia 2015 r. zaczną obowiązywać zmiany w ustawie o ochronie danych osobowych. Są one wynikiem wejścia w życie ustawy o ułatwieniu wykonywania działalności gospodarczej, tzw. IV ustawy deregulacyjnej. Zasadniczą zmianą w stosunku do dotychczasowych przepisów jest zniesienie obowiązku powoływania Administratora Bezpieczeństwa Informacji (ABI).

Powołanie Administratora Bezpieczeństwa Informacji

W oparciu o nowe przepisy, administrator danych osobowych może zdecydować czy powoła ABI. Będzie nim mogła zostać jedynie osoba, która:

  1. Ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
  2. Posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
  3. Nie była karana za umyślne przestępstwo.

Administrator danych osobowych musi zapewnić środki i organizacyjną odrębność ABI, by umożliwić mu niezależne wykonywanie zadań określonych przepisami. Nowością w tym wypadku jest również obowiązek zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych faktu powołania i odwołania ABI. Zgłoszenie takie powinno nastąpić w terminie 30 dni od dnia jego powołania lub odwołania.

Nowe obowiązki ABI 

W świetle nowych przepisów zwiększony i uszczegółowiony został zakres obowiązków spoczywających na ABI, do których należeć będzie:

  1. Zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez:
    • prawdzanie zgodności przetwarzania danych osobowych z przepisami oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
    • nadzorowanie opracowania i aktualizacji dokumentacji dotyczącej ochrony danych osobowych w przedsiębiorstwie oraz nadzorowanie przestrzegania zasad w niej określonych,
    • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
  2. Prowadzenie rejestru zbiorów danych osobowych przetwarzanych w przedsiębiorstwie. Rejestr ten musi zawierać nazwę zbioru oraz następujące informacje:
    • oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru,
    • cel przetwarzania danych;
    • opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych;
    • sposób zbierania oraz udostępniania danych;
    • informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane;
    • informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Jak widać, na ABI spoczywać będzie m.in. dodatkowy obowiązek w zakresie prowadzenia wewnętrznych kontroli w zakresie przestrzegania przepisów o ochronie danych. Wyniki kontroli ABI przekazuje GIODO w formie sprawozdań, które powinny obejmować m.in.:

  1. Wykaz czynności podjętych przez ABI w toku sprawdzenia zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
  2. Opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych osobowych;
  3. Stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem.

Tryb i zakres realizacji zadań przez ABI, a zatem także częstotliwość prowadzenia kontroli wewnętrznych oraz przekazywania sprawozdań do GIODO, zostaną określone w drodze rozporządzenia ministra właściwego do spraw administracji publicznej.

Nowelizacja ustawy o ochronie danych osobowych niewątpliwie zwiększa rolę i znaczenie ABI, w pewnym stopniu formalizując dotychczasowy sposób ich funkcjonowania w przedsiębiorstwach. Nowe przepisy wprowadzają także zasadę, iż administrator danych osobowych, który powołał ABI i zgłosił go do rejestracji GIODO, nie ma obowiązku rejestracji zbiorów danych osobowych, chyba że przetwarza w nich dane wrażliwe określone w art. 27 ust. 1 ustawy.

Rezygnacja z powołania ABI

Jeżeli ABI nie zostanie powołany, jego obowiązki wykonuje bezpośrednio administrator danych osobowych. Nie dotyczy to jednak obowiązku sporządzania sprawozdania, o którym mowa powyżej.

Zbiory przetwarzane w formie papierowej – zwolnienie

Zmianą, na którą warto zwrócić uwagę jest również rozszerzenie katalogu zwolnień z obowiązku rejestracji zbiorów danych osobowych.

Od dnia 1 stycznia 2015 roku administratorzy danych przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, są zwolnieni z obowiązku rejestracji takich zbiorów. Wyjątek od tej zasady stanowią zbiory zawierające dane wrażliwe.

Skutki zmian

Nowelizacja może wymagać weryfikacji czy osoba pełniąca w przedsiębiorstwie funkcję ABI spełnia wymagania stawiane przez nowe przepisy. W wielu przypadkach istotna też będzie decyzja czy w ogóle wyznaczyć ABI, jeżeli dotychczas nie funkcjonował w przedsiębiorstwie.

Niezbędna może się także okazać modyfikacja istniejącej w firmie obowiązkowej dokumentacji dotyczącej ochrony przetwarzania danych osobowych, tj. polityki bezpieczeństwa oraz – w przypadku przetwarzania danych osobowych w systemie informatycznym – instrukcji zarządzania systemem informatycznym.

Autor
Hubert Sommerrey
radca prawny / mediator sądowy / partner zarządzający
Specjalizacje:
Sygnaliści, Sprawy frankowe, Compliance, Mediacje, RODO - Ochrona danych osobowych
+48 61 225 48 70
hubert.sommerrey@sp-legal.pl
Kontakt Więcej
Może Cię zainteresować również:
Nowelizacja Kodeksu spółek handlowych – rozszerzenie katalogu przestępstw wykluczających możliwość pełnienia funkcji członka zarządu, rady nadzorczej, komisji rewizyjnej, likwidatora i prokurenta w spółkach handlowych
Justyna Nowak | 17 sierpnia 2022
Podatek od usług budowlanych w Niemczech – cz. 2
Hubert Sommerrey | 13 lipca 2015
Śmigus dyngus – dobra zabawa, czy czyn zabroniony?
Klaudia Dzieweczyńska | 19 kwietnia 2019
Hubert Sommerrey
radca prawny / mediator sądowy / partner zarządzający
Specjalizacje:
Sygnaliści, Sprawy frankowe, Compliance, Mediacje, RODO - Ochrona danych osobowych
+48 61 225 48 70
hubert.sommerrey@sp-legal.pl
Kontakt Więcej
Szukaj
Newsletter
  • Informacje o najważniejszych zmianach w prawie
  • Informacje o nowych publikacjach i raportach
  • Powiadomienia o nadchodzących szkoleniach
Kategorie

Kontakt z ekspertem
×

Jeśli potrzebujesz wsparcia ekspertów, wypełnij poniższy formularz kontaktowy

Zobacz wszystkich ekspertów
pl   en