Powrót do wszystkich artykułówZ dniem 1 stycznia 2015 r. zaczną obowiązywać zmiany w ustawie o ochronie danych osobowych. Są one wynikiem wejścia w życie ustawy o ułatwieniu wykonywania działalności gospodarczej, tzw. IV ustawy deregulacyjnej. Zasadniczą zmianą w stosunku do dotychczasowych przepisów jest zniesienie obowiązku powoływania Administratora Bezpieczeństwa Informacji (ABI).
Powołanie Administratora Bezpieczeństwa Informacji
W oparciu o nowe przepisy, administrator danych osobowych może zdecydować czy powoła ABI. Będzie nim mogła zostać jedynie osoba, która:
- Ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
- Posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
- Nie była karana za umyślne przestępstwo.
Administrator danych osobowych musi zapewnić środki i organizacyjną odrębność ABI, by umożliwić mu niezależne wykonywanie zadań określonych przepisami. Nowością w tym wypadku jest również obowiązek zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych faktu powołania i odwołania ABI. Zgłoszenie takie powinno nastąpić w terminie 30 dni od dnia jego powołania lub odwołania.
Nowe obowiązki ABI
W świetle nowych przepisów zwiększony i uszczegółowiony został zakres obowiązków spoczywających na ABI, do których należeć będzie:
- Zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez:
- prawdzanie zgodności przetwarzania danych osobowych z przepisami oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
- nadzorowanie opracowania i aktualizacji dokumentacji dotyczącej ochrony danych osobowych w przedsiębiorstwie oraz nadzorowanie przestrzegania zasad w niej określonych,
- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
- Prowadzenie rejestru zbiorów danych osobowych przetwarzanych w przedsiębiorstwie. Rejestr ten musi zawierać nazwę zbioru oraz następujące informacje:
- oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru,
- cel przetwarzania danych;
- opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych;
- sposób zbierania oraz udostępniania danych;
- informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane;
- informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Jak widać, na ABI spoczywać będzie m.in. dodatkowy obowiązek w zakresie prowadzenia wewnętrznych kontroli w zakresie przestrzegania przepisów o ochronie danych. Wyniki kontroli ABI przekazuje GIODO w formie sprawozdań, które powinny obejmować m.in.:
- Wykaz czynności podjętych przez ABI w toku sprawdzenia zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
- Opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych osobowych;
- Stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem.
Tryb i zakres realizacji zadań przez ABI, a zatem także częstotliwość prowadzenia kontroli wewnętrznych oraz przekazywania sprawozdań do GIODO, zostaną określone w drodze rozporządzenia ministra właściwego do spraw administracji publicznej.
Nowelizacja ustawy o ochronie danych osobowych niewątpliwie zwiększa rolę i znaczenie ABI, w pewnym stopniu formalizując dotychczasowy sposób ich funkcjonowania w przedsiębiorstwach. Nowe przepisy wprowadzają także zasadę, iż administrator danych osobowych, który powołał ABI i zgłosił go do rejestracji GIODO, nie ma obowiązku rejestracji zbiorów danych osobowych, chyba że przetwarza w nich dane wrażliwe określone w art. 27 ust. 1 ustawy.
Rezygnacja z powołania ABI
Jeżeli ABI nie zostanie powołany, jego obowiązki wykonuje bezpośrednio administrator danych osobowych. Nie dotyczy to jednak obowiązku sporządzania sprawozdania, o którym mowa powyżej.
Zbiory przetwarzane w formie papierowej – zwolnienie
Zmianą, na którą warto zwrócić uwagę jest również rozszerzenie katalogu zwolnień z obowiązku rejestracji zbiorów danych osobowych.
Od dnia 1 stycznia 2015 roku administratorzy danych przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, są zwolnieni z obowiązku rejestracji takich zbiorów. Wyjątek od tej zasady stanowią zbiory zawierające dane wrażliwe.
Skutki zmian
Nowelizacja może wymagać weryfikacji czy osoba pełniąca w przedsiębiorstwie funkcję ABI spełnia wymagania stawiane przez nowe przepisy. W wielu przypadkach istotna też będzie decyzja czy w ogóle wyznaczyć ABI, jeżeli dotychczas nie funkcjonował w przedsiębiorstwie.
Niezbędna może się także okazać modyfikacja istniejącej w firmie obowiązkowej dokumentacji dotyczącej ochrony przetwarzania danych osobowych, tj. polityki bezpieczeństwa oraz – w przypadku przetwarzania danych osobowych w systemie informatycznym – instrukcji zarządzania systemem informatycznym.
