Poznań: + 48 61 22 23 997        Warszawa: + 48 22 506 52 42
Sommerrey & Partners Sommerrey & Partners
   Powrót do wszystkich artykułów

Zmiany w ustawie o ochronie danych osobowych

Z dniem 1 stycznia 2015 r. zaczną obowiązywać zmiany w ustawie o ochronie danych osobowych. Są one wynikiem wejścia w życie ustawy o ułatwieniu wykonywania działalności gospodarczej, tzw. IV ustawy deregulacyjnej.

12 stycznia 2015

Z dniem 1 stycznia 2015 r. zaczną obowiązywać zmiany w ustawie o ochronie danych osobowych. Są one wynikiem wejścia w życie ustawy o ułatwieniu wykonywania działalności gospodarczej, tzw. IV ustawy deregulacyjnej. Zasadniczą zmianą w stosunku do dotychczasowych przepisów jest zniesienie obowiązku powoływania Administratora Bezpieczeństwa Informacji (ABI).

Powołanie Administratora Bezpieczeństwa Informacji

W oparciu o nowe przepisy, administrator danych osobowych może zdecydować czy powoła ABI. Będzie nim mogła zostać jedynie osoba, która:

  1. Ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
  2. Posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
  3. Nie była karana za umyślne przestępstwo.

Administrator danych osobowych musi zapewnić środki i organizacyjną odrębność ABI, by umożliwić mu niezależne wykonywanie zadań określonych przepisami. Nowością w tym wypadku jest również obowiązek zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych faktu powołania i odwołania ABI. Zgłoszenie takie powinno nastąpić w terminie 30 dni od dnia jego powołania lub odwołania.

Nowe obowiązki ABI 

W świetle nowych przepisów zwiększony i uszczegółowiony został zakres obowiązków spoczywających na ABI, do których należeć będzie:

  1. Zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez:
    • prawdzanie zgodności przetwarzania danych osobowych z przepisami oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
    • nadzorowanie opracowania i aktualizacji dokumentacji dotyczącej ochrony danych osobowych w przedsiębiorstwie oraz nadzorowanie przestrzegania zasad w niej określonych,
    • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
  2. Prowadzenie rejestru zbiorów danych osobowych przetwarzanych w przedsiębiorstwie. Rejestr ten musi zawierać nazwę zbioru oraz następujące informacje:
    • oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru,
    • cel przetwarzania danych;
    • opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych;
    • sposób zbierania oraz udostępniania danych;
    • informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane;
    • informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Jak widać, na ABI spoczywać będzie m.in. dodatkowy obowiązek w zakresie prowadzenia wewnętrznych kontroli w zakresie przestrzegania przepisów o ochronie danych. Wyniki kontroli ABI przekazuje GIODO w formie sprawozdań, które powinny obejmować m.in.:

  1. Wykaz czynności podjętych przez ABI w toku sprawdzenia zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
  2. Opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych osobowych;
  3. Stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem.

Tryb i zakres realizacji zadań przez ABI, a zatem także częstotliwość prowadzenia kontroli wewnętrznych oraz przekazywania sprawozdań do GIODO, zostaną określone w drodze rozporządzenia ministra właściwego do spraw administracji publicznej.

Nowelizacja ustawy o ochronie danych osobowych niewątpliwie zwiększa rolę i znaczenie ABI, w pewnym stopniu formalizując dotychczasowy sposób ich funkcjonowania w przedsiębiorstwach. Nowe przepisy wprowadzają także zasadę, iż administrator danych osobowych, który powołał ABI i zgłosił go do rejestracji GIODO, nie ma obowiązku rejestracji zbiorów danych osobowych, chyba że przetwarza w nich dane wrażliwe określone w art. 27 ust. 1 ustawy.

Rezygnacja z powołania ABI

Jeżeli ABI nie zostanie powołany, jego obowiązki wykonuje bezpośrednio administrator danych osobowych. Nie dotyczy to jednak obowiązku sporządzania sprawozdania, o którym mowa powyżej.

Zbiory przetwarzane w formie papierowej – zwolnienie

Zmianą, na którą warto zwrócić uwagę jest również rozszerzenie katalogu zwolnień z obowiązku rejestracji zbiorów danych osobowych.

Od dnia 1 stycznia 2015 roku administratorzy danych przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, są zwolnieni z obowiązku rejestracji takich zbiorów. Wyjątek od tej zasady stanowią zbiory zawierające dane wrażliwe.

Skutki zmian

Nowelizacja może wymagać weryfikacji czy osoba pełniąca w przedsiębiorstwie funkcję ABI spełnia wymagania stawiane przez nowe przepisy. W wielu przypadkach istotna też będzie decyzja czy w ogóle wyznaczyć ABI, jeżeli dotychczas nie funkcjonował w przedsiębiorstwie.

Niezbędna może się także okazać modyfikacja istniejącej w firmie obowiązkowej dokumentacji dotyczącej ochrony przetwarzania danych osobowych, tj. polityki bezpieczeństwa oraz – w przypadku przetwarzania danych osobowych w systemie informatycznym – instrukcji zarządzania systemem informatycznym.



Może Cię zainteresować również:
Naruszenie majątkowych praw autorskich – zmiany w kwestii odszkodowań
Czy pracodawca może skontrolować sposób wykorzystywania przez pracownika zwolnienia lekarskiego?
Tarcza finansowa PFR: Utrzymanie stanu zatrudnienia przez okres 12 miesięcy w celu umorzenia subwencji

Kontakt z ekspertem
×

Jeśli potrzebujesz wsparcia ekspertów, wypełnij poniższy formularz kontaktowy

Zobacz wszystkich ekspertów
pl   en