Ustawa z dnia 7 listopada 2014 roku o ułatwieniu wykonywania działalności gospodarczej wprowadza istotne zmiany w ustawie o ochronie danych osobowych.
Zmiany weszły w życie 1 stycznia 2015 roku dotyczą w przeważającym zakresie nowej roli administratora bezpieczeństwa informacji (ABI), któremu powierzony został większy zakres obowiązków. Część obowiązków, realizowanych do tej pory przez GIODO, przeniesiona została na administratorów danych osobowych (ADO) i w konsekwencji, na powołanych przez nich administratorów bezpieczeństwa informacji. Ponadto, wprowadzone zostały uproszczenia w zakresie rejestracji zbiorów danych.
Podstawowe zmiany to:
1. Rejestracja zbiorów
Ustawa o ochronie danych osobowych w nowym kształcie zawiera m.in. szerszy niż dotychczasowy katalog zwolnień z obowiązku rejestracji. Zgodnie z art. 43 ust. 1 ustawy, zwolnienia z obowiązku zgłoszenia zbioru danych do rejestru prowadzonego przez GIODO obejmują 11 przypadków. Od 1 stycznia 2015 roku katalog ten jest rozszerzony o zbiory prowadzone bez wykorzystania systemów informatycznych, w których nie są przetwarzane dane wrażliwe. Przetwarzający dane zwykłe administrator danych osobowych, który wyznaczył w swojej organizacji ABI oraz wypełnił odpowiednie zgłoszenie i przesłał je do biura GIODO,nie musi zgłaszać zbiorów danych do GIODO. Oczywiście na podstawie art. 43 ust. 1a ustawy o ochronie danych osobowych, nie skorzysta ze zwolnienia administrator danych, który przetwarza je w zbiorach, zawierających dane wrażliwe.
2. Nowy rodzaj zgłoszeń – zgłoszenie ABI do GIODO
Zgodnie z nowym art. 46b ust. 2 ustawy o ochronie danych osobowych, w zgłoszeniu powołania ABI, administrator danych osobowych(ADO) będzie musiał zawrzeć:
- oznaczenie samego ADO,
- dane administratora bezpieczeństwa informacji (imię i nazwisko, numer PESEL lub numer i nazwa dokumentu potwierdzającego tożsamość [jeśli numer PESEL nie został nadany], adres do korespondencji, jeśli jest inny niż adres siedziby ADO),
- datę powołania,
- oświadczenie, że powołany przez niego ABI spełnia warunki określone w art. 36a ust. 5 i 7 (o których przeczytacie Państwo w dalszej części postu).
3. Nowe zgłoszenia – nowy rejestr
W związku w wprowadzeniem nowego rodzaju zgłoszeń, powstanie nowy rejestr. Od 1 stycznia 2015 roku, na podstawie art. 46c ustawy o ochronie danych osobowych, GIODO prowadzić będzie ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji (ABI).
4. Nowe obowiązki ABI
Zgodnie ze znowelizowaną ustawą, administrator danych osobowych (ADO) może powołać ABI, do zadań, którego należą:
- zapewnienie przestrzegania przepisów o ochronie danych osobowych,
- prowadzenie rejestru zbiorów danych przetwarzanych przez ADO.
- sprawdzanie zgodność przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych i opracowywanie w tym zakresie sprawozdanie dla GIODO,
- nadzorowanie opracowywania i aktualizacji dokumentacji ochrony danych osobowych oraz przestrzegania zasad w niej określonych,
- zapoznanie osób upoważnionych do przetwarzania danych o z przepisami o ochronie danych osobowych.
5. Nowe kompetencje GIODO
Ze względu na zamiany w obowiązku rejestracyjnym, od 1 stycznia 2015 roku, GIODO przyznano kolejne zadanie. Oprócz prowadzenia rejestru zbiorów danych, GIODO prowadzi również rejestr administratorów bezpieczeństwa informacji oraz udzielać będzie informacji zarówno o zarejestrowanych zbiorach danych, jak i administratorach bezpieczeństwa informacji.
Wprowadzony został również art. 19b, przyznający GIODO prawo zwrócenia się do administratora bezpieczeństwa informacji, wpisanego do rejestru, o dokonanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych i opracowania w tym zakresie sprawozdania dla GIODO.
Oczywiście, niezależnie od dokonania przez ABI sprawdzenia, GIODO będzie mógł przeprowadzić u danego administratora danych kontrolę.