Nowelizacja ustawy o ochronie danych osobowych

Dnia 1 stycznia 2015 r. weszła w życie nowelizacja ustawy o ochronie danych osobowych. Nastąpiła w związku z tym m.in. zmiana statusu i obowiązków administratora bezpieczeństwa informacji – ABI, uregulowana została uproszczona kontrola wewnętrzna wykonywana przez ABI, wprowadzone nowe zasady rejestracji zbiorów danych osobowych. Wprowadzone rozwiązania mają również na celu przygotowanie administratorów danych do stosowania unormowań zapowiadanych w projekcie rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych.

Najważniejszym pytaniem na które muszą odpowiedzieć sobie obecnie przedsiębiorcy (administratorzy danych) brzmi: czy powoływać ABI? Powołanie ABI prowadzi do konieczności wprowadzenia pewnych zmian w organizacji. ABI podlega zgłoszeniu do rejestracji w GIODO i wówczas administrator danych zwolniony jest z obowiązku rejestracji zbiorów danych osobowych przetwarzanych przez siebie, z wyłączeniem zbiorów danych zawierających dane osobowe wrażliwe.

Przedsiębiorca powinien w takiej sytuacji zadać sobie pytanie, czy i jakie zbiory danych zostaną wyłączone z obowiązku rejestracyjnego dzięki powołaniu ABI. Warto także pamiętać że od 1 stycznia 2015 r. do obowiązków ABI należy prowadzenie jawnego rejestru zbiorów danych osobowych przetwarzanych przez administratora danych. Zbiory, które nie są rejestrowane w GIODO, będą więc nadal rejestrowane, tyle tylko, że przez ABI. Środki niezbędne dla prowadzenia takiego rejestru zapewnia przedsiębiorca – administrator danych.

Dodatkowym zadaniem ABI jest prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych. Potencjalną, poza wyłączeniem zbiorów danych z obowiązku rejestracyjnego, korzyścią dla administratora danych jest możliwość dokonywania przez ABI sprawdzeń na polecenie GIODO. Idea tego rozwiązania jest taka, że zamiast kontroli przez GIODO administrator danych będzie kontrolowany przez własnego ABI, który o rezultatach takiej kontroli będzie informował GIODO. Jednakże GIODO może nadal dokonać kontroli po sprawdzeniu przez ABI.

Decyzja podjęta przez przedsiębiorcę – administratora danych, warto aby uwzględniała także elementy wizerunkowe, gdyż powołanie ABI może być postrzegane jako wyraz troski o ochronę danych osobowych w przedsiębiorstwie.

Obowiązki ABI

Obowiązki nałożone na ABI można podzielić na dwie grupy: obowiązki związane z zapewnieniem przestrzegania przepisów o ochronie danych osobowych oraz obowiązki związane z rejestracją zbiorów danych osobowych.
Kluczowymi zadaniem ABI jest zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

1)sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

2)nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych,

3)zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Powołanie ABI jest uprawnieniem, a nie obowiązkiem administratora danych. W przypadku niepowołania ABI, jego zadania wykonuje sam administrator danych, z wyłączeniem obowiązku sporządzania sprawozdania i obowiązku prowadzenia wewnętrznego rejestru zbiorów danych przetwarzanych przez administratora danych.

Terminy na podjęcie decyzji

ABI wyznaczony przed dniem 1 stycznia 2015 r. powinien zostać zgłoszony do rejestracji GIODO do dnia 30 czerwca 2015 r. Jeżeli administrator danych zaniecha zgłoszenia dotychczasowego ABI do rejestracji, po 30 czerwca 2015 r. przestaje on pełnić tę funkcję, a zadania ABI (z wyłączeniem obowiązku sporządzania sprawozdania) zobowiązany jest wykonywać administrator danych, który ponosi pełną odpowiedzialność za przestrzeganie przepisów o ochronie danych osobowych. ABI zgłoszeni do rejestracji GIODO są wpisywani do ogólnokrajowego, jawnego rejestru. Zgłoszenia powołania ABI do rejestracji GIODO oraz zgłoszenia odwołania ABI należy dokonać przy użyciu wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji, które stanowią załączniki do rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r.

Nowelizacja, w tym zakresie, nie ma wpływu na dotychczasowe obowiązki administratora danych. Był on i nadal jest odpowiedzialny za właściwe, zgodne zorganizowanie procesu przetwarzania danych osobowych.