Nowelizacja przepisów ustawy o ochronie danych osobowych

Z początkiem nowego roku weszła w życie zmiana przepisów o ochronie danych osobowych, która powoduje, że każdy przedsiębiorca powinien rozważyć czy chce powołać administratora bezpieczeństwa informacji nowego typu (ABI). Dotyczy to również tych przedsiębiorców, którzy wcześniej powołali już ABI. Zmiana regulacji jest bowiem na tyle istotna, że dotychczasowi ABI mogą pełnić swoją funkcję tylko do 30 czerwca 2015 r.

Jeśli ABI zostanie powołany:

1. przedsiębiorca zostanie zwolniony z rejestracji zbiorów danych osobowych w GIODO, ale
2. konieczne będzie zarejestrowanie nowego ABI w rejestrze prowadzonym przez GIODO;
3. zbiory danych osobowych przedsiębiorcy będą rejestrowane przez samego ABI;
4. ABI będzie mógł być zobowiązany do przeprowadzenia kontroli przedsiębiorcy na zlecenie GIODO.

Jeżeli nowy ABI nie zostanie powołany:

1. przedsiębiorca będzie zobowiązany do rejestracji zbiorów danych osobowych w GIODO;
2. nie będzie musiał rejestrować ABI w GIODO;
3. kontrolę przedsiębiorcy prowadzić będą pracownicy GIODO.

Dodatkowo ci przedsiębiorcy, którzy działają w międzynarodowych grupach kapitałowych, powinni na nowo zbadać czy przekazanie danych osobowych do podmiotów z grupy położonych poza UE będzie wymagało zgody GIODO, czy też będzie można dokonywać takich transferów bez tej zgody ze względu na przyjęte w grupie wewnętrzne regulacje lub zawarte między podmiotami z grupy umowy.

Nowy ABI
ABI to osoba wyznaczona przez administratora danych do sprawowania nadzoru nad przestrzeganiem zasad ochrony danych.

Nowe przepisy wyraźnie wskazują, że powołanie ABI będzie uprawnieniem a nie obowiązkiem administratora. ABI, którzy zostali powołani przed wejściem w życie omawianych przepisów mogą pełnić swoją funkcję do czasu zgłoszenia ich do nowoutworzonego rejestru ABI (o czym niżej), nie dłużej jednak niż do dnia 30 czerwca 2015 r.

Dotychczas każdy mógł zostać wyznaczony do pełnienia funkcji ABI. Po omawianych zmianach ABI będzie musiał spełniać następujące warunki:

• mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych;
• posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych;
• nie być karanym za umyślne przestępstwo.

Nowe przepisy określają szczegółowy zakres zadań ABI. Będzie do nich należeć zapewnianie przestrzegania przepisów o ochronie danych osobowych oraz – co jest szczególnie istotną nowością – prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

W ramach nadzoru nad przestrzeganiem przepisów ABI będzie zobowiązany do:

• sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
• nadzorowania opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki ich ochrony oraz przestrzegania zasad w niej określonych,
• szkolenia osób upoważnionych do przetwarzania danych osobowych w zakresie przepisów o ochronie danych osobowych.

ABI będzie musiał podlegać bezpośrednio kierownikowi jednostki organizacyjnej. Nowe przepisy przewidują możliwość powołania zastępców ABI oraz zezwalają na wykonywanie przez ABI innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania jego podstawowych zadań.

Z uwagi na zmianę charakteru ABI, utworzony zostanie centralny rejestr ABI prowadzony przez GIODO. Powołanie i odwołanie ABI administrator danych zobowiązany będzie zgłosić do tego rejestru.

ABI nowego typu, na żądanie GIODO, będzie zobowiązany do dokonania sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Oznacza to, że ABI, chociaż powoływany przez administratora, będzie kontrolował swój macierzysty podmiot na zlecenie GIODO.

Prowadząc kontrolę na rzecz GIODO, ABI będzie zobowiązany do ustalenia stanu faktycznego i zebrania dowodów potwierdzających ustalone przez niego fakty. ABI będzie mógł także żądać udzielenia informacji przez wskazane przez niego osoby czy przeprowadzić oględziny. Z przeprowadzanych w ramach sprawdzenia czynności ABI będzie musiał sporządzić protokół. Efektem sprawdzenia prowadzonego przez ABI będzie sprawozdanie, które przekazywane jest administratorowi danych.

Nowe kompetencje ABI opisane powyżej wyraźnie wskazują, że chociaż ABI będzie wyznaczany przez administratora jego pozycja w strukturze organizacyjnej przedsiębiorstwa będzie szczególna, zwłaszcza w przypadku działania w wyniku żądania GIODO.

Rejestracja zbiorów danych osobowych przez ABI, a nie przez GIODO
Nowelizacja wprowadza nowe, generalne zwolnienie z obowiązku rejestracji zbiorów danych osobowych przez GIODO.

Administrator danych, który powoła i zgłosi ABI do rejestru prowadzonego przez GIODO będzie zwolniony z obowiązku zgłaszania GIODO prowadzonych przez siebie zbiorów danych osobowych. Powyższe zwolnienie nie będzie dotyczyło jednak zbiorów zawierających tzw. dane wrażliwe.

Nie oznacza to jednak, że zbiory danych prowadzone przez administratorów nie będą w ogóle rejestrowane. Obowiązek ten zostanie bowiem przeniesiony z GIODO na ABI, który będzie prowadził wewnętrzny rejestr prowadzonych przez administratora zbiorów danych osobowych.

ABI nie będzie musiał prowadzić rejestru zbiorów danych, które dotychczas korzystały ze zwolnienia od zgłoszenia do GIODO tj. w szczególności:

• zbiorów danych przetwarzanych w związku z zatrudnieniem u administratora danych lub w związku ze świadczeniem na rzecz administratora usług na podstawie umów cywilnoprawnych;
• zbiorów danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
• zbiorów danych zawierających wyłącznie dane powszechnie dostępne.

Nowością jest, że obowiązek rejestracji nie będzie dotyczył zbiorów danych prowadzonych w kartotekach, czy w inny sposób wyłącznie na piśmie (gdzie nie korzysta się z systemów informatycznych). Wyjątek ten nie obejmuje jednak zbiorów zawierających dane wrażliwe tj. m.in. ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przynależność wyznaniową, partyjną lub związkową czy przedstawiają informacje o stanie zdrowia.

Rejestr zbiorów danych prowadzony wewnętrznie przez ABI będzie jawny. ABI zobowiązany jest udostępnić prowadzony przez siebie rejestr każdemu zainteresowanemu.

Prowadzony przez ABI rejestr będzie musiał zawierać – dla każdego objętego nim zbioru danych osobowych – informacje m.in. o podstawie prawnej przetwarzania danych w zbiorze; celu przetwarzania; kategorii osób, które dane zawarte są w zbiorze; zakresie przetwarzanych danych; sposobie ich zbierania i udostępniania; odbiorcach danych oraz transferze danych do państw trzecich.