Zmiany w ustawie o ochronie danych osobowych. Lepszy nadzór nad przetwarzaniem danych

rp_2dba5ffb21_1347085142-koziel-firmy.png

CEO Magazyn Polska

Od początku roku obowiązują przepisy, które nakładają na firmy nowe obowiązki w zakresie ochrony danych osobowych i ułatwiają ich przetwarzanie. Od teraz działający w strukturach firmy administrator bezpieczeństwa informacji (ABI) będzie miał większy zakres obowiązków. Ustawa wprowadza także istotne uproszczenia w zakresie rejestracji zbiorów danych. Zgodnie z ustawą zwolnienie z obowiązku zgłoszenia zbioru obejmie także te zbiory, które nie są prowadzone w wersji elektronicznej i nie zawierają danych wrażliwych. Przedsiębiorca, który nie powoła ABI, będzie musiał rejestrować zbiory na dotychczasowych zasadach.

Ustawa przewiduje możliwość powołania administratora bezpieczeństwa informacji i określa jego strukturę w hierarchii. Ma to być osoba, która podlega bezpośrednio kierownikowi jednostki. Obecnie administratorem jest osoba pełniąca dowolne stanowisko, a obowiązki administratora bezpieczeństwa informacji są jej zlecane niejako dodatkowo. Teraz będzie musiała mieć zapewnioną niezależność organizacyjną – mówi w rozmowie z agencją Newseria Biznes Iwona Kozieł, ekspert ds. ochrony danych osobowych w Kancelarii Lex Artist.

Ustawa reguluje, że ABI może zostać osoba fizyczna o pełni praw do czynności prawnych, która korzysta z praw publicznych i nie była karana za umyślne przestępstwo. Nie może być to osoba przypadkowa, musi mieć odpowiednie kompetencje.

Administrator bezpieczeństwa informacji musi być osobą zajmującą się wyłącznie ochroną danych osobowych. Inne obowiązki może realizować jedynie wtedy, kiedy nie prowadzi to do konfliktu z wypełnianiem obowiązków nałożonych przez ustawę – zaznacza Kozieł.

Do obowiązków administratora będzie należało m.in. sprawdzanie zgodności przetwarzania danych z przepisami, nadzorowanie aktualności dokumentacji i prowadzenie rejestru zbioru danych.

Nie wszystkie zbiory trzeba będzie zgłaszać, tak jak obecnie, Generalnemu Inspektorowi Ochrony Danych Osobowych, a ABI będzie taki rejestr prowadził wewnętrznie u każdego przedsiębiorcy, gdzie zostanie powołany. Zmiany dotyczą jedynie tych podmiotów, które zdecydują się na zarejestrowanie administratora danych osobowych. Jedną z zasadniczych zmian wynikających z nowelizacji jest bowiem to, że powołanie administratora będzie wymagało zgłoszenia do GIODO – tłumaczy ekspertka.

Zgłoszenie powołanego administratora musi nastąpić nie później niż w ciągu 30 dni od jego powołania (ten sam termin obowiązuje w przypadku odwołania). W związku z nowym rodzajem zgłoszeń GIODO ma prowadzić ogólnokrajowy jawny rejestr ABI.

Jak podkreśla Kozieł, ustawa ma zmniejszyć formalności administracyjne związane ze zgłaszaniem danych, zwiększy się też katalog zwolnień z obowiązku zgłaszania do GIODO.

Formalności związane ze zgłoszeniem zbiorów danych będą się koncentrowały wyłącznie w obrębie spółek, czyli nie trzeba będzie ich zgłaszać nigdzie indziej, jeżeli nie będziemy mieć tam danych wrażliwych – zaznacza ekspertka.

Małe przedsiębiorstwa ze względu na koszty związane z zatrudnieniem kompetentnych osób i koniecznością stworzenia nowego stanowiska, mogą zrezygnować z administratora. Większe spółki będą natomiast praktycznie musiały wyznaczyć pracownika lub osobę zatrudnioną na zasadzie outsourcingu.

Warto dostosować naszą dokumentację z zakresu ochrony danych osobowych do nowych wymogów prawnych, przygotować wzory rejestrów, które też będą musiały być prowadzone, i zastanowić się, kto będzie pełnił funkcję administratora – przypomina Iwona Kozieł.