Nowelizacja ustawy o ochronie danych osobowych

nowelizcjaWielkimi krokami zbliża się kolejna nowelizacja ustawy o ochronie danych osobowych. Ostatnia miała miejsce w marcu 2011 roku. „Obecna” ma wejść w życie z dniem 1 stycznia 2015 roku[1] i jest związana z szerszym pakietem zmian prawnych w ramach tzw. IV pakietu deregulacyjnego Ministerstwa Gospodarki dla przedsiębiorców. W ramach poniższego artykułu skoncentrujemy się wyłącznie na zmianach jakie zostaną wprowadzone w ustawie o ochronie danych osobowych.

Pierwszą zmianą jest rozszerzenie obowiązków GIODO o prowadzenie rejestru Administratorów Bezpieczeństwa Informacji (ABI). GIODO, zgodnie z kolejną zmianą będzie miał możliwość zwrócenia się do ABI w celu zlecenie „kontroli zastępczej” w imieniu GIODO wskazując zakres i termin takiej kontroli. Powyższa sytuacja może mieć miejsce jeżeli np. do GIODO wpłynie skarga na przetwarzanie danych osobowych u administratora danych. W obecnym stanie prawnym GIODO wyłącznie sam mógłby się podjąć przeprowadzenia kontroli (wysyłając inspekcje). Nowe rozwiązania pozwolą na przeprowadzenie kontroli ABI, który następnie będzie miał obowiązek wysłać wyniki kontroli do GIODO. Nowelizacja określa jakie wymogi ma spełniać sprawozdanie przesyłane do GIODO. Oczywiście GIODO dalej będzie miał możliwość bezpośredniej kontroli administratora danych poprzez wysłanie inspekcji. Jednakże posiadanie profesjonalnego ABIego, który będzie czuwał nad poziomem bezpieczeństwa przetwarzania danych z pewnością ograniczy możliwość takiej kontroli i negatywnych skutków jakie mogą z niej płynąć.
Kolejną zmianą jest określenie obowiązków ABIego, które obecnie nie są uregulowane w ustawie o ochronie danych osobowych. Oprócz standardowych obowiązków jakie obecnie pełni ABI jak np. czuwanie nad poziomem bezpieczeństwa przetwarzania danych osobowych, zapoznawanie pracowników z zasadami przetwarzania danych osobowych itp., nowelizacja ustawy o ochronie danych osobowych dodaje jeszcze jeden obowiązek – prowadzenie jawnego rejestru zbiorów danych osobowych. Szczegółowe zasady pełnienia funkcji ABI mają zostać uregulowane rozporządzeniem ministra właściwego do spraw administracji publicznej. Dodatkowo nowelizacja określa jakie wymogi powinna spełniać osoba, która ma pełnić funkcję ABI. Do wskazanych wymogów należy posiadanie: pełnej zdolności do czynności prawnych oraz pełni praw publicznych, wyższego wykształcenia oraz odpowiedniej wiedzy z zakresu ochrony danych osobowych. ABI nie może być również karany za przestępstwo popełnione z winy umyślnej. Ustawodawca przewidział również możliwość powołania zastępców ABI. Zastępcy powinni spełniać te same wymogi formalne co ABI.
Administrator danych, który wyznaczy ABI nie będzie miał obowiązku, aby zgłaszać zbiory do rejestracji w GIODO[2]. Jest to niewątpliwie ukłon w stronę podmiotów, które zdecydują się na wyznaczenie ABIego. Z drugiej jednak strony administrator danych będzie miał obowiązek zgłoszenia powołania i odwołania ABI, jednakże wydaje się to być mniej uciążliwe niż rejestracja i aktualizacja niekiedy kilkudziesięciu zbiorów danych osobowych.
Ostatnie zmiany w ustawie o ochronie danych osobowych dotyczą ułatwienia transferów danych do krajów niezapewniających odpowiedniego poziomu bezpieczeństwa przetwarzanych danych. Zgodnie ze zmianami nie będzie potrzebna zgoda GIODO na transfer danych jeżeli administrator danych przyjął i stosuje standardowe klauzule umowne lub wiążące reguły korporacyjne.

Podsumowując, należy pozytywnie ocenić zaproponowane zmiany. Znaczącemu ograniczeniu ulegnie obowiązek rejestracji zbiorów danych osobowych, który obecnie jest bardzo uciążliwy zarówno dla podmiotów prywatnych jak i państwowych. Ułatwieniu ulegnie również transfer danych do krajów trzecich. Trudniej jednoznacznie ocenić rejestracje ABI. Podmiot, który zdecyduje się na tego typu krok powinien mieć pewność, iż ABI będzie należycie pełnił swoje obowiązki i w ten sposób właściwie zabezpieczał interesy administratora danych.

 

[1] https://www.premier.gov.pl/wydarzenia/decyzje-rzadu/projekt-ustawy-o-ulatwieniu-wykonywania-dzialalnosci-gospodarczej.html

[2] Za wyjątkiem zbiorów zawierających dane wrażliwe w rozumieniu art. 27 ust. 1 ustawy o ochronie danych osobowych.

1 komentarz do wpisu “Nowelizacja ustawy o ochronie danych osobowych

Dodaj komentarz

Administratorem Twoich dobrowolnie podanych danych osobowych jest Auraco sp. z o.o. z siedzibą przy ul. Solec 81B/73A, 00-382 Warszawa. Twoje dane osobowe będą przetwarzane w celu dodania i opublikowania komentarza na zasadach określonych w regulaminie. Auraco sp. z o.o. nie będzie udostępniać Twoich danych osobowych, chyba że będzie to konieczne z uwagi na obowiązujące przepisy prawa. Przysługuje Ci prawo dostępu oraz poprawienia danych osobowych.