Od początku roku obowiązują przepisy, które nakładają na firmy nowe obowiązki w zakresie ochrony danych osobowych i ułatwiają ich przetwarzanie. Od teraz działający w strukturach firmy administrator bezpieczeństwa informacji (ABI) będzie miał większy zakres obowiązków. Ustawa wprowadza także istotne uproszczenia w zakresie rejestracji zbiorów danych. Zgodnie z ustawą zwolnienie z obowiązku zgłoszenia zbioru obejmie także te zbiory, które nie są prowadzone w wersji elektronicznej i nie zawierają danych wrażliwych. Przedsiębiorca, który nie powoła ABI, będzie musiał rejestrować zbiory na dotychczasowych zasadach.
– Ustawa przewiduje możliwość powołania administratora bezpieczeństwa informacji i określa jego strukturę w hierarchii. Ma to być osoba, która podlega bezpośrednio kierownikowi jednostki. Obecnie administratorem jest osoba pełniąca dowolne stanowisko, a obowiązki administratora bezpieczeństwa informacji są jej zlecane niejako dodatkowo. Teraz będzie musiała mieć zapewnioną niezależność organizacyjną – mówi w rozmowie z agencją Newseria Biznes Iwona Kozieł, ekspert ds. ochrony danych osobowych w Kancelarii Lex Artist.
Ustawa reguluje, że ABI może zostać osoba fizyczna o pełni praw do czynności prawnych, która korzysta z praw publicznych i nie była karana za umyślne przestępstwo. Nie może być to osoba przypadkowa, musi mieć odpowiednie kompetencje.
– Administrator bezpieczeństwa informacji musi być osobą zajmującą się wyłącznie ochroną danych osobowych. Inne obowiązki może realizować jedynie wtedy, kiedy nie prowadzi to do konfliktu z wypełnianiem obowiązków nałożonych przez ustawę – zaznacza Kozieł.
Do obowiązków administratora będzie należało m.in. sprawdzanie zgodności przetwarzania danych z przepisami, nadzorowanie aktualności dokumentacji i prowadzenie rejestru zbioru danych.
– Nie wszystkie zbiory trzeba będzie zgłaszać, tak jak obecnie, Generalnemu Inspektorowi Ochrony Danych Osobowych, a ABI będzie taki rejestr prowadził wewnętrznie u każdego przedsiębiorcy, gdzie zostanie powołany. Zmiany dotyczą jedynie tych podmiotów, które zdecydują się na zarejestrowanie administratora danych osobowych. Jedną z zasadniczych zmian wynikających z nowelizacji jest bowiem to, że powołanie administratora będzie wymagało zgłoszenia do GIODO – tłumaczy ekspertka.
Zgłoszenie powołanego administratora musi nastąpić nie później niż w ciągu 30 dni od jego powołania (ten sam termin obowiązuje w przypadku odwołania). W związku z nowym rodzajem zgłoszeń GIODO ma prowadzić ogólnokrajowy jawny rejestr ABI.
Jak podkreśla Kozieł, ustawa ma zmniejszyć formalności administracyjne związane ze zgłaszaniem danych, zwiększy się też katalog zwolnień z obowiązku zgłaszania do GIODO.
– Formalności związane ze zgłoszeniem zbiorów danych będą się koncentrowały wyłącznie w obrębie spółek, czyli nie trzeba będzie ich zgłaszać nigdzie indziej, jeżeli nie będziemy mieć tam danych wrażliwych – zaznacza ekspertka.
Małe przedsiębiorstwa ze względu na koszty związane z zatrudnieniem kompetentnych osób i koniecznością stworzenia nowego stanowiska, mogą zrezygnować z administratora. Większe spółki będą natomiast praktycznie musiały wyznaczyć pracownika lub osobę zatrudnioną na zasadzie outsourcingu.
– Warto dostosować naszą dokumentację z zakresu ochrony danych osobowych do nowych wymogów prawnych, przygotować wzory rejestrów, które też będą musiały być prowadzone, i zastanowić się, kto będzie pełnił funkcję administratora – przypomina Iwona Kozieł.
Zmiany w ustawie o ochronie danych osobowych. Lepszy nadzór nad przetwarzaniem danych
Kalendarz imprez
Pn | Wt | Śr | Cz | Pt | So | Nd |
28 | 29 | 30 | 31 | 1 | 2 | 3 |
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 | 1 |