Zmiany w ochronie danych osobowych po 1 stycznia 2015 r.

Autor: | 2 lutego 2015

Nowelizacja ustawy o ochronie danych osobowych wprowadziła od 1 stycznia 2015 r. kilka istotnych zmian dotyczących m.in. funkcji ABI’ego czy rejestracji zbiorów danych.

Nowelizacja ustawy o ochronie danych osobowych z 1 stycznia 2015 r.  wprowadza kilka zmian. Zmiany te głównie dotyczą funkcji Administratora Bezpieczeństwa Informacji (tzw. ABI’abiego) i rejestracji zbiorów danych osobowych.

Jeśli chodzi o funkcję ABI’ego, to Administrator Danych Osobowych (ADO) może go powołać (nie jest to obowiązkowe). Należy jednak pamiętać, że w przypadku niepowołania ABI’ego, jego zadania wykonywał będzie sam ADO (art. 36b o.d.o.), z wyjątkiem obowiązku sporządzania sprawozdania oraz obowiązku prowadzenia  rejestru zbiorów danych przetwarzanych przez ADO.

Po nowelizacji podstawowym zadaniem ABI’ego jest zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  • nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną oraz przestrzegania zasad w niej określonych,
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie
    danych osobowych.
    Dodatkowym zadaniem ABI’ego jest prowadzenie rejestru zbiorów danych osobowych „zwykłych” przetwarzanych przez administratora danych (zgodnie z art. 36a ust. 2 pkt 2 o.d.o.), zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7 o.d.o.

Należy pamiętać, że powołanego ABI’ego, ADO musi zgłosić do rejestracji GIODO. Funkcję ABI’ego może pełnić osoba, która:

  • ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
  • posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
  • nie była karana za umyślne przestępstwo.

Odnośnie przesłanki posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych (art. 36a ust. 5 pkt 2 o.d.o.) jADO sam ocenia czy ABI spełnia tą przesłankę.

Odnośnie rejestracji zbiorów danych osobowych to tak jak przed nowelizacją, każdy ADO jest zobowiązany zgłosić swoje zbiory danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO). Nowelizacja przepisów ustawy o ochronie danych osobowych w odniesieniu do rejestracji dodała nowe, dodatkowe zwolnienia od rejestracji zbiorów danych osobowych w GIODO. Przykładem nowych wyłączeń jest prowadzenie zbioru danych osobowych (tzw. zwykłych) w postaci papierowej (nie jest przetwarzany przy użyciu systemu informatycznego). Drugim nowym wyłączeniem jest nie zgłaszanie zbiorów danych osobowych „zwykłych” przez ADO w przypadku powołania ABI’ego i zgłoszenia go do rejestracji GIODO.