Zmiany w ochronie danych osobowych po 1 stycznia 2015 roku.

[vc_row][vc_column][vc_column_text]fotolia_52075566_xs-300x201Wchodzące w życie od dnia 1 stycznia 2015 roku, nowe przepisy o ochronie danych osobowych, wprowadzają kilka kluczowych zmian. Najważniejszą z nich jest zobligowanie podmiotu do dokonania wyboru pomiędzy obowiązkiem zgłoszenia zbiorów danych do GIODO a wyznaczeniem ABI (administratora bezpieczeństwa informacji) i obowiązku zgłoszenia go do rejestru ABI prowadzonego przez GIODO. Wyznaczenie ABI zwalnia podmiot z obowiązku zgłoszenia zbiorów danych do GIODO, z wyłączeniem danych wrażliwych, gdzie obowiązek ten jest ciągle zachowany. Kolejne zmiany dotyczą m.in. sposobu prowadzenia dokumentacji, wskazania obowiązków ABI, jak również zasad opracowania sprawozdań dla administratora danych.

W nowych przepisach prawodawca ustanowił minimum obowiązków jakie spoczywają na ABI, jednakże nadmienić należy, iż zakres obowiązków ABI pozostaje katalogiem otwartym,  co w praktyce oznacza, że administrator danych osobowych może powierzyć ABI dodatkowe zadania zgodnie z np. przyjętym zakresem ochrony danych osobowych, czy innymi czynnikami które wpływają na  przetwarzanie danych osobowych w danym podmiocie. Do podstawowych zadań ABI, wymaganych przez prawodawcę należeć będzie (Dz. U. z 27 listopada 2014 roku, poz. 1662):

  1. Zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
    • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
    • nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 (dokumentacja opisująca sposób przetwarzania danych, środki techniczne oraz organizacyjne zapewniające ochronę przetwarzanych danych) oraz przestrzegania zasad w niej określonych,
    • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
  2. Prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2?4a i 7. (np. informacje niejawne)

Kolejnymi zmianami dotyczącymi bezpośrednio ABI, jest określenie przez prawodawcę wymagań jakie musi on spełniać, wymagania te są dość ogólnikowe, aby nie utrudniać bieżącej działalności podmiotów, jednakże są wskazaniem dla administratora danych podczas wyznaczania danej osoby na tą funkcję. Osoba obejmująca funkcję ABI powinna posiadać przede wszystkim merytoryczną wiedzę w zakresie ochrony danych osobowych,  nie być karana za przestępstwa umyślne, oraz korzystać z pełni praw.

Aby ABI mógł skutecznie wypełniać swoje obowiązki musi podlegać bezpośrednio kierownictwu/zarządowi podmiotu, jednocześnie powinien mieć zagwarantowaną pełną niezależność, tylko dzięki temu będzie mógł skutecznie doradzać i wspomagać administratora danych w zgodnym z prawem przetwarzaniu danych osobowych, dlatego celem wyeliminowania elementów zależności, w tym różnych form oddziaływania, w tym oddziaływań bezpośrednich np. zależność pracodawca ? pracownik, w przypadku decyzji o powołaniu ABI, optymalnym rozwiązaniem wydaje się rozważenie outsourcingu ABI.

Całkowicie nową rzeczą jaką wprowadził prawodawca, jest rejestr Administratorów Bezpieczeństwa Informacji, który będzie prowadzony przez GIODO. Administrator danych osobowych w terminie 30 dni od powołania ABI będzie miał czas na jego  zgłoszenie do rejestru w GIODO. Każda zmiana dotycząca ABI powinna być również zgłaszana w ustawowo przewidzianych terminach pod rygorem nieważności.

Nowelizacja przepisów zobowiązuje ABI do zgłaszania wszelkich uchybień w związku z przetwarzaniem danych osobowych do GIODO, oraz daje możliwość zlecenia ABI przez GIODO kontroli zastępczej, po wcześniejszym wskazaniu zakresu i terminu kontroli.  Wyniki przeprowadzonej kontroli sprawozdawane będą bezpośrednio do GIODO. Rozwiązanie to sprawia, że ABI w rzeczywistości stanie się organem kontrolnym działającym w imieniu GIODO, jednakże dodatkowo,  prawodawca pozostawił GIODO możliwość przeprowadzenia własnej kontroli u administratora danych.

Zmiana przepisów dotyczących ABI, rozszerzenie kompetencji GIODO do prowadzenia rejestru ABI oraz przeniesienie niektórych właściwości organu na ABI, w rzeczywistości odciąży GIODO, nie pozbawiając go przy tym funkcji kontrolnych. Obecny kształt nowelizacji uniemożliwia jednoznaczne określenie kosztów jakie w związku z zachodzącymi  zmianami będą musiały ponieść podmioty, koszty te będzie można dopiero określić po wydaniu odpowiednich rozporządzeń przez Ministra właściwego dla spraw administracji publicznej.

aut. Rafał Surowy[/vc_column_text][/vc_column][/vc_row]