Serwis poruszający zagadnienia prawa internetowego

o E-commerce | 11 lutego 2015

Nowe obowiązki związane z ochroną danych osobowych.

Button shield security virus business web icon sign1 Stycznia 2015r. weszła w życie ustawa o ułatwieniu wykonywania działalności gospodarczej (Dz.U.2014.1662) wprowadzająca liczne zmiany do ustaw szczegółowych, w tym do ustawy o ochronie danych osobowych. W tym artykule przedstawiono najważniejsze zmiany i praktyczne rozwiązania, do których stosowania zobowiązani są przedsiębiorcy, również ci, którzy prowadzącą działalność za pośrednictwem Internetu.

Przypomnieć należy, że administrator danych osobowych może w zakresie prowadzonego przedsiębiorstwa powołać osobę wykonującą zadania związane z ochroną danych osobowych. Jeśli administratorem danych osobowych jest osoba prawna (np. spółka z o.o.) ma ona taki obowiązek. Osoba pełniąca tę funkcję nazywa się Administratorem Bezpieczeństwa Informacji (ABI). Może nim być wyznaczony pracownik lub osoba z zewnątrz. Wspomniane zmiany w prawie w dużym stopniu dotyczą właśnie kompetencji ABI.

Nowe zadania ABI:

1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie  sprawozdania dla administratora danych,

b) nadzorowanie opracowania i aktualizowania dokumentacji, oraz przestrzegania zasad w niej określonych,

c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

2. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, zawierającego nazwę zbioru oraz odpowiednie  informacje.

Administratorem bezpieczeństwa informacji może być osoba, która:

1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;

2. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;

3. nie była karana za umyślne przestępstwo.

Co ważne, Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań. Zatem ABI powinien być w odpowiednim stopniu niezależny i mieć kompetencję do egzekwowania ochrony danych osobowych od pracowników upoważnionych do przetwarzania danych.

Wskazać należy, że ABI według cytowanego przepisu nie musi posiadać wyższego wykształcenia. Wymóg taki przewidywał początkowo projekt ustawy, jednak został on zmieniony i uchwalony w obecnym kształcie. Okoliczność ta może mieć istotne znaczenie dla wielu osób mających wiedzę i doświadczenie w dziedzinie bezpieczeństwa informacji a nieposiadających wyższego wykształcenia.

W przypadku niepowołania ABI jego zadania wykonuje administrator danych osobiście.

Z licznych obowiązków ABI, wymienić należy w tym miejscu obowiązek sporządzenia sprawozdania zgodności przetwarzania danych osobowych z przepisami. Można powiedzieć, że ABI powinien regularnie dokonywać audytu w danym przedsiębiorstwie a następnie na jego podstawie przygotowywać sprawozdanie, które powinno zawierać:

1. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania;

2. imię i nazwisko administratora bezpieczeństwa informacji;

3. wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;

4. datę rozpoczęcia i zakończenia sprawdzenia;

5. określenie przedmiotu i zakresu sprawdzenia;

6. opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;

7. stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem;

8. wyszczególnienie załączników stanowiących składową część sprawozdania;

9. podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej – dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania;

10. datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.

Sprawozdanie takie przedstawia administratorowi danych osobowych stan przestrzegania ochrony w firmie, i wskazuje na zauważone uchybienia oraz sposoby ich naprawy. W ten sposób właściciel firmy ma możliwość poznać w jaki sposób funkcjonują procedury ochrony danych osobowych w prowadzonym przedsiębiorstwie.

Administrator danych jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie ABI w terminie 30 dni od dnia jego powołania lub odwołania. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji.

Ważne jest również to, administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji nie ma już obowiązku rejestracji zbiorów danych osobowych. W takim przypadku, jak powiedziano powyżej, to właśnie ABI ma obowiązek prowadzenia rejestru zbiorów danych, których nie trzeba już rejestrować bezpośrednio w GIODO.

Wprowadzone zmiany mają na celu zwiększenie wewnętrznej kontroli ochrony danych osobowych, poprzez przyznanie ABI większej ilości obowiązków ale również większej niezależności.

Zadaj pytanie

Newsletter

Chcesz otrzymywać najważniejsze informacje dotyczące Prawa Internetu zapisz się na listę.

Wszelkie prawa zastrzeżone przez Prawo Internetu 2014

Za kreację graficzną odpowiadała
Agencja Interaktywna Advanced Art