Zmiany w ustawie o ochronie danych osobowych

23 października 2014 roku Sejm przyjął tzw. IV ustawę deregulacyjną, która wprowadziła zmiany w blisko trzydziestu innych ustawach, w tym także w ustawie o ochronie danych osobowych.

Od 1 stycznia 2015 r. zaczęły  obowiązywać znowelizowane przepisy ustawy o ochronie danych osobowych

Wprowadzone nowe przepisy zmierzają do zwiększenia skuteczności oddziaływania GIODO na stan i poziom przestrzegania ochrony danych osobowych w Polsce. Nowelizacja ustawy jest również częścią procesu implementacji unijnej Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. UE L 281 z 23.11.1995, str. 31, z późn. zm.)

Duże zmiany dla Administratorów Danych Osobowych (ABI)
Nowelizacja ustawy o ochronie danych osobowych doprecyzowuje zarówno wymagania w stosunku do ABI, jak i jego rolę i zadania. Zgodnie z przewidzianymi zmianami administrator danych osobowych nie ma obowiązku wyznaczania administratora bezpieczeństwa informacji. Jednak w przypadku jego niepowołania, wszystkie obowiązki przewidziane dla ABI z wyjątkiem sporządzania sprawozdania, ADO będzie musiał wykonywać sam.

Zgłoszenia  ABI
Nowy art. 46b ust. 2 ustawy o ochronie danych osobowych, w zgłoszeniu powołania ABI, administrator danych osobowych będzie musiał zawrzeć:

• oznaczenie samego ADO,

• dane administratora bezpieczeństwa informacji (imię i nazwisko, numer PESEL lub numer i nazwa dokumentu potwierdzającego tożsamość (jeśli numer PESEL nie został nadany), adres do korespondencji, jeśli jest inny niż adres siedziby ADO),

• datę powołania,

• oświadczenie, że powołany przez niego ABI spełnia wymagania stawiane mu przez stawę.

Zgłoszenie powołanego administratora bezpieczeństwa informacji nastąpić musi w terminie 30 dni od dnia jego powołania. 30-dniowy termin przewidziano również dla obowiązku zgłoszenia odwołania administratora bezpieczeństwa informacji.
UWAGA! Ustawodawca przewidział krótki 14-dniowy termin do zgłoszenia zmian jakichkolwiek informacji, które podać należy w samym zgłoszeniu

Rejestr  ABI
W związku w wprowadzeniem nowego rodzaju zgłoszeń, powstanie nowy rejestr. Od 1 stycznia 2015 roku, na podstawie art. 46c ustawy o ochronie danych osobowych, GIODO prowadzić będzie ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji. W rejestrze zawarte będą oczywiście informacje w zakresie węższym, niż przewidziany dla samego zgłoszenia. I tak, poza informacją o ADO, ujawnione w rejestrze będą informacje o ABI: jego imię i nazwisko oraz adres korespondencyjny. Numer PESEL lub numer i nazwa dokumentu potwierdzającego tożsamość nie będą ujawniane w rejestrze. Wykreślenie ABI z omawianego rejestru następować będzie w przypadku zgłoszenia odwołania ABI przez administratora danych osobowych lub w przypadku śmierci ABI. Generalny Inspektor Ochrony Danych Osobowych, zgodnie z art. 46d ust. 2 ustawy, z urzędu wydawał będzie decyzję o wykreśleniu danego ABI z rejestru, jeśli nie będzie spełniał on wymogów, określonych w art. 36a ust. 5 lub 7 ustawy o ochronie danych osobowych w znowelizowanej wersji lub też jeśli ABI nie będzie realizował zadań powierzonych mu zgodnie z art. 36a ust. 2 albo też, gdy ADO nie powiadomi Generalnego Inspektora o odwołaniu ABI.
W przypadku ponownego zgłoszenia przez administratora danych do rejestracji Generalnemu Inspektorowi powołania administratora bezpieczeństwa informacji wykreślonego z rejestru administratorów bezpieczeństwa informacji, Generalny Inspektor, w drodze decyzji administracyjnej:

1. wpisuje administratora bezpieczeństwa informacji do rejestru administratorów bezpieczeństwa informacji po stwierdzeniu, że nie zachodzą przyczyny wykreślenia z rejestru;

2. odmawia wpisania administratora bezpieczeństwa informacji do rejestru administratorów bezpieczeństwa informacji, jeżeli nie zostały usunięte przyczyny wykreślenia z rejestru.

Administrator Danych Osobowych (ABI)
W celu prawidłowego wykonywania swoich zadań, administrator bezpieczeństwa informacji podlegać ma jedynie kierownikowi jednostki organizacyjnej albo osobie fizycznej będącej administratorem danych. Administratorowi bezpieczeństwa informacji zapewnić należy środki i organizacyjną odrębność, gwarantujące niezależne wykonywanie jego zadań.

ABI może być osoba, która:

1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,

2. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,

3. nie była karana za przestępstwo popełnione z winy umyślnej.

Takie same wymagania są stawiane w stosunku do zastępcy ABI .

Administrator danych może powierzyć ABI wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania jego obowiązków.

Ustawowy katalog zadań ABI obejmuje:

1. zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

• sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

• nadzorowanie opracowania i aktualizowania dokumentacji ochrony danych osobowych, oraz przestrzegania zasad w niej określonych,

• zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych

2. prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych, zawierającego nazwę zbioru oraz:

• oznaczenie ADO,

• cel przetwarzania zbiorów,

• opis kategorii osób, których dane dotyczą oraz zakres przetwarzanych danych,

• sposób zbierania oraz udostępniania danych,

• informację o odbiorach lub kategoriach odbiorców, którym dane mogą być przekazywane,

• informację o ewentualnym przekazywaniu danych do państw trzecich.

3. opracowywanie sprawozdania dla ADO i dla GIODO, jeśli tego zażąda.

Szczegółowy zakres sprawozdania
1. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania,

2. imię i nazwisko administratora bezpieczeństwa informacji,

3. wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach,

4. datę rozpoczęcia i zakończenia sprawdzenia,

5. określenie przedmiotu i zakresu sprawdzenia,

6. opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
7. stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem,

8. wyszczególnienie załączników stanowiących składową część sprawozdania,

9. podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania,

10. datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.

Zmiany w obowiązku rejestracyjnym
Jedną z kluczowych zmian jest zwolnienie z obowiązku rejestracji:

• zbiorów administratorów danych, którzy  powołali i zgłosili Generalnemu Inspektorowi Danych Osobowych administratora bezpieczeństwa informacji. Nie dotyczy to jednak zbiorów, w których przetwarzane są dane wrażliwe;

• „tradycyjnych” zbiorów danych (które nie są prowadzone z wykorzystaniem systemów informatycznych), o ile nie będą zawierały danych wrażliwych;

Nowe zasady przekazywania danych do państw trzecich
Od 1 stycznia 2015 roku obowiązywać będzie zmieniony art. 48, który mówi o możliwości przekazania danych osobowych do państw trzecich niezapewniających na swoim terytorium odpowiedniego poziomu ochrony danych za zgodą GIODO.

Zgodnie z art. 48 w nowym brzmieniu, przekazanie danych będzie możliwie również bez zgody GIODO, o ile ADO zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osób, których dane dotyczą poprzez:

• standardowe klauzule umowne ochrony danych zatwierdzone przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995r.,

• wiążące reguły korporacyjne zatwierdzone przez GIODO.

Procedura zatwierdzania wiążących reguł korporacyjnych (BCR – binding corporate rules) przewidziana została w art. 48 ust. 3-5 ustawy. Zgodnie z tą procedurą, GIODO zatwierdza BCR przyjęte w ramach grupy przedsiębiorców do celów przekazania danych przez ADO lub procesora do innego ADO lub procesora z tej samej grupy w państwie trzecim. W celu odpowiedniej oceny przedłożonych do zatwierdzenia reguł, GIODO może przeprowadzać konsultacje z właściwymi organami ds. ochrony danych z państw należących do Europejskiego Obszaru Gospodarczego. Przewidziane zmiany wiązać się będą z koniecznością wprowadzenia nowych rozporządzeń wykonawczych do ustawy. Projekty rozporządzeń zostały opracowane już przez Biuro GIODO, a dotyczyć będą sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych, trybu i sposobu wykonywania zadań przez administratora bezpieczeństwa informacji oraz wzorów zgłoszeń powołania administratora bezpieczeństwa informacji do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych oraz odwołania administratora bezpieczeństwa informacji.