QualityAustria

Strona główna | AT | Kontakt | Intranet

NOWELIZACJA USTAWY O OCHRONIE DANYCH OSOBOWYCH

Baza wiedzy

NOWELIZACJA USTAWY O OCHRONIE DANYCH OSOBOWYCH

NOWELIZACJA USTAWY O OCHRONIE DANYCH OSOBOWYCH

EWOLUCJA czy REWOLUCJA?
24 listopada 2014r. Prezydent RP podpisał ustawę o ułatwieniu wykonywania działalności gospodarczej, która w znacznym stopniu zmienia przepisy dotyczące ochrony danych osobowych obowiązujące przedsiębiorców. Ustawa, z niewielkimi wyjątkami, weszła w życie 1 stycznia 2015r.
 

Wśród wartości funkcjonujących w świadomości Polaków jedno z pierwszych miejsc zajmuje potrzeba prywatności i wynikająca z niej konieczność ochrony danych osobowych. Jeśli przeprowadzilibyśmy sondaż wśród społeczeństwa, to wyszłoby nam, że ludzie posiadają dużą świadomość, że ochrona ich prywatności jest ważną rzeczą. Z drugiej jednak strony codziennie możemy obserwować niezliczoną ilość informacji jaką ludzie przekazują o sobie, swoich rodzinach, przyjaciołach i nieprzyjaciołach, np. publikując te informacje na różnego rodzaju portalach społecznościowych.

Według Generalnego Inspektora Danych Osobowych dr Wojciecha Rafała Wiewiórowskiego starsze pokolenie Polaków jest przyzwyczajona do faktu, iż władza ,,obraca" ich danymi osobowymi między swoimi instytucjami. Zupełnie inaczej sprawa wygląda w przypadku młodych ludzi, którzy przywiązują dużo mniejszą uwagę do ochrony prywatności. Dr Wiewiórowski (podczas rozmowy z portalem polskieradio.pl) podkreślił, że mimo tych rozbieżności prywatność nie przestała być wartością, którą należy chronić. Problem natomiast stanowi nie czytanie przez Polaków umów które zawierają oraz zbyt chętne udzielanie informacji przez telefon. Pamiętać należy, iż ochrona danych to nie tylko kwestia ich wycieków, ale sposobu innego wykorzystania niż się wcześniej na to zgodziliśmy.

W tym miejscu chciałabym przytoczyć słowa wypowiedziane przez Generalnego Inspektora, które trafnie puentują podejście Polaków do ochrony swojej prywatności: ,,Trochę tak jest, że nie wiemy kto mieszka w naszym bloku, z drugiej jednak strony sami niechętnie dzielimy się informacjami na ten temat i traktujemy listę lokatorów jako informacje o charakterze poufnym".

Choć dane osobowe stanowią wiedzę o naszym życiu prywatnym, są także elementem obiegu gospodarczego. Coraz więcej instytucji z jakimi mamy do czynienia potrzebuje informacji zawierających dane. Ponadto większość z nich to korporacje, czyli instytucje o charakterze globalnym. Taka sytuacja nie powinna jednak stanowić zmartwienia dla przeciętnego obywatela, gdyż gospodarka rynkowa i twarde prawa konkurencji tworzą wymóg zaufania do instytucji, firmy czy marki. Coraz częściej nagłaśniane są sytuacje / incydenty związane z utratą danych osobowych i innych danych co stawia daną instytucję czy firmę w kompromitującej sytuacji w oczach opinii publicznej i konkurencji. Dodatkowo niezależnie od tego czy mamy do czynienia z uczelnią, lecznicą, bankiem, pocztą, firmą ubezpieczeniową, instytucją samorządową lub rządową czy naszym miejscem pracy, w momencie wejścia z nimi w interakcję posiadamy silne mechanizmy ochrony danych osobowych należące do ww. instytucji. Konstytucja, Ustawa o ochronie danych osobowych oraz Główny Instytut Danych Osobowych tworzą parasol przepisów ochronnych dla danych osobowych, które muszą być zgodnie z polskim prawem wykonywane przez przedsiębiorstwa i instytucje.

Odpowiedzialność prawna wynikająca z naruszenia ochrony danych osobowych w polskim systemie prawnym niesie za sobą nie tylko konsekwencje takie jak mandaty i kontrole GIODO, ale także konsekwencje finansowe mogące wynikać np. z zbiorowych i indywidualnych pozwów klientów lub pracowników firmy zaniedbującej prawo w tym obszarze.

Tak więc wobec poszanowania praw i oczekiwań pracowników i klientów, a także wobec realnej konkurencji oraz wzrostu jakości pracy i usług, ważne jest aby przedsiębiorstwa i instytucje skutecznie opanowały cały zakres ochrony danych osobowych. Dlatego też wychodząc na przeciw podmiotom gospodarczym działającym na rynku polskim dokonano nowelizacji ustawy o ułatwieniu wykonywania działalności gospodarczej, która w znacznym stopniu zmienia zasady ochrony danych osobowych obowiązujące przedsiębiorców.

Co nowego?

Po pierwsze ustawa o ochronie danych osobowych w nowym kształcie przewiduje prowadzenie jawnego rejestru zbioru danych przetwarzanych przez administratora danych, zawierającego nazwę zbioru oraz informacje określone w art. 41 ust. 1 pkt 2-4a i 7. Nowością w tym przypadku jest także to, iż w wielu przypadkach to administrator danych osobowych będzie odpowiadał za prowadzenie rejestru zbiorów danych, a nie jak dotychczas GIODO.

Po drugie rozszerzono dotychczasowy katalog zwolnień z obowiązku rejestracji. Zgodnie z art. 43 ust. 1 ustawy, zwolnienia z obowiązku zgłaszania zbioru danych do rejestru prowadzonego przez GIODO obejmują 11 przypadków. Od 1 stycznia 2015r. katalog ten jest szerszy - wprowadzono kolejne zwolnienie obejmujące zbiory prowadzone bez wykorzystania systemów informatycznych, w których nie są przetwarzane dane wrażliwe.

Trzecia zmiana, a zarazem najważniejsza dotyczy funkcji administratora bezpieczeństwa informacji (ABI). Zmiany obejmują m.in. kwestie powołania ABI, jego kompetencji, zakres zadań oraz sposób rejestracji.

Nowelizacja ustawy o ochronie danych osobowych - ABI

 

Czy utrzymano obowiązek wyznaczania ABI'ego?

Nowa ustawa powoduje, że każdy przedsiębiorca lub instytucja powinna rozważyć czy chce powołać administratora bezpieczeństwa informacji. Dotyczy to również organizacji, które wcześniej powołały już ABI. Zmiana regulacji jest bowiem na tyle istotna, że dotychczasowi ABI mogą pełnić swoje funkcje tylko do 30 czerwca 2015r.

Organizacje mają dwie możliwości, które niosą za sobą określone obowiązki i korzyści:

1. Powołać ABI:

  • konieczne będzie zarejestrowanie nowego administratora bezpieczeństwa informacji w rejestrze prowadzonym przez GIODO,
  • przedsiębiorca będzie zwolniony z konieczności rejestracji zbiorów danych osobowych w GIODO,
  • zbiory danych osobowych organizacji będą rejestrowane przez ABI,
  • Administrator bezpieczeństwa informacji będzie mógł być zobowiązany do przeprowadzania kontroli przedsiębiorcy lub instytucji na zlecenie GIODO.

2. Nie powoływać ABI:

  • nie będzie musiał rejestrować ABI w GIODO,
  • przedsiębiorca będzie zobowiązany do rejestracji zbiorów danych w GIODO,
  • kontrolę przedsiębiorcy lub instytucji prowadzić będą pracownicy GIODO,
  • funkcję ABI pełnić będzie administrator danych czyli Zarząd spółki lub kierownictwo instytucji, co oznacza że będzie ono odpowiedzialne m.in. za wdrożenie dokumentacji ochrony danych osobowych, przeszkolenie pracowników, prowadzenie auditów kontrolnych oraz prowadzenie rejestru zbioru danych.

Kto może zostać ABI?

Nowe przepisy wyraźnie wskazują, że powołanie ABI jest uprawnieniem, a nie obowiązkiem administratora. Dotychczas każdy mógł zostać wyznaczony do pełnienia funkcji ABI, jednakże nowelizacja wprowadziła pierwsze wytyczne dotyczące kwalifikacji osób pełniących tą funkcję. Zgodnie z art. 36a ust. 5 administratorem bezpieczeństwa informacji może zostać osoba, która:

  • posiada pełną zdolność do czynności prawnych oraz korzysta w pełni z praw publicznych,
  • nie była karana za umyślne przestępstwo,
  • posiada odpowiednią wiedzę w zakresie ochrony danych osobowych.

Ze względu na ogólność powyższych wytycznych, w przypadku jakichkolwiek wątpliwości, każdorazowo GIODO bądź sąd oceni, czy powołana na stanowisko ABI osoba posiadała ku temu odpowiednie kwalifikacje.

Ponadto nowelizacja przepisów nie wyklucza outsourcingu ABI, ponieważ GIODO od dawna postuluje, aby osoby pełniące funkcję ABI były niezależne i obiektywne. Zdaniem ekspertów przygotowujących ustawę oraz GIODO, outsourcing ABI daje większą gwarancję niezależności niż pełnienie tej funkcji przez pracownika zatrudnionego na umowę o pracę. 

Czy ABI otrzymał nowe obowiązki?

Tak. Nowe przepisy określają szczegółowy zakres zadań administratora bezpieczeństwa informacji. Te obowiązki to przede wszystkim tzw. sprawdzenie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. W ramach tego nadzoru ABI jest zobowiązany do:

  • nadzorowania opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki ich ochrony i przestrzegania zasad w niej określonych,
  • sprawdzania zgodności przetwarzania danych osobowych z przepisami zawartymi w ustawie o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  • szkolenie osób upoważnionych do przetwarzania danych osobowych w zakresie przepisówo ochronie danych osobowych.

Nowy administrator bezpieczeństwa informacji jest także zobowiązany podczas prowadzenia kontroli na rzecz GIODO, do ustalenia stanu faktycznego i zebrania dowodów potwierdzających ustalone przez niego fakty. ABI może również żądać od wskazanych osób przekazania niezbędnych informacji oraz przeprowadzać oględziny. Z przeprowadzonych kontroli, administrator bezpieczeństwa informacji zobowiązany jest do sporządzenia protokołów/sprawozdań, które następnie przekazywane będą do administratorów danych. Kolejnym obowiązkiem administratora bezpieczeństwa informacji będzie prowadzenie rejestru zbioru danych przetwarzanych przez administratora danych, z wyjątkiem tych podlegających zwolnieniu. Rejestr prowadzony przez ABI powinien być jawny i każdy ma prawo go przeglądać.

Ponadto ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej, w której sprawuje nadzór nad danymi osobowymi. Nowa ustawa przewiduje możliwość powołania zastępców administratora bezpieczeństwa informacji oraz zezwala aby ABI mógł wykonywać również inne obowiązki z zastrzeżeniem, iż nie mogą one naruszać prawidłowego wykonywania jego podstawowych zadań.

Jak zarejestrować ABI?

Administratorzy bezpieczeństwa informacji wpisywani będą do specjalnego rejestru prowadzonego przez Generalny Inspektorat Ochrony Danych Osobowych. Powołanie lub odwołanie administratora bezpieczeństwa informacji będzie trzeba zgłosić w terminie 30 dni. Zgłoszenie powinno zawierać:

  • oznaczenie administratora danych (czyli spółki, która prowadzi rejestr danych osobowych)
  • dane administratora bezpieczeństwa informacji (imię i nazwisko, PESEL)
  • datę powołania administratora bezpieczeństwa informacji
  • oświadczenie administratora bezpieczeństwa informacji o pełnej zdolności do czynności prawnych, posiadaniu odpowiedniej wiedzy i niekaralności z umyślne przestępstwo.

W przypadku zmiany danych o ABI, przedsiębiorca jest zobowiązany do poinformowania GIODO w terminie 14 dni. Rejestr administratorów bezpieczeństwa informacji jest jawny, a zaświadczenie o zarejestrowaniu ABI, będzie wydawany na żądanie przedsiębiorcy, po uiszczeniu stosownej opłaty.
GIODO może wydać decyzję o wykreśleniu ABI z rejestru, jeżeli okaże się, że:

  • nie prowadzi rejestru zbiorów,
  • nie spełnia warunków wskazanych w oświadczeniu
  • administrator danych nie zgłosił do GIODO odwołania ABI.

W przypadku wykreślenia administratora bezpieczeństwa informacji z rejestru, administrator danych traci prawo do niezgłaszania zbiorów danych do GIODO.

Należy również pamiętać, że ABI powinien zostać odwołany przez przedsiębiorcę ze stanowiska w przypadku gdy przestaje spełniać wymogi: niekaralności, czy został pozbawiony zdolności do czynności prawnych. Z tego względu, właściwym wydaje się, aby wprowadzić wymóg cyklicznego odbierania oświadczenia od ABI o wypełnianiu ww. wymogów, lub wskazać obowiązek informowania przedsiębiorcy w przypadku utraty uprawnień do pełnienia funkcji ABI.

Dane osobowe

Rejestr zbiorów danych na nowo

Jak pisałam powyżej, dzięki powołaniu administratora bezpieczeństwa informacji, przedsiębiorca nie będzie już zobowiązany do zgłaszania zbiorów danych osobowych do rejestru prowadzonego przez GIODO. Zamiast tego, to ABI będzie zobowiązany prowadzić taki rejestr stosownie go opisując.

Nowością jest to, iż obowiązek rejestracji nie dotyczy zbiorów prowadzonych w sposób pisemny (nie korzystając z systemów informatycznych). Wyjątek ten nie dotyczy jednak zbiorów zawierających dane wrażliwe tj. mówiących m.in. o: poglądach politycznych, stanie zdrowia, pochodzeniu rasowym lub etnicznym, przynależności wyznaniowej, partyjnej czy związkowej.

Prowadzony przez administratora bezpieczeństwa informacji rejestr musi zawierać, dla każdego zbioru danych osobowych informacje m.in. o: celu przetwarzania, podstawie prawnej, kategorii osób, zakresie przetwarzania danych, sposobie ich zbierania i udostępniania, odbiorcach danych oraz transferze do państw trzecich.

Eksport danych do Państwa trzeciego

Wiele podmiotów gospodarczych coraz częściej działa poza Europejskim Obszarem Gospodarczym na rynkach państw trzecich. Dane przekazywane są np. do Stanów Zjednoczonych czy Indii. Nowe przepisy decydują, że nie będzie konieczne uzyskiwanie każdorazowej zgody na taką operację ze strony GIODO. Nowelizacja przewiduje dwie dodatkowe furtki umożliwiające eksport danych. Pierwsza z nich to podpisanie tzw. Standardowych klauzul umownych. Druga alternatywa to zastosowanie przy przekazywaniu danych tzw. Wiążących reguł kooperacyjnych, czyli ogólnych zasad przetwarzania danych osobowych obowiązujących w danej spółce czy grupie kapitałowej. Przy czym, w tej sytuacji znów konieczne jest wydanie stosownej akceptacji przez GIODO. Ułatwieniem jest fakt, że jedna decyzja akceptująca powinna wystarczyć do zalegalizowania różnych procesów wykonywanych na danych osobowych.

Co nowelizacja oznacza w praktyce?

Warto zaznaczyć, iż wyżej opisane zmiany nie są rewolucyjne, ale do takiej rewolucji mogą prowadzić. Na pewno są pierwszym krokiem dostosowawczym do nowych przepisów unijnych, których wprowadzenie Parlament Europejski i Rada Europejska przewidują na połowę bieżącego roku. Nowe jednolite prawo dla wszystkich państw członkowskich będzie mówić o tym, że wszystkie instytucje będą zobowiązane do posiadania Inspektora Danych Osobowych, czyli naszego ABI.

Ponadto nowelizacja podkreśla rolę ABI'ego i to jest zmiana najistotniejsza, gdyż docelowo GIODO w ten sposób chce zwiększyć swoje możliwości kontrolowania administratorów danych osobowych. Urzędnicy GIODO mogą zlecać wykonanie kontroli ABI'emu, jednakże dokonanie przez niego sprawdzenia nie wyłącza kompetencji GIODO w tym zakresie. Kontrola wykonywana przez ABIego określana została mianem ,,uproszczonej” i dopuszczalna jest jedynie uznaniowo, co nie wyklucza możliwości późniejszego przeprowadzenia kontroli właściwej przez GIODO.

Z cała pewnością zmiany wiążą się z dodatkową pracą dla administratora bezpieczeństwa informacji. Do jego obowiązków doszła konieczność prowadzenia jawnych rejestrów danych oraz cykliczne sprawdzenia zgodne z rozporządzonymi wytycznymi. Z drugiej strony usunięto obowiązek zgłaszania zbiorów danych osobowych nie zawierających danych wrażliwych.

Oczywiście w przypadku niepowołania ABI, obowiązek zgłaszania zbiorów przez administratora danych w zasadzie pozostanie w niezmienionym kształcie. Pamiętać jednak należy, że wybór co do powołania ABI ma w zasadzie tylko administrator danych osobowych, który jest osobą fizyczną. W przypadku osób prawnych, obowiązek powołania administratora bezpieczeństwa informacji jest bezsporny.

 

Karolina Kord
Koordynator Usług Certyfikacyjnych i Szkoleniowych
CIS - Certification & Information Security Services Sp. z o. o.

Newsletter

Zapisz się naszego newlettera i otrzmuj najnowsze artykuly i informacje na temat ISO 9001:2015, ISO 14001:2015IATF 16949 oraz innych.

   

Kalendarz szkoleń

<< Październik 2017 >>
PonWtŚrCzwPtSobNie
      1
2345678
9101112131415
16171819202122
23242526272829
3031     

Baza wiedzy

Tagi

abi aiag akademia-trenera akty-wykonawcze ansitia-942 apqp as-en-jisq-91009120-aerospace-quality-management audit audit-energetyczny auditor auditor-iso-90012015 automotive bcm bezpiczenstwo-informacji bezpieczenstwo-informacji brc brc-iop bs-ohsas-18001 certyfikacja certyfikat-iso-14001 certyfikat-iso-140012015 ciaglosc-dzialania cqi delta-audit delta-audyt doskonalnie-procesow drewno ebook ecm emas en-1090 en-1090-1 en-1090-2 en-15085-2 en-15224 en-iso-22000 en-iso-220002005 ewidencja-i-sprawozdawczoc-srodowiskowa fsc fsc-coc fssc-220002010 gospodarka-lesna haccp iatf iatf-16949 iatf-169492016 ifs ifs-logistic ile-zarabia-auditor infrastruktura-telekomunikacyjna international-featured-standards international-railway-industry-standard iris iso-13485 iso-140001 iso-14001 iso-14001-2015 iso-14001-pdf iso-140012015 iso-14644 iso-16949 iso-2000 iso-20000 iso-20121 iso-22000 iso-22301 iso-24762 iso-27001 iso-270012013 iso-27799 iso-277992010 iso-29990 iso-31000 iso-37120 iso-371202014 iso-3834 iso-45001 iso-50001 iso-5001 iso-9001 iso-9001-2015 iso-9001-przywodztwo iso-9001-wymagania iso-90012008 iso-90012015 iso-9606 iso-ts-16949 iso-wymagania-prawne isoi-14664 isots-16949 isots-169492009 isots-22003 isots-220032013 jednostka-certyfikacyjna jisq-9100 kolejnictwo kontekst-organizacji lean lean-manufacturing miedzynarodowy-standard-dla-branzy-kolejowej motoryzacja normy-iso ocena-ryzyka-zawodowego ochrona-danych-osobowych ochrona-srodowiska ochrona-zdrowia ohsas ohsas-18001 ohsas-pn-n-18001 pefc pefc-coc pelnomocnik-iso-90012015 pn-en-iso-9606-1 pn-isoiec-27001 pn-n-18001 podejscie-oparte-na-ryzyku podejscie-procesowe podsumowanie-zmian praca risk-scan ryzyko ryzyko-iso-90012015 ryzyko-w-iso ryzyko-w-iso-9001 scc scp semianirum-informacyjne-iso-90012015 system-ifs system-zarzadzania-ciagloscia-dzialania system-zarzadzania-srodowiskowego system-zarzadzania-utrzymaniem-taboru-kolejowego szkolenie-iso-31000 szkolenie-system-zarzadzania-ryzykiem szkolenie-trenerskie szkolenie-zarzadzanie-ryzykiem tabor-kolejowy tl-9000 ts-16949 ustawa-o-odpadach ustawa-odpadowa wspolpraca zarzadzanie-energia zmiany-w-iso-14001 zmiany-w-iso-9001

Do pobrania


Quality Austria - Polska Sp. z o.o.
Żwirki i Wigury 14
43-190 Mikołów, Polska
Tel.: +48 32 226 60 07
Fax: +48 32 216 26 41
E-Mail: office@qualityaustria.com.pl

Headquarters
Zelinkagasse 10/3
1010 Wien, Austria
Tel.: (+43 1) 274 87 47
Fax: (+43 1) 274 87 47-100
E-Mail: office@qualityaustria.com

Ogólne Warunki Handlowe

Ogólne Warunki Handlowe - Ukraina

Polityka witryny qualityaustria - Polska

Akredytacja BMWFJ



 



Quality Austria - Polska Sp. z o.o.

Quality Austria