28 stycznia - Dzień Ochrony Danych Osobowych

Nowelizacja ustawy o ochronie danych osobowych, która weszła w życie 1 stycznia 2015 r. w znaczący sposób zmieniła system ochrony danych osobowych. Wprowadziła szereg ułatwień np. zwalnia administratora danych z obowiązku zgłoszenia zbiorów danych osobowych do rejestracji. Warunkiem jest żeby ADO powołał i zgłosił do rejestracji w GIODO Administratora Bezpieczeństwa Informacji.

Jednak nie wszyscy administratorzy danych zdecydują się na powołanie ABI. Zwłaszcza małe firmy zatrudniające niewielką liczbę pracowników oraz osoby prowadzące jednoosobowe działalności gospodarcze mogą nie zdecydować się na taki krok. W takiej sytuacji sami będą realizować zadania Administratorów Bezpieczeństwa Informacji. Najważniejszym obowiązkiem ADO będzie zapewnienie przestrzeganie przepisów o ochronie danych osobowych. W tym administrator danych celu powinien:

• sprawdzać zgodność przetwarzania danych z przepisami;

• nadzorować opracowywanie i aktualizowanie dokumentacji;

• nadzorować przestrzeganie zasad przetwarzania danych określonych w dokumentacji;

• zapewnić zapoznanie osób upoważnionych do przetwarzania danych z przepisami o ochronie danych osobowych.

Kolejnym obowiązkiem Administratora Danych Osobowych jest tzw. obowiązek informacyjny. Chodzi tu o informowanie o osób, których dane dotyczą, o ich uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy o ochronie danych osobowych. Osoby te mają prawo do:

• wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację (w przypadku przetwarzania danych, gdy jest to niezbędne albo do wykonania określonych prawem zadań realizowanych dla dobra publicznego albo dla wypełnienia prawnie usprawiedliwionych celów),

• wniesienia sprzeciwu wobec przetwarzania jej danych, gdy administrator zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi (w tych samych przypadkach co wyżej).

Jeśli administrator danych nie powoła i nie zarejestruje ABI w GIODO, to wciąż będzie miał obowiązek zgłaszania zbiorów danych osobowych do rejestru prowadzonego przez Generalnego Inspektora. Niezgłoszenie zbioru będzie nadal zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do roku.

Administrator danych osobowych ma również obowiązek stosowania odpowiednich zabezpieczeń systemu informatycznego, które zapewniają ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Podstawowym obowiązkiem ADO w tym zakresie jest zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Administrator Danych Osobowych powinien więc: określić poziom ochrony danych osobowych wymagany w danej firmie, dopilnować zachowanie tego poziomu w procesie przetwarzania danych osobowych oraz stale monitorować i raportować nieprawidłowości przełożonym.

Więcej na temat zmian w ochronie danych dowiesz się z miesięcznika "Ochrona danych osobowych"