Nowe zasady ochrony danych osobowych od 2015 r.

Zgodnie z nowelizacją ustawy o ochronie danych osobowych Administrator Danych Osobowych (szef firmy, naczelnik urzędu) może (ale nie musi) powołać Administratora Bezpieczeństwa Informacji (i jego zastępców), który zajmie się ochroną danych osobowych w podmiocie. ADO będzie mógł zgłosić fakt powołania ABI do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych. Powołanie i odwołanie ABI trzeba będzie zgłosić w ciągu 30 dni od tego faktu. GIODO będzie prowadził jawny rejestr Administratorów Bezpieczeństwa Informacji.

ABI musi być powołany na niezależnym stanowisku. Może on łączyć tą funkcję z innym stanowiskiem, ale inne obowiązki nie mogą kolidować z jego zadaniami jako ABI.

Zadania ABI:

• przeprowadzanie okresowego audytu w firmie, podczas którego sprawdzi czy zasady ochrony danych są przestrzegane; z audytu będzie musiał przygotować sprawozdanie, które przedstawi swojemu szefowi,

• nadzór nad firmową/urzędową dokumentacją zawierającą zasady ochrony danych – sprawdzenie czy dokumentacja jest opracowana i aktualizowana i czy zasady w niej zawarte są przestrzegane w jednostce,

• informowanie innych pracowników o ustalonych zasadach ochrony danych (niekoniecznie muszą być to szkolenia),

• prowadzenie jawnego rejestru danych osobowych – rejestr ma być jawny, czyli ewidencja zbiorów danych, które są w danej firmie musi być dostępna np. na stronie internetowej lub w siedzibie firmy,

• przeprowadzenie audytu z ochrony danych na prośbę Generalnego Inspektora Ochrony Danych Osobowych i przygotowanie sprawozdania ze sprawdzenia, które za pośrednictwem ADO zostanie przesłane do GIODO.

Ustawa określa też jakie kwalifikacje powinien posiadać ABI. Są to:

• pełna zdolność do czynności prawnych i korzystanie z pełni praw publicznych,

• odpowiednia wiedza w zakresie ochrony danych osobowych,

• niekaralność za przestępstwo popełnione umyślnie.

Jeśli ABI nie zostanie powołany jego obowiązki będzie pełnił Administrator Danych Osobowych (poza przygotowaniem sprawozdania z audytu).

Jeżeli Administrator Danych Osobowych powoła Administratora Bezpieczeństwa Informacji i zgłosi go do GIODO będzie zwolniony z obowiązku zgłaszania zbiorów danych do rejestracji.

Dodatkowo zbiorów nie trzeba będzie zgłaszać jeśli będą one prowadzone wyłącznie w wersji papierowej. Chyba, że taki zbiór będzie zawierał dane wrażliwe – wówczas należy go zgłosić do rejestracji.

Zbiory zawierające dane wrażliwe tak, jak dotychczas będzie można przetwarzać dopiero po zarejestrowaniu ich przez GIODO, a nie od razu po zgłoszeniu do rejestracji.

Przekazanie danych osobowych do państwa trzeciego nie będzie wymagało zgody Generalnego Inspektora Ochrony Danych Osobowych, jeżeli dane państwo zaakceptowało standardowe klauzule umowne Komisji Europejskiej lub reguły korporacyjne zatwierdzone przez GIODO.

Ministerstwo Administracji i Cyfryzacji pracuje nad rozporządzeniami wykonawczymi do znowelizowanej ustawy:

1. rozporządzeniem w sprawie wzorów zgłoszeń powołania, zmiany informacji objętych zgłoszeniem i odwołania administratora bezpieczeństwa informacji,

2. rozporządzeniem w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów,

3. rozporządzeniem w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych.

Określają one zasady:

• prowadzenia rejestru zbiorów danych przez ABI,

• przygotowanie audytu,

• wymogi wobec sprawozdania z audytu,

• zasady powoływania i odwoływania ABI i

• nadzór nad dokumentacją.