24 listopada 2014 r. Prezydent Rzeczpospolitej Polskiej podpisał ustawę o ułatwieniu działalności gospodarczej (tzw. IV pakiet deregulacyjny).

Jedną z nowelizowanych ustaw jest ustawa o ochronie danych osobowych.

Nowe przepisy weszły w życie w dniu 01 stycznia 2015 r.

Zmiany w Ustawie o ochronie danych osobowych dotyczą m.in. zniesienia obowiązku rejestracji
w GIODO zbiorów niezawierających danych „wrażliwych” dla organizacji, które powołają administratora bezpieczeństwa informacji, rejestrowania w GIODO administratorów bezpieczeństwa informacji oraz możliwości przekazywania danych do państw trzecich bez zgody GIODO.

Dzięki nowelizacji administratorzy danych osobowych (ADO) będą mieli możliwość samodzielnego zdecydowania, czy chcą powołać ABI czy też wziąć całkowitą odpowiedzialność i wszelkie obowiązki związane z ochroną przetwarzanych przez siebie danych. Nowe przepisy, w przypadku niepowołania ABI, nakładają obowiązek wykonywania ich zadań na administratorów danych. Dodatkowo, ADO ma w takiej sytuacji obowiązek rejestracji wszystkich przewidzianych prawem zbiorów danych. Posiadając ABI – rejestruje tylko zbiory zawierające dane osobowe wrażliwe.

Nowelizacja reguluje także status administratora bezpieczeństwa informacji, tj. wymogi formalne, stawiane kandydatowi na tę funkcję, miejsce ABI w strukturze podmiotu oraz kwestie dopuszczalności nałożenia na ABI innych zadań niż określonych w ustawie o ochronie danych osobowych.

Zwiększyły się również kompetencje rejestracyjne GIODO. Poza dotychczasowymi zbiorami danych, zgłoszeniu podlegają również administratorzy bezpieczeństwa informacji. Administrator danych osobowych ma obowiązek poinformowania GIODO zarówno o powołaniu jak też odwołaniu swojego ABI. Co więcej GIODO, w ramach kontroli wewnętrznej, będzie mógł powierzyć poszczególnym administratorom bezpieczeństwa informacji sprawdzenie zgodności przetwarzania danych osobowych z obowiązującymi przepisami.

Niewątpliwie nowelizacja spowodowała spore zamieszanie organizacyjne zarówno w sektorze publicznym jak i prywatnym. Odpowiedzialność jaką bierze na siebie osoba pełniąca funkcję ABI jest nie mała… Pracownicy bojąc się tejże odpowiedzialności oraz znając niedoskonałości jednostek w których pracują niechętnie biorą na siebie owy obowiązek. Coraz częściej jednostki decydują się wówczas na outsorcing tej funkcji, sądząc, iż pozbywają się w ten sposób odpowiedzialności.

Czy faktycznie tak jest? Czy najnowsza nowelizacja wymaga takiego dużego poruszenia jakie wywołała? Na te pytania i wiele innych odpowiemy sobie na szkoleniach z zakresu ochrony danych osobowych na które Państwa serdecznie zapraszam. A może wolicie szkolenie dedykowane tylko dla Was z tej tematyki? Nie ma problemu – również możemy takowe przeprowadzić.

Jak oceniacie Państwo zmiany po czterech miesiącach ich funkcjonowania? Chętnie usłyszymy Państwa opinie w tej sprawie (piszcie zatem na adres: blog@bezowijania.com)

Stan prawny na dzień 03 czerwca 2015 r.

Monika Zygmunt – Jakuć

(Trener, założyciel „bez owijania”)