Ochrona danych osobowych. Jakie nowe wymogi i obowiązki wprowadziła nowelizacja ustawy?

Zapewne nie wszyscy pamiętają, ale od 1 stycznia 2015 roku ochrona danych osobowych uległa pewnym zmianom. Od początku roku obowiązują bowiem nowe przepisy prawne, zgodnie z którymi firmy i jednostki organizacyjne, które przetwarzają zbiory podlegające zgłoszeniu do Generalnego Inspektora Ochrony Danych Osobowych (GIODO), czyli przykładowo dane klientów lub rejestry korespondencji, będą musiały spełnić nowe wymagania. Nowelizacja ma zwiększyć bezpieczeństwo w firmie oraz zagwarantować wyższe bezpieczeństwo zbiorów danych.

Do niedawna, chcąc wywiązać się z nowych obowiązków ochrony danych osobowych, instytucje przetwarzające dane swoich klientów musiały, poza wdrożeniem wewnętrznej dokumentacji przetwarzania danych, dokonać również rejestracji Administratora Bezpieczeństwa Informacji (ABI) do GIODO lub bezpośredniej rejestracji zbiorów do GIODO.

Nowelizacja sprawiła, że rejestracja zbiorów umożliwi uniknięcie wyznaczenia Administratora Bezpieczeństwa Informacji w danym podmiocie, co jest wyjątkowo korzystnym rozwiązaniem.

Kto musi zarejestrować zbiory w GIODO?

Ochrona danych osobowych i definiująca ją ustawa sprawiają, że wszystkie firmy i jednostki organizacyjne zatrudniające choć jednego pracownika lub zajmujące się przetwarzaniem danych osobowych, mają obowiązek wdrożenia wewnętrznej dokumentacji. Co ważne, wewnętrzna dokumentacja przetwarzania danych musi spełniać wymogi rozporządzenia do art. 39a, ustawy o ochronie danych osobowych.

Obowiązek rejestracji ABI lub zbiorów w GIODO muszą spełnić wszystkie firmy spełniające powyższe kryteria i przetwarzające: zbiory danych klientów, dane i rejestry korespondencyjne, bazy newsletterów i konkursów, rejestry uczniów spoza danej placówki edukacyjnej oraz księgi meldunkowe, a nawet imienne rezerwacje.

Z obowiązku zgłoszenia zwolnione są za to następujące zbiory: dane związane z usługami medycznymi, dane osobowe pracowników, dane przetwarzane tylko w celu wystawienia faktury lub rachunku, dane członków zrzeszonych w danej organizacji czy osób uczących się.

Dodajmy, że jeśli pewna organizacja przetwarza jedynie zbiory zwolnione z obowiązku rejestracji, w pełni wystarczy jej pakiet wewnętrznej procedur. Innymi słowy, w przypadku przetwarzania powyżej podanych zbiorów danych, należy jedynie prowadzić dokumentację bez instrukcji zgłoszenia do Generalnego Inspektora Ochrony Danych Osobowych.

Zapis artykułu 53 ustawy głosi: „Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”.

W myśl nowelizacji, rejestracja zbiorów znosi także konieczność wyznaczania ABI w spółkach. Do niedawna, Administratora nie wyznaczali tylko jednoosobowi administratorzy danych, którzy samodzielnie pełnili tę funkcję w przypadku jednoosobowej działalności gospodarczej. Według starych przepisów, spółki z ograniczoną odpowiedzialnością przetwarzające dane osobowe miały obowiązek wyznaczenia ABI i zgłoszenia zbioru. Obecnie, spółka może zdecydować, czy zgłosić zbiory do GIODO lub wyznaczyć ABI i umożliwić mu realizację konkretnych czynności.

Zmiany wynikające z nowelizacji ustawy

Organizacje objęte ustawą o ochronie danych osobowych otrzymały nowe możliwości. Dlatego też, warto zastanowić się nad wyborem odpowiedniego wariantu. Rejestracja zbioru w GIODO w przypadku, gdy ochrona danych osobowych zależała od administratora danych w organizacji, pozwoli na znaczne uproszczenie procedur. W przeciwnym razie, to wyznaczenie ABI i zapewnienie swobody pełnienia obowiązków może usprawnić prace.

Zmiany wprowadzone 1 stycznia 2015 roku polegają w szczególności na zniesieniu obowiązku wyznaczania ABI, jeśli funkcję sprawował będzie administrator danych w firmie lub organizacji oraz na zwolnieniu z obowiązku zgłaszania danych tam, gdzie wyznaczony i zarejestrowany w GIODO został ABI oraz w przypadku przetwarzania danych osobowych wyłącznie w formie papierowej (z wykluczeniem „danych wrażliwych”, dotyczących przykładowo stanu zdrowia czy poglądów politycznych).

Ponadto zmianie uległy także przepisy o prowadzeniu przez GIODO rejestru ABI oraz prowadzeniu przez Administratora Bezpieczeństwa Informacji jawnych rejestrów zbiorów danych osobowych administratorów danych w firmie czy organizacji, która nie są zwolnione z obowiązku zgłaszania do GIODO.

Dużym udogodnieniem wynikającym z nowelizacji, a wcale przez nią nie wprowadzonym, może być możliwość uniknięcia niektórych zmian. Chodzi o możliwość nie wyznaczania ABI i zgłaszania zbiorów danych w zwykły sposób. Pozwoli to wyeliminować powoływanie i odwoływanie ABI do GIODO, realizację przez Administratora szczegółowych raportów (które mogłyby stanowić biurokratyczną przeszkodę w funkcjonowaniu firmy) oraz prowadzenie wewnętrznego jawnego rejestru przetwarzanych zbiorów.

Ochrona danych osobowych. Jak spełnić jej wymagania?

Przede wszystkim, każda organizacja musi posiadać dokumentację przetwarzania danych osobowych, zgodną z rozporządzeniem dotyczącym art. 39 ustawy o ochronie danych. W skład dokumentacji bezwzględnie wchodzić muszą dokumenty dotyczące polityki bezpieczeństwa, instrukcje związane z zarządzaniem systemem informatycznym oraz wykazy ewidencyjne i umowy dotyczące przetwarzania danych.

Brak dokumentacji może łączyć się z karami od 10 tys. do 50 tys. złotych za każde uchybienie.

Po wdrożeniu dokumentacji, by spełnić resztę obowiązków po 1 stycznia 2015 firma lub organizacja będzie mogła zdecydować, czy zgłosić zbiory danych podlegających pod rejestrację do GIODO czy wyznaczyć Administratora Bezpieczeństwa Informacji.

Ochrona danych osobowych dzięki nowelizacji ustawy, przyjęła w praktyce nieco inne oblicze i została wzbogacona o kilka udogodnień. Zgłoszenie ABI do GIODO będzie wiązało się ze zwolnieniem z konieczności rejestracji zbiorów, a administrator w firmie, która wyznaczy ABI nie będzie musiał zgłaszać zbiorów do rejestracji w GIODO. Ponadto, ABI będzie miał obowiązek prowadzenia jawnego rejestru zbiorów danych w zgodzie z ustalonym wzorem, dokonywania audytu zgodności przetwarzania danych czy tworzenia i aktualizacji dokumentacji ochrony danych osobowych.

Innymi słowy, podmiot decyzyjny otrzyma możliwość wyboru: albo wyznaczy Administratora Bezpieczeństwa Informacji, albo zgłosi zbiory danych do GIODO. Nowelizacja jednak przede wszystkim rozszerza kompetencje GIODO i daje więcej możliwości kontroli: GIODO nie tylko otrzyma dostęp do cyklicznych raportów, ale również w dalszym ciągu będzie miał możliwość bezpośredniej kontroli poprzez wysłanie inspekcji.

Źródło: daneosobowe.org.pl; inf. własna; ISAP

Jeśli interesują Cię artykuły tematycznie powiązane z zagadnieniami prawnymi, zapoznaj się z innymi naszymi tekstami:

• Licencja oprogramowania i legalność wg prawa autorskiego
• Twoje prawa podczas przeszukania w firmie
• Darmowe (ale) czy legalne?