Aktualności /

  • Nowe obowiązki dla ADO I ABI

Aktualności

Nowe obowiązki dla ADO I ABI

dodano: 2015-01-12

Z dniem 1 stycznia 2015 r. weszły w życie przepisy ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej m.in. nowelizujące przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Podstawowa zmiana dotyczy warunków funkcjonowania Administratora Bezpieczeństwa Informacji (ABI), w tym w zakresie określenia obowiązków ABI*, u Administratora Danych Osobowych (ADO), który to status posiada większość podmiotów prywatnych i publicznych. Szczegółowe zasady pełnienia funkcji ABI mają zostać uregulowane rozporządzeniem ministra właściwego do spraw administracji publicznej. Co ważne:

 

  • ABI ma pełnić funkcję wewnętrznego inspektorami ochrony danych osobowych, nadzorującego proces przetwarzania danych osobowych. GIODO będzie miał prawo zlecić ABI przeprowadzenie w imieniu GIODO kontroli warunków przetwarzania danych osobowych w podmiocie, w którym ABI został powołany. GIODO nadal jednak będzie miał możliwość bezpośredniej kontroli ADO. Funkcjonowanie u ADO profesjonalnego ABI, który na bieżąco będzie czuwał nad poziomem bezpieczeństwa przetwarzania danych osobowych, znacząco zminimalizuje nie tylko możliwość takiej bezpośredniej kontroli GIODO, ale również możliwość wystąpienia naruszeń warunków przetwarzania danych osobowych i ich negatywnych konsekwencji. 

 

  • Zgodnie z nowymi przepisami powołanie ABI jest dobrowolne, tzn. albo ADO powoła ABI i ten wykonywać będzie przypisane mu zadania z zakresu ochrony danych osobowych, albo sam ADO będzie wykonywał te zadania. ADO, który powoła ABI, nie będzie miał co do zasady obowiązku zgłaszania zbiorów danych osobowych do rejestracji w GIODO; będzie miał natomiast obowiązek zgłoszenia GIODO okoliczności powołania i odwołania ABI. GIODO prowadzi publicznie dostępny rejestr zgłoszonych ABI.

 

  • Nowe przepisy wskazują jakie wymogi powinna spełniać osoba pełniąca funkcję ABI. Do wskazanych wymogów należy m.in. posiadanie odpowiedniej wiedzy z zakresu ochrony danych osobowych.

 

  • ABI powołany na podstawie dotychczas obowiązujących przepisów może wykonywać swoje obowiązki, w tym określone w nowych przepisach, bez konieczności zgłoszenia do GIODO, jednak nie dłużej niż do 30 czerwca 2015 r.

 

Ponadto, nowe przepisy dotyczą ułatwienia transferów danych osobowych do krajów niezapewniających odpowiedniego poziomu bezpieczeństwa przetwarzanych danych. Zgodnie ze zmianami nie będzie potrzebna zgoda GIODO na transfer danych jeżeli administrator danych przyjął i stosuje standardowe klauzule umowne lub wiążące reguły korporacyjne.

***

Omawiana nowelizacja może okazać się korzystna dla wielu podmiotów, zarówno prywatnych, jak i publicznych. Zdjęcie z ADO szeregu obowiązków z zakresu ochrony danych osobowych poprzez powołanie ABI i dedykowanie go do wykonywania tych zadań może znacząco przyczynić się do zwiększenia bezpieczeństwa informacyjnego danego podmiotu, zminimalizowania ryzyka bezpośredniej kontroli GIODO, czy też wystąpienia naruszeń warunków przetwarzania danych osobowych i ich negatywnych konsekwencji.

Powołanie ABI nie musi też wiązać się ze znacznymi kosztami, czy też dodatkowymi formalnościami. Funkcję tę może pełnić nie tylko pracownik danego podmiotu; dopuszczalny i powszechnie akceptowalny, w tym przez GIODO, jest outsourcing funkcji ABI.

***

W przypadku jakichkolwiek pytań w zakresie ochrony danych osobowych, w tym odnośnie do wzmiankowanej nowelizacji, czy też szerzej – warunków świadczenia przez Kancelarię Prawni.pro usług dot. ochrony danych osobowych, w tym usługi polegającej na dedykowaniu Prawnika celem pełnienia przez niego u Klienta funkcji ABI (outsourcing funkcji ABI), Prawnicy Kancelarii Prawni.pro pozostają do Państwa dyspozycji.

 
Kontakt
Marcin Jan Grzesiak
radca prawny
+48 660 406 366
marcin.grzesiak@prawni.pro

___________________________________

*Do zadań ABI należy: (1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: (a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, (b) nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych, (c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych; (2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych /…/.