Zmiany w prawie
Z dniem 1 stycznia 2015 r., weszła w życie ustawa dnia 27 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 r. poz. 1662.) Ustawa nowelizuje wiele aktów prawnych w tym ustawę o ochronie danych osobowych.
Ustawodawcy przyświecał cel jakim jest odciążenie przedsiębiorców od wielu obowiązków administracyjnych.
Administratorzy Bezpieczeństwa Informacji. ABI
Zgodnie z założeniami tej ustawy powołanie ABI jest dobrowolne lecz dla przedsiębiorców, którzy administrują danymi osobowymi ABI niesie ułatwienia administracyjne. Jego powołanie oznacza dla przedsiębiorcy zwolnienie z obowiązku rejestracji zbiorów danych. ABI może zostać osoba posiadająca odpowiednią wiedzę w zakresie ochrony danych osobowych zaś w strukturze organizacyjnej przedsiębiorcy ma podlegać wyłącznie kierownikowi jednostki organizacyjnej, w której pełni swoją funkcję. Takie stosunkowe wysokie określenie statusu ABI jest, zgodnie z założeniami ustawy, niezbędne podczas kontroli zgodności z prawem przetwarzania danych osobowych. Kontrole te będzie mógł przeprowadzać właśnie ABI na zlecenie Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
Rejestracja i aktualizacja zbiorów danych osobowych
Zgłaszanie do GIODO zbiorów danych osobowych w celu zarejestrowania a później w celu ich aktualizacji stanowiło istotną dolegliwość zarówno dla przedsiębiorców przetwarzających dane osobowe jak i dla GIODO, który rejestrował i aktualizował te zbiory niezwykle długo. Wynikało to zapewne z wielości zgłoszeń rejestracyjnych i aktualizacyjnych jakie wpływały do GIODO. Stąd pomysł aby przedsiębiorcy, którzy powołają ABI, nie musieli rejestrować zbiorów danych osobowych a także ich później aktualizować. Jest to krok w dobrą stronę. Dzięki temu system ochrony danych osobowych będzie wydolniejszy i będzie dawał większe gwarancje ochrony danych. Ustawa zakłada, że firmy, które powołają administratora bezpieczeństwa informacji i zgłoszą ten fakt GIODO, który z kolei wpisze ABI do prowadzonego przez siebie rejestru, nie będą musiały zgłaszać swoich zbiorów do rejestracji. W konsekwencji z przedsiębiorców zostanie również zdjęty dotychczasowy obowiązek zgłaszania zmian dokonywanych w zbiorach danych. Z obowiązku rejestracji zostaną również wyłączone zbiory danych, które nie są przetwarzane z wykorzystaniem systemów informatycz-nych. Oba wyżej wspomniane ułatwienia nie dotyczą jednak zbiorów danych, w których przetwarzane są dane wrażliwe (np. dane o karalności, stanie zdrowia, nałogach).
Kierowanie danych osobowych za granicę
Europejski Obszar Gospodarczy (EOG) gwarantuje w ramach swobody przepływu osób, ułatwienia również
w przekazywaniu danych osobowych. Dotyczy to w szczególności przedsiębiorców działających w strukturach jakim są międzynarodowe grupy kapitałowe. Eksport danych poza EOG obarczony jest jednak obowiązkami prawnymi. Dotychczas, kierowanie danych osobowych poza obszar EOG musiało się wiązać z długotrwałą procedurą przed GIODO, który musiał uprzednio wyrazić na to zgodę w formie decyzji administracyjnej. Zgodnie z nowymi założeniami, jeśli przedsiębiorca zastosuje zatwierdzone przez Komisję Europejską standardowe klauzule umowne albo zatwierdzone przez GIODO tzw. wiążące reguły korporacyjne (tzn. BCR) zgoda GIODO na transfer nie będzie konieczna. Ułatwi to i usprawni obrót danymi osobowymi w szczególności w dobie rozwiązań technologicznych zakładających umieszczanie danych osobowych w chmurach obliczeniowych (cloud computing).
Marcin Siwek
Radca prawny
Kancelaria Radcy Prawnego