Zmiany w przepisach ustawy o ochronie danych osobowych
Z dniem 1 stycznia 2015 r. weszły w życie nowe przepisy regulujące ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zmiany te w znacznej mierze odnoszą się do Administratora Bezpieczeństwa Informacji (ABI).
Zgodnie z ustawą ochronie danych osobowych podmioty przetwarzające dane osobowe (z pewnymi wyjątkami) zobowiązane są zgłaszać zbiór danych osobowych Generalnemu Inspektorowi Ochrony Danych Osobowych. Przez pojęcie przetwarzania danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Na podstawie przepisów obowiązujących od 1 stycznia 2015 r. administrator danych, decydując się na powołanie administratora bezpieczeństwa informacji, będzie zobowiązany w terminie 30 dni zgłosić fakt powołania Generalnemu Inspektorowi. Zgłoszenie powinno zawierać oznaczenie administratora danych, adres jego siedziby lub miejsca zamieszkania oraz dane administratora bezpieczeństwa informacji, takie jak jego imię i nazwisko, PESEL ( w przypadku braku nazwę i numer dokumentu stwierdzającego tożsamość), adres do korespondencji, datę powołania. Ponadto zawarte powinno być oświadczenie o spełnianiu przez administratora bezpieczeństwa informacji warunków określonych w art. 36a ust. 5 i 7 ww. ustawy. Powyższe przepisy wymagają, aby administrator bezpieczeństwa informacji posiadał pełną zdolność do czynności prawnych oraz korzystał z pełni praw publicznych, posiadał odpowiednią wiedzę w zakresie ochrony danych osobowych oraz nie był karany za umyślne przestępstwo. Co więcej podkreślić należy, iż administrator bezpieczeństwa informacji podlegać będzie bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych osobowych. Ponadto zgłoszeniu podlegają wszelkie zmiany dokonane w powyższym zakresie w terminie 14 dni. Odwołanie administratora bezpieczeństwa informacji również jest objęte obowiązkiem zgłoszenia.
Generalny Inspektor prowadzi ogólnokrajowy rejestr administratorów bezpieczeństwa informacji, który jest jawny.
Warto podkreślić, iż administrator danych, który nie przetwarza tzw. danych wrażliwych, nie jest zobowiązany do rejestracji zbioru danych osobowych w przypadku, gdy powoła on administratora bezpieczeństwa informacji i zgłosił ten fakt Generalnemu Inspektorowi Ochrony Danych Osobowych.
Powyższe zmiany brzmią ciekawie, jednakże jak sprawdzą się w praktyce, ocenić będzie można dopiero za kilka miesięcy.
Podstawa prawna: Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Justyna Łopuszyńska
Aplikant adwokacki
Kancelaria Adwokacka Adw. M. Krzyżowskiej