Know-how 2015-01-23

Przetwarzanie danych osobowych – ułatwienia dla przedsiębiorców od stycznia

Z początkiem roku weszła w życie nowelizacja ustawy o ochronie danych osobowych, która wprowadziła sporo zmian, w tym kilka, które mogą znacznie ułatwić życie przedsiębiorcom.

O najważniejszych zmianach w ustawie o ochronie danych osobowych pisze radca prawny Rafał Malujda /fot.: archiwum / O najważniejszych zmianach w ustawie o ochronie danych osobowych pisze radca prawny Rafał Malujda /fot.: archiwum /
Niezależnie od tego, czy prowadzimy działalność w Internecie czy w świecie rzeczywistym, jesteśmy zobligowani do przestrzegania podstawowych zasad dotyczących przetwarzania danych osobowych. Podsumujmy najważniejsze zmiany ustawy o ochronie danych osobowych.
 
 

Partnerzy cyklu Know-how:
       

1. Powołanie Administratora Bezpieczeństwa Informacji (ABI)
 
Od nowego roku powołanie tej osoby nie jest obligatoryjne, tj. administrator danych (decyduje o celach i środkach przetwarzania danych, np. firma przetwarzająca dane swoich klientów na potrzeby wysyłki newslettera) może być powołany w danej jednostce, ale nie musi. 
 
Administrator Bezpieczeństwa Informacji to osoba funkcjonująca w strukturze danej jednostki, której, obok innych obowiązków, administrator danych powierzył obowiązki związane z przetwarzaniem danych.
 
Z perspektywy przedsiębiorcy, z powołaniem takiej osoby wiążą się nie tylko ułatwienia, lecz także zobowiązania. Trzeba bowiem wiedzieć, iż taka osoba będzie bezpośrednio współpracowała z Generalnym Inspektorem Ochrony Danych Osobowych - Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji wpisanego do rejestru o dokonanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowania w tym zakresie sprawozdania dla administratora danych.
 
Do ustawowych obowiązków Administratora Bezpieczeństwa Informacji należy:
1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji dotyczącej przetwarzanych danych oraz przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, chyba że generalnie nie podlegają one rejestracji.
 
Administrator danych jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie ABI w terminie 30 dni od dnia jego powołania lub odwołania.
 
Generalny Inspektor będzie prowadził rejestr ABI, który – tak samo jak rejestr zbiorów danych osobowych – będzie miał charakter jawny, czyli dostępny dla wszystkich.
 
2. Zgłaszanie zbiorów danych
 
Co do zasady, zbiory danych osobowych przetwarzane w firmie zgłaszamy do Generalnego Inspektora Ochrony Danych Osobowych. Dokonuje tego administrator danych.  W przypadku gdy przedsiębiorca powoła ABI i zgłosi go do rejestracji u Generalnego Inspektora, będzie zwolniony z obowiązku rejestracji zbiorów danych osobowych, za wyjątkiem zbiorów danych wrażliwych.
 
Jest to istotne novum i ułatwienie dla przedsiębiorcy.
 
3. Przekazanie zbiorów w grupie spółek i do państwa trzeciego
 
Przekazywanie danych osobowych w grupach spółek, z których nie wszystkie miały siedzibę w Unii Europejskiej, często było dla przedsiębiorców problematyczne. Z perspektywy UE, wiele z takich państw („państw trzecich”) nie spełnia warunków do bezpiecznego przetwarzania danych osobowych.
 
Od stycznia 2015r. zmienią się warunki przekazywania takich danych. Przekazanie danych osobowych do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, może nastąpić po uzyskaniu zgody Generalnego Inspektora, wydanej w drodze decyzji administracyjnej, pod warunkiem że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.
 
Zgoda Generalnego Inspektora nie jest wymagana, jeżeli administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez:
 
1) standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską  lub
 
2) prawnie wiążące reguły lub polityki ochrony danych osobowych („wiążące reguły korporacyjne"), które zostały zatwierdzone przez Generalnego Inspektora, które zostały przyjęte w ramach grupy przedsiębiorców do celów przekazania danych osobowych  do należącego do tej samej grupy innego podmiotu.
 
Ma to istotne znaczenie z perspektywy dużych i małych podmiotów (często konieczna wymiana danych ze spółką matką spoza Unii Europejskiej była już problematyczna). 
 
Całość nowelizacji należy więc ocenić pozytywnie, jest to namacalny przykład rozwiązań, które faktycznie wprowadzają dla przedsiębiorców ułatwienia. Nieprzypadkowo więc zmiany te znalazły się w kolejnym pakiecie deregulacyjnym.
 
Rafał Malujda – radca prawny
 
Tematy: know-how (80) | przedsiębiorcy (21) | firma (6) | zmiany prawne dla przedsiębiorców (6) | Rafał Malujda (3) | własna działalność (3) |
aktualizowano: 2015-01-30 02:06
cofnij drukuj do góry
Wszystkich rekordów: