23 października 2014 roku Sejm przyjął tzw. IV ustawę deregulacyjną, która wprowadziła zmiany w blisko trzydziestu innych ustawach, w tym także w ustawie o ochronie danych osobowych. Od 1 stycznia 2015 r. zaczęły obowiązywać znowelizowane przepisy ustawy o ochronie danych osobowych Wprowadzone nowe przepisy zmierzają do zwiększenia skuteczności oddziaływania GIODO na stan i poziom przestrzegania ochrony danych osobowych w Polsce. Nowelizacja ustawy jest również częścią procesu implementacji unijnej Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. UE L 281 z 23.11.1995, str. 31, z późn. zm.) Duże zmiany dla Administratorów Danych Osobowych (ABI) Nowelizacja ustawy o ochronie danych osobowych doprecyzowuje zarówno wymagania w stosunku do ABI, jak i jego rolę i zadania. Zgodnie z przewidzianymi zmianami administrator danych osobowych nie ma obowiązku wyznaczania administratora bezpieczeństwa informacji. Jednak w przypadku jego niepowołania, wszystkie obowiązki przewidziane dla ABI z wyjątkiem sporządzania sprawozdania, ADO będzie musiał wykonywać sam. Zgłoszenia ABI Nowy art. 46b ust. 2 ustawy o ochronie danych osobowych, w zgłoszeniu powołania ABI, administrator danych osobowych będzie musiał zawrzeć: oznaczenie samego ADO, 1 / 7
dane administratora bezpieczeństwa informacji (imię i nazwisko, numer PESEL lub numer i nazwa dokumentu potwierdzającego tożsamość (jeśli numer PESEL nie został nadany), adres do korespondencji, jeśli jest inny niż adres siedziby ADO), datę powołania, oświadczenie, że powołany przez niego ABI spełnia wymagania stawiane mu przez stawę. Zgłoszenie powołanego administratora bezpieczeństwa informacji nastąpić musi w terminie 30 dni od dnia jego powołania. 30-dniowy termin przewidziano również dla obowiązku zgłoszenia odwołania administratora bezpieczeństwa informacji. UWAGA! Ustawodawca przewidział krótki 14-dniowy termin do zgłoszenia zmian jakichkolwiek informacji, które podać należy w samym zgłoszeniu Rejestr ABI W związku w wprowadzeniem nowego rodzaju zgłoszeń, powstanie nowy rejestr. Od 1 stycznia 2015 roku, na podstawie art. 46c ustawy o ochronie danych osobowych, GIODO prowadzić będzie ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji. W rejestrze zawarte będą oczywiście informacje w zakresie węższym, niż przewidziany dla samego zgłoszenia. I tak, poza informacją o ADO, ujawnione w rejestrze będą informacje o ABI: jego imię i nazwisko oraz adres korespondencyjny. Numer PESEL lub numer i nazwa dokumentu potwierdzającego tożsamość nie będą ujawniane w rejestrze. Wykreślenie ABI z omawianego rejestru następować będzie w przypadku zgłoszenia odwołania ABI przez administratora danych osobowych lub w przypadku śmierci ABI. Generalny Inspektor Ochrony Danych Osobowych, zgodnie z art. 46d ust. 2 ustawy, z urzędu wydawał będzie decyzję o wykreśleniu danego ABI z rejestru, jeśli nie będzie spełniał on wymogów, określonych w art. 36a ust. 5 lub 7 ustawy o ochronie danych osobowych w znowelizowanej wersji lub też jeśli ABI nie będzie realizował zadań powierzonych mu zgodnie z art. 36a ust. 2 albo też, gdy ADO nie powiadomi Generalnego Inspektora o odwołaniu ABI. W przypadku ponownego zgłoszenia przez administratora danych do rejestracji Generalnemu Inspektorowi powołania administratora bezpieczeństwa informacji wykreślonego z rejestru administratorów bezpieczeństwa informacji, Generalny Inspektor, w drodze decyzji administracyjnej: 1. wpisuje administratora bezpieczeństwa informacji do rejestru administratorów bezpieczeństwa informacji po stwierdzeniu, że nie zachodzą przyczyny wykreślenia z rejestru; 2 / 7
2. odmawia wpisania administratora bezpieczeństwa informacji do rejestru administratorów bezpieczeństwa informacji, jeżeli nie zostały usunięte przyczyny wykreślenia z rejestru. Administrator Danych Osobowych (ABI) W celu prawidłowego wykonywania swoich zadań, administrator bezpieczeństwa informacji podlegać ma jedynie kierownikowi jednostki organizacyjnej albo osobie fizycznej będącej administratorem danych. Administratorowi bezpieczeństwa informacji zapewnić należy środki i organizacyjną odrębność, gwarantujące niezależne wykonywanie jego zadań. ABI może być osoba, która: 1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, 2. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych, 3. nie była karana za przestępstwo popełnione z winy umyślnej. Takie same wymagania są stawiane w stosunku do zastępcy ABI. Administrator danych może powierzyć ABI wykonywanie innych obowiązków, jeżeli nie naruszy 3 / 7
to prawidłowego wykonywania jego obowiązków. Ustawowy katalog zadań ABI obejmuje: 1. zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, nadzorowanie opracowania i aktualizowania dokumentacji ochrony danych osobowych, oraz przestrzegania zasad w niej określonych, zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych 2. prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych, zawierającego nazwę zbioru oraz: oznaczenie ADO, cel przetwarzania zbiorów, 4 / 7
opis kategorii osób, których dane dotyczą oraz zakres przetwarzanych danych, sposób zbierania oraz udostępniania danych, informację o odbiorach lub kategoriach odbiorców, którym dane mogą być przekazywane, informację o ewentualnym przekazywaniu danych do państw trzecich. 3. opracowywanie sprawozdania dla ADO i dla GIODO, jeśli tego zażąda. Szczegółowy zakres sprawozdania 1. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, 2. imię i nazwisko administratora bezpieczeństwa informacji, 3. wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach, 4. datę rozpoczęcia i zakończenia sprawdzenia, 5. określenie przedmiotu i zakresu sprawdzenia, 5 / 7
6. opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 7. stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem, 8. wyszczególnienie załączników stanowiących składową część sprawozdania, 9. podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania, 10. datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji. Zmiany w obowiązku rejestracyjnym Jedną z kluczowych zmian jest zwolnienie z obowiązku rejestracji: zbiorów administratorów danych, którzy powołali i zgłosili Generalnemu Inspektorowi Danych Osobowych administratora bezpieczeństwa informacji. Nie dotyczy to jednak zbiorów, w których przetwarzane są dane wrażliwe; tradycyjnych zbiorów danych (które nie są prowadzone z wykorzystaniem systemów informatycznych), o ile nie będą zawierały danych wrażliwych; Nowe zasady przekazywania danych do państw trzecich Od 1 stycznia 2015 roku obowiązywać będzie zmieniony art. 48, który mówi o możliwości przekazania danych osobowych do państw trzecich niezapewniających na swoim terytorium odpowiedniego poziomu ochrony danych za zgodą GIODO. Zgodnie z art. 48 w nowym brzmieniu, przekazanie danych będzie możliwie również bez zgody GIODO, o ile ADO zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osób, których dane dotyczą poprzez: 6 / 7
standardowe klauzule umowne ochrony danych zatwierdzone przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995r., wiążące reguły korporacyjne zatwierdzone przez GIODO. Procedura zatwierdzania wiążących reguł korporacyjnych (BCR binding corporate rules) przewidziana została w art. 48 ust. 3-5 ustawy. Zgodnie z tą procedurą, GIODO zatwierdza BCR przyjęte w ramach grupy przedsiębiorców do celów przekazania danych przez ADO lub procesora do innego ADO lub procesora z tej samej grupy w państwie trzecim. W celu odpowiedniej oceny przedłożonych do zatwierdzenia reguł, GIODO może przeprowadzać konsultacje z właściwymi organami ds. ochrony danych z państw należących do Europejskiego Obszaru Gospodarczego. Przewidziane zmiany wiązać się będą z koniecznością wprowadzenia nowych rozporządzeń wykonawczych do ustawy. Projekty rozporządzeń zostały opracowane już przez Biuro GIODO, a dotyczyć będą sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych, trybu i sposobu wykonywania zadań przez administratora bezpieczeństwa informacji oraz wzorów zgłoszeń powołania administratora bezpieczeństwa informacji do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych oraz odwołania administratora bezpieczeństwa informacji. 7 / 7