Na nowe przepisy można patrzeć z dwóch stron – w zależności od przyjętego wariantu postępowania w konkretnym przypadku dla konkretnego podmiotu może to być albo zniesienie obowiązku zgłaszania zbioru do GIODO, albo zniesienie obowiązku wyznaczenia ABI. Firmy i jednostki organizacyjne będą musiały wybrać albo pełnienie funkcji nadzorcy ochrony danych przez administratora danych (właściciela, Zarząd, Dyrekcję) z wdrożeniem dokumentacji i rejestracją zbiorów do GIODO, albo wyznaczenie ABI z jego zgłoszeniem go do rejestru GIODO, który będzie czuwał nad dokumentacją i zbiorami wewnątrz podmiotu. W niniejszym artykule przedstawiamy jaki wariant wybrać.
Nowelizacja znosi w aktualny dziś obowiązek wyznaczania ABI (którego w myśl starych przepisów nie muszą wyznaczać jedynie „jednoosobowi administratorzy danych”, czyli tacy, którzy osobiście mogą pełnić funkcję ABI np. w przypadku jednoosobowej działalności gospodarczej). W przypadku np. spółki z ograniczoną odpowiedzialnością, przetwarzającej np. dane osobowe klientów w myśl starych przepisów zarząd miał obowiązek wyznaczenia ABI oraz zgłoszenia zbioru do GIODO (chyba że jest zwolniony z obowiązku zgłaszania na podstawie art. 43 ust. 1 uodo). W myśl nowych przepisów będzie miał jedynie obowiązek zgłoszenia zbioru do GIODO, chyba że wyznaczy ABI, zgłosi go do rejestru ABI prowadzonego przez GIODO oraz będzie zapewniał ABI możliwość realizacji swoich czynności.
Nowe przepisy utrzymują obowiązek prowadzenia dokumentacji przetwarzania danych (Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemem Informatycznym itd.).
Nie jest do końca zrozumiałe, dlaczego ustawodawca praktycznie zrezygnował z wprowadzenia dłuższego okresu vacatio legis (przy nowej ustawie o prawach konsumenta było to 6 miesięcy) – wprowadzenie tak kompleksowych zmian w tak krótkim czasie może skutkować powstaniem chaosu po stronie podmiotów podlegających nowym przepisom.
Warto jednak zastanowić się nad wyborem wariantu odpowiedniego w przypadku określonego podmiotu – rejestracja zbioru danych w GIODO, w przypadku gdy funkcję związane z ochroną danych będzie osobiście sprawował administrator danych (kierownik jednostki organizacyjnej), będzie generowała znacznie mniej biurokratycznych obowiązków niż wyznaczenie ABI wpisanego do rejestru.
Zmiany od 1 stycznia 2015 będą polegały w szczególności na:
Jaki wariant spowoduje mniej obowiązków do spełnienia?
Paradoksalnie – największym „ułatwieniem” będzie możliwość pozwalająca na uniknięcie „dobrodziejstw” płynących z nowelizacji, czyli nie wyznaczanie ABI i zgłaszanie przetwarzanych zbiorów danych zwykłym trybem – eliminuje to takie obowiązki jak:
Jak zatem optymalnie spełnić obowiązki?
Po pierwsze wdrożyć dokumentację ochrony danych osobowych
Przede wszystkim każda firma lub jednostka organizacyjna bezwzględnie musi posiadać dokumentację przetwarzania danych osobowych, zgodną z rozporządzeniem do art. 39a ustawy, w tym szczególnie dokument polityki bezpieczeństwa, instrukcje zarządzania systemem informatycznym, wykazy ewidencyjne czy umowy powierzenia przetwarzania danych osobowych.
Brak dokumentacji może łączyć się z karami od 10.000 do 50.000 zł za każde uchybienie w związku z niewykonaniem decyzji administracyjnych. W celu spełnienia niniejszego elementu warto skorzystać z kompletnej dokumentacji przetwarzania danych RBDO >>
Po drugie wybór: Rejestracja zbiorów do GIODO lub wyznaczenie ABI i jego imienne zgłoszenie do rejestru ABI
Jeśli podmiot wdrożył już dokumentację, na spełnienie reszty obowiązków od 1 stycznia 2015 będzie mógł wybrać, albo zgłoszenie zbiorów danych podlegających pod rejestrację do GIODO (np. zbiory Klientów, newslettery, rejestry korespondencji, monitoring) albo wyznaczyć Administratora Bezpieczeństwa Informacji.
W przypadku rejestracji zbiorów danych do GIODO, można skorzystać z z dokumentacji przetwarzania danych osobowych z instrukcją zgłoszenia zbioru do GIODO i wsparciem prawnym >>
Jeśli firma zdecyduje się na wyznaczenia ABI, – wówczas rekomendujemy usługę kompleksowego wdrożenia ze szkoleniem ABI z 12 miesięcznym wsparciem prawnym >
Co zmiany oznaczają w praktyce?
Warto podkreślić, że zgłoszenie ABI do GIODO, oznacza brak konieczności rejestracji zbiorów do GIODO. Administrator danych (kierownik jednostki organizacyjnej), który wyznaczy ABI nie będzie miał obowiązku, aby zgłaszać zbiory do rejestracji w GIODO. Jednak ABI będzie miał obowiązek prowadzenia jawnego rejestru zbiorów danych wg ustalonego w rozporządzeniu wzoru.
Zniesienie obowiązku rejestracji zbiorów danych jak dotychczas do GIODO, w związku ze zgłoszeniem Administratora Bezpieczeństwa informacji nie będzie dotyczyć zbiorów danych tzw. wrażliwych (określonych w art. 27 uodo, czyli np. stan zdrowia, nałogi, poglądy polityczne itp.), chyba że wynika to z brzmienia art. 43 ust. 1
Podmiot ma zatem wybór – albo wyznacza Administratora Bezpieczeństwa Informacji albo zgłasza zbiory danych do GIODO.
ABI natomiast będzie zobowiązany do spełnienia w szczególności:
Powołany ABI będzie miał obowiązek raportowania do GIODO wszelkich uchybień
Ustawa zatem przede wszystkim wprowadza rozszerzenie kompetencji GIODO m. in. do prowadzenia rejestru Administratorów Bezpieczeństwa Informacji (ABI). To nie wszystko, GIODO, będzie miał możliwość zwrócenia się do ABI w celu zlecenie kontroli zastępczej w imieniu GIODO wskazując zakres i termin takiej kontroli.
W rzeczywistości zatem ABI będzie organem kontrolnym w przypadku wszelkich incydentów związanych z ochroną danych.
Dotychczas kontroli dokonywał wyłącznie GIODO lub w zakresie pracowników PIP (który jedynie zgłaszał te uchybienia do GIODO). Nowe przepisy zobowiązuję do przeprowadzenie kontroli wewnętrznego ABI, który następnie będzie miał obowiązek wysłać wyniki kontroli do GIODO. Nie zmienia to faktu, że GIODO dalej będzie miał możliwość bezpośredniej kontroli administratora danych poprzez wysłanie inspekcji.
Źródło:
Wszelkie Prawa zastrzeżone – RBDO.PL
Rejestracja i Bezpieczeństwo Danych Osobowych
www.rbdo.pl
(Rzecznikprasowy.pl)
© APLIT Wszelkie prawa zastrzeżone.