W związku z nowelizacją ustawy o ochronie danych osobowych, w wielu organizacjach osoby zajmujące się problematyką ochrony danych osobowych zadają sobie pytanie w jaki sposób zmiany te zrealizować w praktyce.
Odpowiadając na to pytanie zaznaczamy, że – z punktu widzenia administratora danych (ADO) – nowelizacja ustawy o ochronie danych osobowych (uodo), dotyka dwóch zasadniczych kwestii.
Po pierwsze, o ile dana firma współpracuje lub, tym bardziej, zamierza rozpocząć współpracę z.podmiotami z krajów spoza Europejskiego Obszaru Gospodarczego, to warunki przekazywania danych osobowych do tych podmiotów uległy złagodzeniu. W nowym stanie prawnym zgoda GIODO na przekazanie danych osobowych do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych nie będzie wymagana w dwóch kolejnych (ale różnych) przypadkach:
- w relacjach miedzy podmiotami zastaną zastosowane standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską, albo
- w międzynarodowej grupie kapitałowej, do której należy polska spółka, zostaną wdrożone prawnie wiążące reguły lub polityki ochrony danych osobowych, zwane „wiążącymi regułami korporacyjnymi” (ang. binding corporate rules), które zostały zatwierdzone przez GIODO.
Druga, bardziej istotna, kwestia dotyczy sposobu pełnienia nadzoru nad przetwarzaniem i.ochroną danych osobowych. Dotychczas ta kwestia nie była w żaden sposób uregulowana, za wyjątkiem stwierdzenia, że ADO powołuje Administratora Bezpieczeństwa informacji (ABI), który mam się tym zająć, bądź ADO sam sprawuje nadzór (w sytuacji gdy kierownictwo firmy nie było jednoosobowe, musiała być wyznaczona konkretna osoba fizyczna pełniąca nadzór, czyli właśnie ABI).
Znowelizowana ustawa daje administratorowi danych możliwość wyboru czy powoła specjalistę w.dziedzinie ochrony danych osobowych (również ewentualnie spoza organizacji), czy nadzór nad przestrzeganiem przepisów o ochronie danych osobowych będzie realizował innymi środkami.
Zatrudnienie profesjonalnego ABI, który daje rękojmię sprawowania właściwego nadzoru (i.zgłoszenie go do GIODO), daje ADO kilka dodatkowych następujących profitów:
- brak konieczności zgłaszania nowych i aktualizacji dotychczas zgłoszonych zbiorów danych osobowych zwykłych (niewrażliwych),
- łagodniejsze i sprawniejsze kontrole GIODO, dokonywane za pośrednictwem ABI,
- (i tak jak dotychczas) osobę, który może wyręczyć ADO w wykonywaniu niektórych obowiązków przy przetwarzaniu danych, wynikających z uodo (m.in. zająć się skargami oraz wnioskami klientów i innych kontrahentów, dotyczącymi przetwarzania ich danych osobowych, aktualizacją dokumentacji przetwarzania danych osobowych, itd.).
Ponadto nowe przepisy uodo wskazują, że zapewnianie przestrzegania przepisów o ochronie danych osobowych, powinno być realizowane przez konkretne czynności, w szczególności przez:
- sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
- nadzorowanie opracowania i aktualizowania dokumentacji, opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, tj. Polityki Bezpieczeństwa danych osobowych (PDBO) i Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych (IZSI),
- nadzorowanie przestrzegania zasad określonych w PBDO i IZSI.
Ustawa o ochronie danych osobowych (uodo) zawiera delegację do rozporządzenia MAiC w.sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o.ochronie danych osobowych, zarówno przez ABI, jak i w przypadku gdy nie zostanie on wyznaczony.
W poniższej tabeli znajduje się zastawienie w/w zadań w podziale na obydwa modele sprawowania nadzoru.
Zadania ABI powołanego i zgłoszonego do GIODO | Zadania ADO, który nie zgłosił ABI do GIODO |
---|---|
sprawdzanie zgodności przetwarzania danych osobowych z przepisami (co najmniej raz do roku) | sprawdzanie zgodności przetwarzania danych osobowych z przepisami (co najmniej raz do roku) |
sprawozdanie dla ADO ze sprawdzenia i/lub zawiadomienie o nieopracowaniu lub brakach w dokumentacji | – |
weryfikacja opracowania i kompletności dokumentacji przetwarzania danych | weryfikacja opracowania i kompletności dokumentacji przetwarzania danych |
weryfikacja zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami prawa | weryfikacja zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami prawa |
weryfikacja stanu faktycznego w zakresie przetwarzania danych osobowych | weryfikacja stanu faktycznego w zakresie przetwarzania danych osobowych |
weryfikacja adekwatności środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych | weryfikacja adekwatności środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych |
prowadzenie rejestru zbiorów danych zgodnie ze stosownym rozporządzeniem MAiC oraz wykazu w.PBDO | prowadzenie wykazu zbiorów w PBDO |
zgłaszanie zbiorów danych zwykłych do rejestracji GIODO i ich aktualizacja | |
weryfikacja przestrzegania obowiązków określonych w dokumentacji przetwarzania danych | weryfikacja przestrzegania obowiązków określonych w dokumentacji przetwarzania danych |
zgłaszanie zbiorów danych wrażliwych do rejestracji GIODO i ich aktualizacja | zgłaszanie zbiorów danych wrażliwych do rejestracji GIODO i ich aktualizacja |
zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o.ochronie danych osobowych | zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o.ochronie danych osobowych |
sprawdzanie zgodności przetwarzania danych osobowych z przepisami na wniosek GIODO | pełna kontrola dokonywana przez inspektorów GIODO |
inne zadania ABI wynikające z PBDO i IZSI (np..aktualizacja PBDO i IZSI, korespondencja z.podmiotami danych osobowych) | wypełnienie wszystkich pozostałych obowiązków wynikających z przepisów o.ochronie danych osobowych |
I jeszcze na koniec drobiazg podkreślający, że zmiany w uodo zostały wprowadzone ustawą z.dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej. Otóż nawet w.przypadku niewyznaczenia ABI przez ADO, wyłączeniu z obowiązku rejestracji podlegają wszystkie zbiory danych osobowych zwykłych (niewrażliwych) prowadzone poza systemem informatycznym (czyli tzw. „papierowe”).
Pingback: Nowelizacja ustawy o ochronie danych osobowych – Soczko & Partnerzy