Nowelizacja ustawy o ochronie danych osobowych - jakie wyzwania czekają przedsiębiorców?

W dniu 1 stycznia 2015 r. weszła w życie obszerna nowelizacja ustawy o ochronie danych osobowych. Zmiany dotyczą praktycznie każdego przedsiębiorcy w Polsce. Zachęcamy do zapoznania się z dokumentem zawierającym rekomendacje i wskazówki prawidłowego działania w dobie wprowadzonych zmian, opracowane przez naszych ekspertów prawnych.

Od 1 stycznia 2015 roku zmieniają się zasady przetwarzania danych osobowych w zakresie rejestracji zbiorów oraz przekazywania danych poza Europejski Obszar Gospodarczy. W celu dostosowania działalności do nowych przepisów, niezbędne mogą okazać się zmiany na poziomie organizacji.


Po raz pierwszy przepisy ustawy tak szeroko odnoszą się do funkcji Administratora Bezpieczeństwa Informacji. W ustawie wskazano wymagania, jakie musi spełniać osoba pełniąca funkcję ABI (m. in. ma posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych). Bezpośrednio w przepisach ustawy wskazano również katalog zadań, jakie na co dzień musi pełnić ABI. Pośród jego obowiązków wskazano między innymi prowadzenie jawnego rejestru zbiorów danych osobowych przetwarzanych w danym podmiocie.


Zmiany dotyczą również kompetencji Generalnego Inspektora Ochrony Danych Osobowych. Od początku 2015 roku będzie on mógł zażądać od każdego Administratora Bezpieczeństwa Informacji, aby ten sprawdził zgodność działania organizacji, którą reprezentuje, z przepisami o ochronie danych osobowych oraz opracował w tym zakresie sprawozdanie.


Przedsiębiorcy jako Administratorzy Danych w rozumieniu ustawy, zostali z kolei zobligowani do zgłoszenia swoich Administratorów Bezpieczeństwa Informacji do rejestru prowadzonego przez GIODO. Zgłoszenie będzie realizowane za pomocą urzędowego formularza.


Administrator danych może nie powoływać osoby pełniącej funkcję ABI (a więc także nie zgłaszać jej do rejestru GIODO), ale wówczas jest zobowiązany wypełniać większość obowiązków ABI i ponosi z tego tytułu bezpośrednią odpowiedzialność prawną. Dodatkowo w takim przypadku wszystkie zbiory danych przetwarzane przez administratora danych i podlegające rejestracji przedsiębiorca musi zgłosić do rejestru GIODO.


Nowelizacja ustawy wprowadza także duże ułatwienia w zakresie transferu danych poza terytoria Europejskiego Obszaru Gospodarczego. W praktyce sytuacje te dotyczą przede wszystkim podmiotów zlokalizowanych w Polsce, które należą do międzynarodowych grup kapitałowych, ale także wszystkich innych przedsiębiorców, którzy w ramach prowadzonej działalności biznesowej przekazują dane osobowe poza terytorium EOG (np. klientów lub swoich pracowników). Dotychczas większość tego typu operacji wymagała uzyskania uprzedniej zgody Generalnego Inspektora Ochrony Danych Osobowych, której pozyskanie było skomplikowane pod względem administracyjnym oraz czasochłonne.


Od nowego roku przedsiębiorcy będą mogli korzystać z tzw. wiążących reguł korporacyjnych lub też standardowych klauzul umownych przyjętych przez Komisję Europejską, co zwalniać będzie z obowiązku uzyskania zgody GIODO.