Ochrona danych osobowych w firmie i szkolenia ABI
Jak realizować zadania w celu zapewniania przestrzegania przepisów o ochronie danych osobowych?

Jak realizować zadania w celu zapewniania przestrzegania przepisów o ochronie danych osobowych?

dane

Od 01 stycznia 2015 r. zaczęły obowiązywać zmiany wprowadzone ustawą z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (tzw. IV ustawa deregulacyjna) w zakresie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO). Wprowadzone zmiany były omawiane wcześniej, dlatego w tym miejscu swoją uwagę skupię na braku aktów wykonawczych do znowelizowanych regulacji.

Ustawodawca starając się uprościć funkcjonowanie administratorów danych zwolnił ich z obowiązku zgłoszenia do rejestracji posiadanych zbiorów danych osobowych w przypadku, gdy powołali i zgłosili Generalnemu Inspektorowi Ochrony Danych Osobowych administratora bezpieczeństwa informacji. Było to bezpośrednio związane z uchyleniem art. 36 ust. 3 UODO i dodaniem nowych przepisów art. 36a oraz art. 36b wprowadzających możliwość powołania administratora bezpieczeństwa informacji, a także regulujących jego podstawowe zadania tj. obowiązek zapewnienia stosowania przepisów o ochronie danych osobowych oraz prowadzenia jawnego rejestru zbiorów danych przetwarzanych w jednostce organizacyjnej, zawierającego informacje, o których mowa w art. 41 ust. 1 pkt. 1-4a i 7 UODO.

Pomimo faktu obowiązywania znowelizowanych przepisów UODO od początku 2015 r. przepisy wykonawcze do wprowadzonych zmian są nadal na poziomie konsultacji i opiniowania. Dotyczy to projektów dwóch rozporządzeń do których wydania został upoważniony Minister właściwy do spraw administracji publicznej (art. 36a ust. 9 UODO):

  1. Rozporządzenia Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych,
  2. Rozporządzenia Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych,

Jedynie Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji obowiązuje od dnia 1 stycznia 2015 r.

Należy wskazać, że można w pełni korzystać z przedmiotowego zwolnienia, z obowiązku rejestracji zbiorów danych na skutek powołania Administratora Bezpieczeństwa Informacji, gdyż istnieje faktyczna możliwość zgłoszenia takiego ABI do bazy Generalnego Inspektora Ochrony Danych Osobowych. Z kolei brak jest uregulowań mających stanowić o sposobie realizacji obowiązków ABI, określonych w nowelizacji. Wobec tego nie jest pewne jak z takiego zwolnienia korzystać, skoro z jednej strony przesłanka zwolnienia jest spełniona, zatem z momentem zgłoszenia ABI do GIODO jest ono w pełni skuteczne, z drugiej jednak strony nie jest określony sposób realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych, a co najważniejsze sposób prowadzenia przez niego rejestrów zbiorów danych osobowych posiadanych przez Administratora danych.

Więcej:

– Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji,

– projekt rozporządzenia Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych,

-projekt rozporządzenia Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych.

Marcin Kaleta

Prezes Zarządu