Rejestracja zbiorów danych osobowych w kontekście rozszerzenia kompetencji Administratora Bezpieczeństwa Informacji po nowelizacji Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

 

Z dniem 1 stycznia 2015 r. weszła w życie nowelizacja Ustawy dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 1997 nr 133 poz. 883 z późn. zm.). Jedną z kluczowych zmian jest rozszerzenie kompetencji Administratora Bezpieczeństwa Informacji (ABI).

W rozumieniu ustawy o ochronie danych osobowych (dalej „u.o.d.o.”), zbiór danych osobowych to: „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Danych Osobowych (GIODO), który prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych. Zgłoszenie zbioru danych do rejestracji powinno zawierać m.in.: oznaczenie administratora danych, cel przetwarzania danych, sposób zbierania oraz udostępniania danych. Wyjątkiem w zakresie przetwarzania danych są tak zwane dane wrażliwe tj. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, dane o stanie zdrowia itp., które zgodnie z art. 27 u.o.d. o. nie mogą być przetwarzane.

Zgodnie z art. 43 ust. 1a u.o.d.o., z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych, którzy powołali ABI i zgłosił ten fakt GIODO w terminie 30 dni od dnia jego powołania. Zapis ten został dodany art. 9 pkt 7 lit. b ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. 2014 poz.1662). Przedmiotowa ustawa dodatkowo wzmocniła rolę ABI-ego. Zgodnie z nowo dodanym art. 36 a i następnymi u.o.d.o.: administrator danych może powołać ABI, do którego zadań należy m.in.: zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności, prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych. Ponadto, administrator danych może powierzyć ABI-emu wykonywanie innych obowiązków. ABI ma zgodnie z u.o.d.o. podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Ustawa precyzuje również kto może zostać ABI-m: osoba, która ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, posiadająca odpowiednią wiedzę w zakresie ochrony danych osobowych; niekarana za umyślne przestępstwo.

Na podkreślenie zasługuje również fakt, że od 1 stycznia 2015 roku do zadań GIODO należy prowadzenie rejestru ABI-ch, a także udzielanie informacji o zarejestrowanych administratorach bezpieczeństwa informacji.

Podsumowując, każdy podmiot objęty zakresem u.o.d.o. od nowego roku będzie mógł wybrać, czy samodzielnie będzie dokonywał rejestru zbioru danych osobowych czy powoła w tym celu ABI-ego. W przypadku powołania i zgłoszenia ABI-ego do GIODO, administrator danych będzie zwolniony z obowiązku rejestracji zbiorów danych osobowych. Pytanie jakie może się nasunąć przedsiębiorcom, to czy będzie ich stać na zatrudnienie ABI-ego jako wyspecjalizowanej jednostkę zewnętrznej, czy może wyszkolić zatrudnionego już pracownika.