Wejście w życie ustawy z 7 listopada 2014 roku o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 r., poz. 1662) spowodowało nowelizację ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. 1997 Nr 133, poz. 883 ze zm.). Wprowadzono ułatwienia związane z rejestracją zbiorów danych osobowych, uchylony został obowiązek wyznaczania administratora bezpieczeństwa informacji (dalej „ABI”), sprecyzowano sposób powoływania ABI, zakres jego zadań oraz podległość organizacyjną, uproszczono przekazywanie danych osobowych do państw trzecich.
Zwolenie z obowiązku rejestracji zbioru danych w GIODO
Nowelizacja wprowadza zwolnienie z obowiązku zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych („GIODO”) zbiorów danych osobowych w przypadku, gdy administrator danych powołał ABI i zgłosił go GIODO do rejestracji. Zbioru danych nie będą musieli również rejestrować administratorzy przetwarzający je w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych.
– Co ważne, zwolnienie z obowiązku rejestracji nie obejmuje administratorów danych, którzy przetwarzają dane wrażliwe podlegające szczególnej ochronie prawnej. Dane wrażliwe, zdefiniowane w art. 27 ust. 1 ustawy o ochronie danych osobowych obejmują m.in.: dane ujawniające przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym czy nałogach – tłumaczy adwokat Justyna Metelska z TGC Corporate Lawyers.
Uchylenie obowiązku wyznaczenia Administratora Bezpieczeństwa Informacji
W wyniku zmiany przepisów, to administrator danych decyduje czy powoła ABI. Uchylony został przepis art. 36 ust. 3 ustawy o ochronie danych osobowych nakładający obowiązek wyznaczenia ABI, za wyjątkiem sytuacji, w których administrator sam wykonywał te czynności. Nowelizacja wprowadza zatem możliwość powołania ABI, jednocześnie określa jego podstawowe obowiązki, warunki powołania, możliwość wyznaczenia zastępcy oraz wskazuje na podległość organizacyjną. ABI podlega bezpośrednio kierownikowi danej jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.
– GIODO prowadzi ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji. Administrator danych ma obowiązek zgłoszenia do rejestracji GIODO powołanie oraz odwołanie ABI w terminie 30 dni od daty zaistnienia zmiany. Wzory zgłoszeń powołania i odwołania ABI do rejestracji GIODO określa nowe Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 roku w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. z 2014r., poz. 1934) – dodaje ekspertka.
Zgodnie z przepisem art. 35 ustawy o ułatwieniu wykonywania działalności gospodarczej, ABI wyznaczony na podstawie uchylonego przepisu pełni swoją funkcję do czasu zgłoszenia go do rejestru administratorów bezpieczeństwa informacji, nie dłużej jednak niż do dnia 30 czerwca 2015 r.