Co nowelizacja ustawy o ochronie danych osobowych oznacza dla e-commerce?

Przeczytaj także: 5 kroków w stronę bezpieczeństwa danych osobowych

Część obowiązków, realizowanych do tej pory przez Generalnego Inspektora Ochrony Danych Osobowych (zwanego dalej: GIODO) przeniesiona została na administratorów danych osobowych (zwanych dalej: ADO) i w konsekwencji, na powołanych przez nich administratorów bezpieczeństwa informacji (zwanych dalej: ABI). Ponadto, nowelizacja Ustawy wprowadziła istotne uproszczenia w zakresie rejestracji zbiorów danych osobowych.

I Zwolnienie z obowiązku rejestracji

Znowelizowana Ustawa zawiera m.in. szerszy niż dotychczasowy katalog zwolnień z obowiązku rejestracji zbiorów danych osobowych. Od 1 stycznia 2015 r. wprowadzono kolejne zwolnienie obejmujące zbiory prowadzone bez wykorzystania systemów informatycznych, w których nie są przetwarzane dane wrażliwe.

Ponadto, obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane wrażliwe, nie podlega ADO, który powołał ABI i zgłosił go GIODO do rejestracji. Oznacza to, że co do zasady ADO przetwarzający dane nie mające charakteru danych wrażliwych, który wyznaczył w swojej organizacji ABI oraz wypełnił odpowiednie zgłoszenie i przesłał je do biura GIODO, w ogóle nie będzie musiał zgłaszać zbiorów danych do GIODO.

II Nowe obowiązki ABI

ADO może powołać ABI, do którego zadań będzie należało, w szczególności:

1. sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla ADO,
2. nadzorowanie opracowania i aktualizowania polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, jak również przestrzegania zasad określonych w tych dokumentach,
3. zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
4. prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez ADO, z wyjątkiem zbiorów zwolnionych z obowiązku rejestracji.

Ponadto, ADO może powierzyć ABI wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa powyżej.

W przypadku niepowołania ABI zadania wskazane powyżej, z wyłączeniem obowiązku sporządzania sprawozdania, wykonuje ADO.

Rozporządzenia wykonawcze, które zostały wydane w związku z nowelizacją Ustawy określają szczegółowy tryb i sposób realizacji zadań oraz sposób prowadzenia rejestru zbiorów danych przez ABI.

III Zgłoszenie powołania/odwołania ABI do rejestru

ADO jest obowiązany zgłosić do rejestracji GIODO powołanie i odwołanie ABI w terminie 30 dni od dnia jego powołania lub odwołania.

ABI powinien spełniać następujące warunki:

1. mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych;
2. posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych;
3. być niekaranym za umyślne przestępstwo.

Nadto ABI musi podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej ADO, zaś ADO obowiązany jest zapewnić środki i organizacyjną odrębność ABI niezbędne do niezależnego wykonywania przez niego zadań.

Zgłoszenie powołania i odwołania ABI GIODO powinno nastąpić na formularzach, których wzory określa rozporządzenie wykonawcze do nowelizacji Ustawy. W rozporządzeniu tym określono nadto szczegółowy zakres danych, które winny być zawarte w zgłoszeniu powołania i odwołania ABI.

ADO jest obowiązany zgłosić GIODO zmianę informacji objętych zgłoszeniem, o którym mowa powyżej, w terminie 14 dni od dnia zmiany. Do zgłaszania zmian stosuje się odpowiednio przepisy o zgłoszeniu powołania ABI.