Od 1 stycznia zmiany w ochronie danych osobowych. Wzrośnie rola administratorów bezpieczeństwa informacji w firmach

W nowym roku firmy, w których dochodzi do przetwarzania danych osobowych, będą musiały uregulować status administratorów bezpieczeństwa informacji. ABI mają być wewnętrznymi inspektorami ochrony danych, którzy będą nadzorować proces przetwarzania danych w firmie i doradzać innym pracownikom w tym zakresie. Na mocy wchodzącej w życie 1 stycznia nowelizacji ustawy GIODO uzyska nowe uprawnienia i będzie mógł – poprzez takiego administratora – dokonać tzw. sprawdzenia w danej firmie. Dotyczy to de facto wszystkich firm zatrudniających więcej niż jednego pracownika.

– Zmiany koncentrują się na trzech obszarach: przede wszystkim przyznają szersze kompetencje Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) – mówi agencji informacyjnej Newseria Biznes Iwona Kozieł, ekspertka ds. ochrony danych osobowych w Kancelarii Lex Artist. – Będzie on prowadził rejestr działających w przedsiębiorstwach tzw. administratorów bezpieczeństwa informacji oraz uzyska możliwość przeprowadzenia w każdym podmiocie, gdzie dochodzi do przetwarzania danych osobowych, tzw. sprawdzenia. Czynność tą będą wykonywali właśnie ABI.

Zadaniem ABI ma być kontrola i nadzór nad właściwym przetwarzaniem danych osobowych oraz prowadzenie w tym zakresie dokumentacji w firmie. Ma też doradzać innym pracownikom mającym dostęp do danych osobowych. Nowym obowiązkiem firmy będzie uregulowanie statusu ABI w strukturze przedsiębiorstwa. Organizacja, która zgłosi ABI do GIODO, nie będzie musiała każdorazowo rejestrować zbiorów danych. Jak podkreślają eksperci, świadomość firm i administratorów danych w firmach na temat ochrony danych osobowych nie jest jeszcze zbyt wysoka.

– Obecnie o administratorach mówi jeden, i to bardzo krótki przepis – przypomina Kozieł. – Po wejściu w życie nowego prawa będą wprowadzone ustawowe regulacje dotyczące kompetencji osoby, która może piastować taką funkcję. Nowelizacja wskazuje również status w hierarchii przedsiębiorstwa takiej osoby, czego obecnie także brakuje.

Zgodnie z nowymi przepisami osoba, która będzie pełniła funkcję ABI, powinna m.in. mieć wyższe wykształcenie, być niekarana za przestępstwo z winy umyślnej i mieć odpowiednią wiedzę z przepisów o ochronie danych osobowych. Pozycja takiej osoby, poprzez uregulowanie jej statusu w przedsiębiorstwie, będzie mocniejsza niż do tej pory.

Nowela zmniejsza obowiązki administracyjne firm prowadzących działalność globalną. Przekazywane poza Europejski Obszar Płatniczy dane osobowe zawarte m.in. w umowach międzynarodowych nie będą wymagały każdorazowej zgody GIODO.

– Wiele podmiotów, spółek, organizacji coraz częściej działa globalnie poza Europejskim Obszarem Gospodarczym na rynkach państwa trzecich – zauważa ekspertka ds. ochrony danych osobowych w Kancelarii Lex Artis. – Dane przekazywane są do Stanów Zjednoczonych czy Indii. Nowe przepisy decydują, że nie będzie konieczne uzyskiwanie każdorazowej zgody na taką operację ze strony GIODO. Jest to więc spore ułatwienie dla przedsiębiorstw prowadzących działalność globalną.

Nowelizacja dotyczy wszystkich podmiotów, zatrudniających choćby jednego pracownika.  

– Wszędzie tam dochodzi już bowiem do przetwarzania danych osobowych – wskazuje Kozieł. – W momencie przyjęcia do pracy co najmniej jednego zatrudnionego właściciel firmy lub wyznaczona przez niego osoba ma już do czynienia z danymi osobowymi. Bez względu na branżę czy strukturę właścicielską nowe regulacje będą się odnosiły do wszystkich podmiotów spełniających takie warunki.

Nowelizacja ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych wchodzi w życie 1 stycznia, ale przedsiębiorstwa będą miały pół roku na dostosowanie statusu ABI do obowiązujących przepisów (do 30 czerwca przyszłego roku).