Kiedy nie trzeba zarejestrować zbioru danych u GIODO? – zmiany w prawie

Zawartość

UWAGA – od 25 maja 2018 roku poniższa treść stanie się częściowo nieaktualna. 

Co do zasady zgodnie z art. 40 ustawy o ochronie danych osobowych administrator danych ma obowiązek zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO). Z początkiem roku pojawią się nowe możliwości dla administratorów danych w tym zakresie.

Administrator bezpieczeństwa informacji zwalnia administratora danych z obowiązku rejestracji zbioru

Zgodnie z nowelizacją prawa, która wejdzie w życie 1 stycznia 2015 roku, administrator danych, który powoła w swojej firmie administratora bezpieczeństwa informacji (ABI) i zgłosi go GIODO nie będzie podlegać obowiązkowi rejestracji zbiorów danych osobowych.

Kiedy zwolnienie nie ma zastosowania?

W przypadku tzw. danych wrażliwych tj. danych ujawniających:

– pochodzenie rasowe lub etniczne,

– poglądy polityczne,

– przekonania religijne lub filozoficzne,

– przynależność wyznaniową, partyjną lub związkową,

A także danych:

– danych o stanie zdrowia,

– kodzie genetycznym,

– nałogach lub życiu seksualnym

– dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym,

powołanie administratora bezpieczeństwa informacji nie znosi obowiązku rejestracji takich zbiorów danych osobowych.

Co robi ABI?

Administrator bezpieczeństwa informacji:

– zapewnia przestrzeganie przepisów o ochronie danych osobowych ( jest odpowiedzialny m.in. za politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącą do przetwarzania danych osobowych);

– prowadzi rejestr zbiorów danych przetwarzanych przez administratora danych

ponadto:

– administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa powyżej.

Kto może zostać ABI?

Administratorem bezpieczeństwa informacji może być osoba, która:

  1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
  2. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
  3. nie była karana za umyślne przestępstwo.

Powołanie ABI nie jest obowiązkowe

Powołanie ABI nie jest obowiązkiem Przedsiębiorcy, ale wówczas przedsiębiorca musi się liczyć z tym, że to on, jako administrator danych, musi zająć się wszelkimi kwestiami związanymi z przetwarzaniem danych przez jego firmę.

Dla kogo Administrator bezpieczeństwa informacji?

Wydaje mi się, że ABI sprawdzi się przede wszystkim w większych firmach, które prowadzą np. kilka zbiorów danych osobowych, które ulegają częstym zmianom, których w przypadku powołania administratora bezpieczeństwa informacji nie będzie trzeba zgłaszać do GIODO.

W przypadku mniejszych firm może się okazać, że powołanie ABI nie jest uzasadnione m.in. ze względu na niewspółmierne koszty powołania ABI w stosunku do ilości pracy jaka jest przez takiego administratora do wykonania.

Wiele zależy również od Waszej wiedzy oraz możliwości czasowych w zakresie wykonywania obowiązków administratora danych. Jeśli posiadacie jeden zbiór danych, którego parametry (np. rodzaj zbieranych danych) nie zmieniają się może się okazać, że bardziej opłaca się Wam zarejestrować zbiór i zarządzać nim samodzielnie niż powoływać ABI, co wiąże się z formalnościami i kosztami.