Jak dostosować firmę do wymogów nowelizacji ustawy o ochronie danych osobowych? – artykuł Anny Rak na łamach biuletynu Polskiej Izby Handlu

04.2015

Jak dostosować firmę do wymogów nowelizacji ustawy o ochronie danych osobowych? Jak zmiany ustawy wpłyną na działalność przedsiębiorców?

Zmiany ustawy o ochronie danych osobowych weszły w życie 1 stycznia 2015r. Wprowadzone zostały: nowe procedury przekazywania danych osobowych do państw spoza EOG i nowa rola Administratora Bezpieczeństwa Informacji (ABI).

Zbiory danych osobowych prowadzone bez wykorzystania systemów informatycznych („papierowe”) zostały zwolnione z obowiązku rejestracji. Po wyznaczeniu i zarejestrowaniu ABI, zarówno „papierowe” jak i „cyfrowe” zbiory danych zwolnione są z obowiązku rejestracji - wówczas to na ABI spoczywa obowiązek prowadzenia rejestru zbiorów danych przetwarzanych przez administratora danych (przedsiębiorcę).

Powołanie ABI po nowelizacji pozostało fakultatywne. Administrator danych musi zgłosić powołanie lub odwołanie ABI do rejestru prowadzonego przez GIODO wg wzoru [1]. ABI powołanych przed 01.01.2015r. należy zarejestrować najpóźniej 30.06.2015r. Przedsiębiorcy będą zmuszeni do korzystania z usług podmiotów świadczących profesjonalne usługi - nowelizacja wprowadza szereg wymogów formalnych dla kandydatów na ABI.

Przewidziano dwie wygodniejsze procedury przekazywania danych. Pierwsza to zawarcie z podmiotem przyjmującym dane umowy zawierającej standardowe klauzule umowne ochrony danych osobowych (standard contractual clauses) [2]. Transfer na podstawie takiej umowy nie wymaga zgody GIODO.

Druga procedura to przyjęcie w ramach grupy korporacyjnej wewnętrznych prawnie wiążących reguł ochrony danych osobowych (binding corporate rules - BCR) dla celów przekazywania danych między podmiotami należącymi do tej samej grupy. BCR podlegają uprzedniemu zatwierdzeniu decyzją przez GIODO. Możliwość dokonywania transferów danych na podstawie zatwierdzonego dokumentu o charakterze regulaminu wewnętrznego ma zapobiec mnożeniu umów transferowych, a tym samym kosztów.

Dzięki nowelizacji przedsiębiorcy mogą spełniać obowiązki z ustawy o ochronie danych osobowych łatwiej i sprawniej: wyznaczając ABI, przyjmując BCR, używając standard contractual clauses.

Masz pytania, skontaktuj się z autorką:

Anna Rak, aplikant adwokacki w FKA Furtek Komosa Aleksandrowicz
E: arak@fka.pl

Źródło: Polska Izba Handlu

[1] Rozporządzenie Ministra Administracji i Cyfryzacji[1] z 10.12.2014r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. 2014, poz. 1934)

[2] Klauzule znajdują się w Decyzjach Komisji Europejskiej (2001/497/WE; 2004/915/WE; 2010/87/UE)

 

Pobierz pdf:

Specjalizacja: 
Źródło: 
Polska Izba Handlu