Początek roku był dla e-przedsiębiorców szczególnie wymagający. Po pierwsze, 25 grudnia 2014 r. weszła w życie nowa ustawa o prawach konsumenta, która rozszerzyła zakres obowiązków informacyjnych nałożonych na sprzedawców internetowych, a dodatkowo wzmocniła uprawnienia klientów m.in. wydłużyła termin na odstąpienie od umowy. Po drugie, 1 stycznia 2015 r. weszła w życie nowelizacja ustawy o ochronie danych osobowych, która miała uprościć skomplikowany proces rejestracji zbiorów baz danych. Ustawa o prawach konsumenta, a przede wszystkim prawa i obowiązki z niej wypływające, były już przedmiotem licznych wpisów. W niniejszym artykule skupimy się na nowelizacji ustawy o ochronie danych osobowych, która spędza sen z powiek niejednemu e-przedsiębiorcy.
Co zmieniała nowelizacja?
Główne założenie nowelizacji ustawy o ochronie danych osobowych można streścić w haśle "mniej biurokracji". Nowe przepisy dają przedsiębiorcy prawo wyboru. Dotychczas wszyscy przedsiębiorcy, którzy przetwarzali dane osobowe mieli obowiązek dokonać zgłoszenia odpowiednich zbiorów baz danych, za wyjątkiem przypadków określonych w ustawie. Od 1 stycznia 2015 r. przedsiębiorca (Administrator Danych Osobowych) ma możliwość uniknięcia zgłoszenia zbiorów w GIODO, ale musi powołać Administratora Bezpieczeństwa Informacji (dalej: ABI) i zgłosić go w GIODO.
Czy zgłoszenie Administratora Bezpieczeństwa Informacji to obowiązek?
Zgłoszenie ABI-ego to uprawnienie, nie obowiązek. Ustawodawca daje przedsiębiorcy wybór z którego może, ale nie musi skorzystać. Warto pamiętać, że przedsiębiorcy którzy przez 1 stycznia 2015 r. powołali ABI-ego, muszę go zgłosić do GIODO w terminie do 30 czerwca 2015 r.
Zadania ABI-ego
Głównym zadaniem ABI-ego jest zapewnianie przestrzegania przepisów o ochronie danych osobowych. Powyższy cel realizuje poprzez:
- sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
- nadzorowanie opracowania i aktualizowania dokumentacji, z których wynikają procedury ochrony danych osobowych w przedsiębiorstwie oraz przestrzegania zasad w niej określonych. Chodzi przede wszystkim o politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym.
- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
Prowadzenie Rejestru Zbiorów Danych
Do zadań ABI-ego należy także prowadzenie zbiorów danych przetwarzanych przez administratora danych osobowych, z wyjątkiem zbiorów które są wyłączone od obowiązku rejestracji. Zbiór danych prowadzony przez ABI-ego musi zawierać następujące informacje:
- oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej (tj. nr REGON), jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a; oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
- cel przetwarzania danych (np. cel marketingowy, cel księgowy, cel statystyczny),
- opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych (np. klienci sklepu internetowego, subskrybenci newslettera itd.);
- sposób zbierania oraz udostępniania danych;
- informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane;
- opis środków technicznych i organizacyjnych zastosowanych w celach zabezpieczenia danych osobowych
- informację o sposobie wypełnienia warunków technicznych i organizacyjnych, wprowadzonych celem ochrony danych osobowych
- informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Odpowiedzialność ABI-ego
Po pierwsze, osoba pełniąca funkcję Administratora Bezpieczeństwa Informacji, która nie wykonała ciążących na niej obowiązków zabezpieczenia danych osobowych odpowiada z tytułu odpowiedzialności kontraktowej, za niewykonywanie lub nienależyte wykonywanie swoich obowiązków, przed Administratorem Danych Osobowych.
Po drugie, ABI na mocy art. 51 ustawy o ochronie danych osobowych może zostać również pociągnięty do odpowiedzialności karnej za udostępnianie lub umożliwienie dostępu do danych osobom do tego nieupoważnionym.
Podsumowanie
Przedsiębiorca ma wybór: albo zgłaszam zbiory w GIODO i nie powołuję ABI-ego, albo powołuję ABI-ego i nie zgłaszam zbiorów w GIODO. Każdy wariant ma swoje plusy i minusy. Za zgłoszeniem ABI-ego z pewnością przemawia fakt zwolnienia przedsiębiorcy ze zgłoszenia zbiorów w GIODO oraz rozłożenia odpowiedzialności pomiędzy ADO i ABI. Minusami powołania ABI-ego są konieczność jego zgłoszenia w GIODO oraz opracowanie szczegółowych obowiązków ABI-ego.
Nowelizacja ustawy o ochronie danych osobowych - co się zmienia?
Bezpieczne regulaminy sklepów i serwisów internetowych