24 listopada 2014 r. Prezydent RP podpisał ustawę z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, która nowelizuje m.in. ustawę o ochronie danych osobowych.

Zmiany te dotyczyć będą między innymi pozycji administratora bezpieczeństwa informacji (ABI) i zakresu jego obowiązków, a także kwestii rejestracji zbiorów danych osobowych w GIODO (Główny Inspektor Ochrony Danych Osobowych), które w części będą zwolnione z rejestracji wobec prowadzenia rejestru przez ABI, bowiem administratorzy danych, którzy powołają i zgłoszą ABI będą zwolnieni z obowiązku rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane wrażliwe.

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182) wprowadza się szereg zmian.

Między innymi zmiany te dotyczą ABI w związku, z czym do zadań administratora bezpieczeństwa informacji powołanego przez administratora danych należeć będzie:

1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

1. sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
2. nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 (administrator danych prowadzi, bowiem dokumentację opisującą sposób przetwarzania danych na podstawie rozporządzenia Ministra Spraw Wewnętrznych),
3. zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 (zwolnionych z urzędu od rejestracji), zawierającego nazwę zbioru oraz następujące informacje:

1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych;

2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania;

3) cel przetwarzania danych;

3a) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych;

4) sposób zbierania oraz udostępniania danych;

4a) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane;

7) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Ustawa doprecyzowuje, jakie przesłanki musi spełniać osoba, aby zostać administratorem bezpieczeństwa informacji, mianowicie osoba, która:

1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;

2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;

3) nie była karana za umyślne przestępstwo.

Ustawodawca uznał również, że administrator danych może powołać zastępców administratora bezpieczeństwa informacji, którzy spełniają takie same warunki jak powyżej.

Administrator zobowiązany będzie do sporządzania sprawozdania ze swojej pracy.

Szczegółowe informacje dotyczące zmian można znaleźć w ustawie o ułatwieniu wykonywania działalności gospodarczej. Już niedługo również można się spodziewać tekstu jednolitego ustawy o ochronie danych.

Kiedy zmiany?

Ustawa ma wejść w życie z dniem 1 stycznia 2015 r., z wyjątkiem zmian w Kodeksie pracy, które mają wejść w życie z dniem 1 kwietnia 2015 r.