Prowadzisz firmę? Nie musisz rejestrować bazy w GIODO

Od 1 stycznia 2015 roku nie ma potrzeby rejestrowania bazy danych. Dzieję się tak za sprawą uchwalonej 7 listopada 2014 roku ustawy o „Ułatwieniu wykonywania działalności gospodarczej”. Zmiany w przepisach o ochronie danych osobowych dotyczą w większości roli tzw. ABI, czyli Administratora Bezpieczeństwa Wewnętrznego, któremu powierzony zostanie większy zakres obowiązków. Dobrą wiadomością dla polskich przedsiębiorców jest także to, że prowadzone zostaną istotne uproszczenia

w zakresie rejestracji zbiorów danych.

 Zmiany są bardzo istotne z punktu widzenia tzw. administratorów danych osobowych, czyli podmiotów zarządzających zbiorami informacji wykorzystywanymi przez firmy. Najważniejszą jest zniesienie obowiązku zgłoszenia zbiorów do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Z takiej możliwości skorzystać mogą przedsiębiorcy, którzy spełnią  odpowiednie warunki.

– Na nowych przepisach skorzystać mogą firmy, którze spełnią klika warunków. Przedsiębiorca, który od 1 stycznia 2015 roku nie będzie chciał zgłaszać swojej bazy danych, będzie musiał odpowiednio wcześniej zarejestrować administratora bezpieczeństwa informacji (tzw. ABI) w specjalnym rejestrze prowadzonym od nowego roku przez Generalnego Inspektora Ochrony Danych Osobowych  (GIODO). W niezarejestrowanej bazie mogą znajdować się tylko informacje, niebędące tzw. danymi wrażliwymi, które ustawa o ochronie danych osobowych ściśle określa w art. 27. Nie trzeba chyba wspominać o tym, że wewnętrzny rejestr zbiorów danych musi być prowadzony prawidłowo. Jest to ułatwienie dla obecnych administratorów danych osobowych szczególnie tych zobligowanych do wypełniania skomplikowanych wniosków rejestracyjnych w GIODO i dla tych podmiotów, które posiadają już kompetentnych ABI. Jeśli zaś chodzi o zagrożenia to może być to zbyt wiele czynności administracyjno-sprawozdawczych, realizowanych dotychczas przez inspektorów GIODO,  które być może zostaną przerzucone na przedsiębiorstwa– komentuje Daniel Zawiliński, CMO platformy SerwerSMS.pl

Osoba pełniąca funkcję ABI będzie musiała spełnić określone wymagania, tj.:

• posiadać pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
• posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
• nie była karana za przestępstwo popełnione z winy umyślnej.

Outsourcing obowiązków ABI jest oczywiście możliwy. Tym bardziej, że w firmach zajmujących się obecnie profesjonalnym świadczeniem takiej usługi, osoby, które przejmują obowiązki ABI spełniają już dziś takie wymagania.  Zewnętrzna obsługa posiada wiele atutów, oto niektóre z nich:

• Ochrona danych osobowych jest procesem, więc nadzór nad prawidłowym przetwarzaniem danych powinien być sprawowany stale i w sposób profesjonalny;
• całość dokumentacji oraz niezbędnych procedur wewnętrznych powinna być przygotowana przez ekspertów;
• zewnętrzny podmiot pełniący funkcję ABI będzie kontaktował się z biurem GIODO oraz przeprowadzał ewentualne sprawdzenia zlecone przez ten Urząd;
• przejęcie obowiązków ABI jest jednoznaczne ze stałą opieką nad danym podmiotem oraz pełną dostępnością wykwalifikowanych konsultantów;
• „zewnętrzny ABI”  może realnie zapewnić niezależność od wewnętrznych struktur organizacyjnych oraz może dać  gwarancję bezstronności podczas audytów i kontroli stanu ochrony danych osobowych w danym przedsiębiorstwie.

– Obowiązki względem ochrony danych osobowych powinny być uzależnione od realnych zagrożeń, jakie powoduje przetwarzanie tych danych. Mniejsze podmioty z rynku e-commerce czy sektora MŚP mające do czynienia ze standardowymi danymi osobowymi  (np. sklepy internetowe) powinny mieć ograniczony i dobrze określony zakres obowiązków, w przeciwieństwie do podmiotów wykorzystujących dane osobowe w masowej skali lub działających głównie w oparciu o ich przetwarzanie. Nowe przepisy nie wprowadzają w tym względzie żadnych zmian. Być może tylko zmiany w ograniczonym zakresie wejdą w życie wraz z nowym Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych, którego projekt jest obecnie procedowany przez organy unijne – podsumowuje Jarosław Krauz, Wiceprezes Zarządu PIN Consulting Sp. z o.o