W związku z faktem, iż działalność e-commerce niejednokrotnie wiąże się z przetwarzaniem danych osobowych klientów, czy kontrahentów sklepów internetowych, Izba Gospodarki Elektronicznej zwraca uwagę na najważniejsze zmiany ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (zwanej dalej: Ustawą), które weszły w życie z dniem 1 stycznia 2015 r., a także na nowe rozporządzenia wykonawcze, które weszły w życie w dniu 30 maja 2015 r.
Przeczytaj także:
5 kroków w stronę bezpieczeństwa danych osobowych
Część obowiązków, realizowanych do tej pory przez Generalnego Inspektora Ochrony Danych Osobowych (zwanego dalej: GIODO) przeniesiona została na
administratorów danych osobowych (zwanych dalej: ADO) i w konsekwencji, na powołanych przez nich administratorów bezpieczeństwa informacji (zwanych dalej: ABI). Ponadto,
nowelizacja Ustawy wprowadziła istotne uproszczenia w zakresie rejestracji zbiorów danych osobowych.
I Zwolnienie z obowiązku rejestracji
Znowelizowana Ustawa zawiera m.in. szerszy niż dotychczasowy katalog zwolnień z obowiązku rejestracji zbiorów danych osobowych. Od 1 stycznia 2015 r. wprowadzono kolejne zwolnienie obejmujące zbiory prowadzone bez wykorzystania systemów informatycznych, w których nie są przetwarzane dane wrażliwe.
Ponadto, obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane wrażliwe, nie podlega ADO, który powołał ABI i zgłosił go
GIODO do rejestracji. Oznacza to, że co do zasady ADO przetwarzający dane nie mające charakteru danych wrażliwych, który wyznaczył w swojej organizacji ABI oraz wypełnił odpowiednie zgłoszenie i przesłał je do biura GIODO, w ogóle nie będzie musiał zgłaszać zbiorów danych do GIODO.
II Nowe obowiązki ABI
ADO może powołać ABI, do którego zadań będzie należało, w szczególności:
-
sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla ADO,
-
nadzorowanie opracowania i aktualizowania polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, jak również przestrzegania zasad określonych w tych dokumentach,
-
zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
-
prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez ADO, z wyjątkiem zbiorów zwolnionych z obowiązku rejestracji.
Ponadto, ADO może powierzyć ABI wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa powyżej.
W przypadku niepowołania ABI zadania wskazane powyżej, z wyłączeniem obowiązku sporządzania sprawozdania, wykonuje ADO.
Rozporządzenia wykonawcze, które zostały wydane w związku z nowelizacją Ustawy określają szczegółowy tryb i sposób realizacji zadań oraz sposób prowadzenia rejestru zbiorów danych przez ABI.
Co nowelizacja ustawy o ochronie danych osobowych oznacza dla e-commerce?
Znowelizowana Ustawa zawiera m.in. szerszy niż dotychczasowy katalog zwolnień z obowiązku rejestracji zbiorów danych osobowych.
III Zgłoszenie powołania/odwołania ABI do rejestru
ADO jest obowiązany zgłosić do rejestracji GIODO powołanie i odwołanie ABI w terminie 30 dni od dnia jego powołania lub odwołania.
ABI powinien spełniać następujące warunki:
-
mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych;
-
posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych;
-
być niekaranym za umyślne przestępstwo.
Nadto ABI musi podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej ADO, zaś ADO obowiązany jest zapewnić środki i organizacyjną odrębność ABI niezbędne do niezależnego wykonywania przez niego zadań.
Zgłoszenie powołania i odwołania ABI GIODO powinno nastąpić na formularzach, których wzory określa rozporządzenie wykonawcze do nowelizacji Ustawy. W rozporządzeniu tym określono nadto szczegółowy zakres danych, które winny być zawarte w zgłoszeniu powołania i odwołania ABI.
ADO jest obowiązany zgłosić GIODO zmianę informacji objętych zgłoszeniem, o którym mowa powyżej, w terminie 14 dni od dnia zmiany. Do zgłaszania zmian stosuje się odpowiednio przepisy o zgłoszeniu powołania ABI.