W dniu 1 stycznia 2015 r. wchodzi w życie nowelizacja ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wprowadzona ustawą z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej.
Zmiany ustawy dotyczą trzech zasadniczych kwestii i mają na celu zmniejszenie obciążeń administracyjnych ciążących na podmiotach przetwarzających dane osobowe.
Po pierwsze, zgodnie z art. 36a ustawy, podmiot przetwarzający dane osobowe będzie mógł na nowych zasadach powołać u siebie administratora bezpieczeństwa informacji, do którego obowiązków należeć będzie zapewnianie przestrzegania przepisów o ochronie danych osobowych, prowadzenie rejestru zbiorów przetwarzanych danych, z wyjątkiem zbiorów zwolnionych z obowiązku rejestracji, a także inne ewentualnie powierzone zadania. Fakt powołania administratora bezpieczeństwa informacji należy zarejestrować u Generalnego Inspektora Ochrony Danych Osobowych.
Dotychczas, zgodnie z przepisami w rozdziału VI ustawy, podmiot przetwarzający dane osobowe był zobowiązany zarejestrować przetwarzane zbiory danych osobowych w GIODO. Obowiązek ten był często zaniedbywany przez przedsiębiorców, mimo, iż za jego niedopełnienie grozi odpowiedzialność karna. Od 1 stycznia, podmiot, który powoła i zarejestruje administratora bezpieczeństwa informacji, będzie zwolniony z obowiązku zgłaszania do GIODO przetwarzanych zbiorów danych osobowych. Rejestracji w GIODO nadal będą jednak podlegać zbiory danych osobowych zawierające t.zw. dane wrażliwe, takie jak pochodzenie, poglądy religijne, informacje o stanie zdrowia czy orientacji seksualnej. Ponadto w myśl nowych przepisów nie trzeba będzie już rejestrować zbiorów danych osobowych przetwarzanych ręcznie, bez użycia systemów informatycznych, na przykład ksiąg wejść i wyjść zakładu pracy – chyba, że zbiór taki zawiera dane wrażliwe.
Trzecim udogodnieniem jest nowa treść art. 48. Odtąd przekazanie danych osobowych do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, o którym mowa w art. 47, nie będzie wymagać zgody GIODO, pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez wprowadzenie standardowych klauzul umownych ochrony danych osobowych, zatwierdzonych przez Komisję Europejską, albo wprowadzenie prawnie wiążących reguł lub polityk ochrony danych osobowych, zatwierdzonych przez GIODO.
Autor: Beata Machcińska – radca prawny