Ostatnio bezpłatny audyt zamówiono minut temu

Zadzwoń do naszego konsultanta
phone
lub napisz email

Idą zmiany w ochronie danych osobowych – ustawa o ułatwieniu wykonywania działalności gospodarczej (projekt zmian)

Idą zmiany w ochronie danych osobowych – ustawa o ułatwieniu wykonywania działalności gospodarczej (projekt zmian)

Poniżej przedstawiamy wyciąg proponowanych zmian w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm. ). Zmiany te zostały zawarte w projekcie ustawy o ułatwieniu wykonywania działalności gospodarczej.

Projektowane zmiany w ustawie o ochronie danych osobowych

Art. 8. W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.[1])) wprowadza się następujące zmiany:

1)     w art. 12 pkt 4 otrzymuje brzmienie:

„4)    prowadzenie rejestru zbiorów danych oraz rejestru administratorów bezpieczeństwa informacji, a także udzielanie informacji o zarejestrowanych zbiorach danych i zarejestrowanych administratorach bezpieczeństwa informacji,”;

2)     po art. 16 dodaje się art. 16a w brzmieniu:

„Art. 16a. 1. Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji wpisanego do rejestru, o którym mowa w art. 46c, o dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia.

2. Po dokonaniu sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, administrator bezpieczeństwa informacji, za pośrednictwem administratora danych, przedstawia Generalnemu Inspektorowi sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a.

3. Dokonanie przez administratora bezpieczeństwa informacji sprawdzenia w przypadku, o którym mowa w ust. 1, nie wyłącza prawa Generalnego Inspektora do przeprowadzenia kontroli, o której mowa w art. 12 pkt 1.”;

3)     w art. 36 uchyla się ust. 3;

4)     po art. 36 dodaje się art. 36a–36c w brzmieniu:

„Art. 36a. 1. Administrator danych może powołać administratora bezpieczeństwa informacji.

2. Do zadań administratora bezpieczeństwa informacji należy:

1)     zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

a)     sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

b)     nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,

c)     zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,

2)     prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7.

3. Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust. 2.

4. Administratorem bezpieczeństwa informacji może być osoba, która:

1)     ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,

2)     posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,

3)     nie była karana za przestępstwo popełnione z winy umyślnej.

5. Administrator danych może powołać zastępców administratora bezpieczeństwa informacji, którzy spełniają warunki określone w ust. 4.

6. Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych, którzy zapewniają środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez administratora bezpieczeństwa informacji zadań, o których mowa w ust. 2.

7. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia:

1)     tryb i sposób realizacji zadań, o których mowa w ust. 2 pkt 1 lit. a i b,

2)     sposób prowadzenia rejestru zbiorów danych, o którym mowa w ust. 2 pkt 2

– uwzględniając prawidłowość realizacji zadań administratora bezpieczeństwa informacji oraz niezależność i organizacyjną odrębność w wykonywaniu przez niego zadań.

Art. 36b. W przypadku niepowołania administratora bezpieczeństwa informacji, zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych.

Art. 36c. Sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, zawiera:

1)     oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania,

2)     imię i nazwisko administratora bezpieczeństwa informacji,

3)     wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach,

4)     datę rozpoczęcia i zakończenia sprawdzenia,

5)     określenie przedmiotu i zakresu sprawdzenia,

6)     opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych,

7)     stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem,

8)     wyszczególnienie załączników stanowiących składową część sprawozdania,

9)     podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania,

10)   datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.”;

5)     tytuł rozdziału 6 otrzymuje brzmienie:

„Rejestracja zbiorów danych osobowych oraz administratorów bezpieczeństwa informacji”;

6)     w art. 43:

a)     w ust. 1 w pkt 11 kropkę zastępuje się przecinkiem i dodaje się pkt 12 w brzmieniu:

„12) przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1.”,

b)     po ust. 1 dodaje się ust. 1a w brzmieniu:

„1a. Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał i zgłosił Generalnemu Inspektorowi administratora bezpieczeństwa informacji, z zastrzeżeniem art. 46e ust. 2.”;

7)     po art. 46a dodaje się art. 46b–46f w brzmieniu:

„Art. 46b. 1. Administrator danych jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania.

2. Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji zawiera:

1)     oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany,

2)     dane administratora bezpieczeństwa informacji:

a)     imię i nazwisko,

b)     numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość,

c)     adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 1,

3)     datę powołania,

4)     oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków określonych w art. 36a ust. 4 i 6.

3. Zgłoszenie odwołania administratora bezpieczeństwa informacji zawiera:

1)     dane, o których mowa w ust. 2 pkt 1 i pkt 2 lit. a i b,

2)     datę i przyczynę odwołania.

4. Na żądanie administratora danych lub administratora bezpieczeństwa informacji Generalny Inspektor wydaje zaświadczenie o zarejestrowaniu administratora bezpieczeństwa informacji.

5. Administrator danych jest obowiązany zgłosić Generalnemu Inspektorowi zmianę informacji objętych zgłoszeniem, o którym mowa w ust. 2, w terminie 14 dni od dnia zmiany. Do zgłaszania zmian stosuje się odpowiednio przepisy o zgłoszeniu powołania administratora bezpieczeństwa informacji.

Art. 46c. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji, zawierający informacje, o których mowa w art. 46b ust. 2 pkt 1 i pkt 2 lit. a i c.

Art. 46d. 1. Wykreślenie administratora bezpieczeństwa informacji z rejestru administratorów bezpieczeństwa informacji następuje po powiadomieniu o jego odwołaniu, o którym mowa w art. 46b ust. 1, albo w przypadku jego śmierci.

2. Generalny Inspektor z urzędu wydaje administratorowi danych decyzję o wykreśleniu administratora bezpieczeństwa informacji z rejestru administratorów bezpieczeństwa informacji, jeżeli:

1)     administrator bezpieczeństwa informacji nie spełnia warunków określonych w art. 36a ust. 4 lub 6,

2)     administrator bezpieczeństwa informacji nie wykonuje zadań określonych w art. 36a ust. 2,

3)     administrator danych nie powiadomił o odwołaniu administratora bezpieczeństwa informacji.

3. Do administratora danych będącego adresatem decyzji, o której mowa w ust. 2, nie stosuje się zwolnienia, o którym mowa w art. 43 ust. 1a.

Art. 46e. 1. W przypadku ponownego zgłoszenia przez administratora danych do rejestracji Generalnemu Inspektorowi powołania administratora bezpieczeństwa informacji wykreślonego z rejestru administratorów bezpieczeństwa informacji, Generalny Inspektor, w drodze decyzji administracyjnej:

1)     wpisuje administratora bezpieczeństwa informacji do rejestru administratorów bezpieczeństwa informacji po stwierdzeniu, że nie zachodzą przyczyny wykreślenia z rejestru,

2)     odmawia wpisania administratora bezpieczeństwa informacji do rejestru administratorów bezpieczeństwa informacji, jeżeli nie zostały usunięte przyczyny wykreślenia z rejestru.

2. Do administratora danych, który ponownie zgłosił do rejestracji administratora bezpieczeństwa informacji, zwolnienie z obowiązku rejestracji zbioru określone w art. 43 ust. 1a stosuje się po wpisaniu zgłoszonego administratora bezpieczeństwa informacji do rejestru administratorów bezpieczeństwa informacji.

Art. 46f. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia, wzory zgłoszeń administratora bezpieczeństwa informacji, o których mowa w art. 46b ust. 2 i 3, uwzględniając konieczność zapewnienia Generalnemu Inspektorowi informacji niezbędnych do prawidłowego realizowania jego zadań.”;

8)     art. 48 otrzymuje brzmienie:

„Art. 48. 1. W przypadkach innych niż wymienione w art. 47 ust. 2 i 3, przekazanie danych osobowych do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, może nastąpić po uzyskaniu zgody Generalnego Inspektora, wydanej w drodze decyzji administracyjnej, pod warunkiem że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.

2. Zgoda Generalnego Inspektora nie jest wymagana, jeżeli administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez:

1)     standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, str. 31, z późn. zm.; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, str. 355, z późn. zm.) lub

2)     prawnie wiążące reguły lub polityki ochrony danych osobowych, zwane dalej „wiążącymi regułami korporacyjnymi”, które zostały zatwierdzone przez Generalnego Inspektora zgodnie z ust. 3–5.

3. Generalny Inspektor zatwierdza, w drodze decyzji administracyjnej, wiążące reguły korporacyjne przyjęte w ramach grupy przedsiębiorstw do celów przekazania danych osobowych przez administratora danych lub podmiot, o którym mowa w art. 31 ust. 1, do należącego do tej samej grupy innego administratora danych lub podmiotu, o którym mowa w art. 31 ust. 1, w państwie trzecim.

4. Generalny Inspektor przed zatwierdzeniem wiążących reguł korporacyjnych może przeprowadzić konsultacje z właściwymi organami ochrony danych osobowych państw należących do Europejskiego Obszaru Gospodarczego, na których terytorium mają siedziby przedsiębiorstwa należące do grupy, o której mowa w ust. 3, przekazując im niezbędne informacje w tym celu.

5. Generalny Inspektor, wydając decyzję, o której mowa w ust. 3, uwzględnia wyniki przeprowadzonych konsultacji, o których mowa w ust. 4, albo jeżeli wiążące reguły korporacyjne były przedmiotem rozstrzygnięcia organu ochrony danych osobowych innego państwa należącego do Europejskiego Obszaru Gospodarczego, może uwzględnić to rozstrzygnięcie.”.

 


[1])    Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2002 r. Nr 153, poz. 1271, z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285, z 2006 r. Nr 104, poz. 708 i 711, z 2007 r. Nr 165, poz. 1170 i Nr 176, poz. 1238, z 2010 r. Nr 41, poz. 233, Nr 182, poz. 1228 i Nr 229, poz. 1497 oraz z 2011 r. Nr 230, poz. 1371.

Przedsiębiorco!
Szukasz pomocy przy danych osobowych?

Prześlij swoje pytanie do doświadczonych ekspertów i otrzymaj bezpłatną wycenę (tylko dla przedsiębiorców).

padlock

Chronimy Twoją prywatność. Twój adres email posłuży tylko do kontaktu w sprawie wyceny.

Submit a Comment

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

POBIERZ DARMOWY PORADNIK!

Dowiedz się jak spełnić swoje obowiązki wobec GIODO

i jak dokonać rejestracji zbiorów danych osobowych!

Kliknij i pobierz poradnik