KOMENTARZ PRAWNIKA
EWA KUROWSKA-TOBER
radca prawny w Linklaters Warsaw, kieruje Działem Prawa Telekomunikacji, Mediów, Nowych Technologii oraz Własności Intelektualnej
W dniu 23 października 2014 r. Sejm uchwalił ustawę o ułatwianiu wykonywania działalności gospodarczej. Wśród nowelizowanych przez nią aktów prawnych jest również ustawa o ochronie danych osobowych. Jednym z założeń ustawy miało być zdjęcie z przedsiębiorców części obowiązków, jakie wiążą się z przetwarzaniem danych osobowych. Pośród najważniejszych zmian wymienić można ograniczenie obowiązku rejestracji zbiorów danych. Ustawa zakłada, że firmy, które powołają administratora bezpieczeństwa informacji tzw. ABI i zgłoszą ten fakt GIODO, nie będą musiały zgłaszać swoich zbiorów do rejestracji. W konsekwencji z przedsiębiorców zostanie także zdjęty dotychczasowy obowiązek zgłaszania zmian dokonywanych w zbiorach danych. Z obowiązku rejestracji zostaną również wyłączone zbiory danych, które nie są przetwarzane z wykorzystaniem systemów informatycznych. Oba wyżej wspomniane ułatwienia nie dotyczą jednak zbiorów danych, w których przetwarzane są dane wrażliwe (np. dane o stanie zdrowia lub dane dotyczące karalności).
Nowelizacja istotnie także zwiększa rolę ABI, którego powołanie ma być od tej pory dobrowolne. Ma on korzystać z dużej samodzielności i niezależności, przy równoczesnym istotnym zwiększeniu obowiązków. Jego powołanie będzie z jednej strony oznaczało dla przedsiębiorcy pewne ułatwienia (jak wspomniane wyżej zwolnienie z obowiązku rejestracji zbiorów danych w GIODO), z drugiej będzie się wiązać z koniecznością wywiązywania się ABI z szeregu nowych obowiązków. W szczególności wymienić trzeba obowiązek prowadzenia wewnętrznego jawnego rejestru zbiorów danych przetwarzanych przez administratora czy też dokonywanie na zlecenie GIODO sprawdzenia zgodności przetwarzania danych z przepisami, co uznać należy za istotne novum.
Nowelizacja ułatwi także transfery danych osobowych poza EOG. Jest to szczególnie istotne dla dużych międzynarodowych korporacji, które do tej pory, pomimo zawarcia standardowych klauzul umownych (które zgodnie z decyzją Komisji Europejskiej miały właśnie umożliwiać przekazywanie danych do państw trzecich) i tak musiały występować do GIODO o zgodę na transfer. Dzięki obecnej zmianie w końcu dołączamy do innych krajów unijnych w jednolitym podejściu do standardowych klauzul umownych. Szkoda, że podobne podejście nie zostało zastosowane do wiążących reguł korporacyjnych (drugiej formy umożliwiającej transfer danych osobowych w międzynarodowej grupie kapitałowej), które cały czas będą wymagały zatwierdzenia przez GIODO. Ustawa została skierowana do Senatu. Zakłada się, że zmiany zaczną obowiązywać na początku 2015 r.