Page 5 - DN 4
P. 5
NOWELIZACJA USTAWY
Organizacja ochrony danych
osobowych po nowelizacji
Nowelizacja ustawy o ochronie danych osobowych ustanawia nowe
zasady organizacji ochrony danych osobowych. Zgodnie z nimi
administrator danych może wybrać, czy zadania te chce wykonywać
samodzielnie, czy też przy pomocy Administratora Bezpieczeństwa
Informacji. W tym drugim przypadku w ustawie wprowadzono
dodatkowe, korzystne rozwiązania dla administratorów danych.
Nowe zasady organizacji li instytucjonalnej w zakresie ochrony danych,
ochrony danych sprawowanej przez powołany do tego organ
(w Polsce – Generalnego Inspektora Ochrony
Danych Osobowych, GIODO), ale także kontroli
Z konstrukcyjnego punktu widzenia organizacja funkcjonalnej, realizowanej w ramach struktury
ochrony danych osobowych przez administra- wewnętrznej administratora danych .
2
torów danych może być realizowana w dwóch, Przyjmuje się, że kontrola tego rodzaju jest efek-
równoważnych modelach: tywniej organizowana w sytuacji powołania spe-
a) samodzielnie przez administratora danych XAWERY cjalnej struktury u administratora danych.
KONARSKI
(ADO) albo adwokat, starszy
b) z udziałem Administratora Bezpieczeństwa wspólnik w Kancelarii Funkcjonowanie ABI przed
Informacji (ABI), powołanego przez admi- Prawnej Traple Konarski
nistratora danych. Podrecki i Wspólnicy, nowelizacją
Należy podkreślić, że wybór jednego z powyż- ekspert prawny Polskiej
szych modeli nie ma znaczenia z punktu wi- Izby Informatyki i Tele- W dotychczasowym stanie prawnym funkcjono-
komunikacji, Polskiej
dzenia zakresu ochrony danych osobowych, do Izby Ubezpieczeń oraz wanie ABI było regulowane jednym przepisem,
której zobowiązany jest ADO. Związku Pracodawców tj. art. 36 ust. 3 ustawy o ochronie danych osobo-
W obu modelach administratorzy danych są zo- Branży Internetowej IAB wych . Zgodnie z nim „administrator wyznacza
3
bowiązani do podjęcia działań tego samego rodza- Polska Administratora Bezpieczeństwa Informacji, nad-
ju, np. w zakresie doboru środków technicznych zorującego przestrzeganie zasad ochrony, chyba
i organizacyjnych zabezpieczenia danych. że sam wykonuje te czynności”.
Z drugiej strony w dyrektywie nr 95/46/WE Par- Z treści tego przepisu Generalny Inspektor wy-
lamentu Europejskiego i Rady z 24 października wodził obowiązek wyznaczania ABI przez tych
1995 r. w sprawie ochrony osób f zycznych w za- administratorów danych, którzy działają jako
kresie przetwarzania danych osobowych oraz osoby prawne (np. spółki).
1
swobodnego przepływu tych danych uprzywi- Stanowisko to zostało potwierdzone w orzecz-
lejowano model z udziałem ABI-ego. nictwie sądów administracyjnych . Obowiązku
4
W art. 18 ust. 2 dyrektywy określony jest on takiego nie mieli natomiast ci administratorzy
jako „urzędnik do spraw ochrony danych oso- danych, którzy byli osobami f zycznymi (np.
bowych„ (data protection of cial). przedsiębiorcy prowadzący jednoosobową
W myśl regulacji unijnej, administratorzy da- działalność gospodarczą).
nych, którzy w ramach swoich struktur stworzą
tego rodzaju funkcję, mogą liczyć na zwolnie-
nie z obowiązku zgłaszania przetwarzania da- 2 Paweł Fajgielski, Administrator bezpieczeństwa informacji –
nych do rejestracji w organie ds. ochrony danych geneza, stan obecny i perspektywy zmian – „Dodatek Monitora
Prawniczego nr 9/2004).
osobowych. 3 Ustawa z 29 sierpnia o ochronie danych osobowych (tekst jed-
Jest to wyraz – preferowanej na poziomie unij- nolity: Dz.U. z 2014 r., poz. 1182).
nym – idei zapewnienia nie tylko kontro- 4 Wyrok Naczelnego Sądu Administracyjnego z dnia 21 lutego
2014 r. (I OSK 2445/12). Szersze omówienie tego orzeczenia w ni-
niejszym numerze – M. Bienias „Administrator danych może re-
1 Dz.U. UE nr L 281 z 23.11.1995 r. alizować zadania ABI”.
OCHRONA DANYCH OSOBOWYCH 143 STYCZEŃ 2015
