Handel internetowy: Firmy skontrolują się same?

Handel internetowy: Firmy skontrolują się same?

Ustawa o ochronie danych osobowych przed nowelizacją zawierała tylko jeden przepis odnoszący się do administratora bezpieczeństwa informacji, będącego osobą odpowiedzialną za przestrzeganie zasad ochrony danych wrażliwych w firmie. W myśl art. 36 ust. 3, administrator danych (firma lub jej
właściciel) wyznaczał osobę nadzorującą przestrzeganie zasad ochrony danych albo sam wykonywał te
zadania. Przepisy nie określały jednak jego szczegółowego zakresu obowiązków i odpowiedzialności.
Z jednej strony brak jasno sprecyzowanych zasad oznaczał dla firm dużą swobodę działania. Jednak z drugiej strony przedsiębiorca, będący administratorem danych, nie mógł być pewien, czy zastosowane przez niego rozwiązania prawne na pewno są prawidłowe. Tymczasem konsekwencje nieprawidłowości w przetwarzaniu danych osobowych są bardzo poważne, od kary grzywny, do kary pozbawienia wolności do 2 lat – tłumaczy Rafał Stępniewski z RzetelnyRegulamin.pl. Nowe przepisy dokładniej określają rolę, zakres zadań i odpowiedzialności ABI.

Nowe obowiązki dla serwisów internetowych i e-sklepów

Do zadań administratora bezpieczeństwa informacji należy teraz kontrolowanie przestrzegania przepisów o ochronie danych osobowych, tworzenie opracowań i przygotowywanie dokumentacji (Polityka Bezpieczeństwa czy Instrukcja zarządzania systemem informatycznym) oraz prowadzenie rejestru zbiorów przetwarzanych danych. Osoba pełniąca to stanowisko musi spełniać określone wymogi: posiadać pełną zdolność do czynności prawnych, korzystać z pełni praw obywatelskich, dysponować odpowiednią wiedzą w zakresie ochrony danych osobowych i nie być karana za umyślne przestępstwo. Co ważne, rolę ABI może pełnić również sam przedsiębiorca, jeśli jest osobą fizyczną prowadzącą działalność gospodarczą albo zlecić ją zewnętrznej firmie.

Dla kogo pracuje administrator bezpieczeństwa informacji?

Przedsiębiorcy, którzy powołają ABI, muszą pamiętać o zgłoszeniu tego faktu do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Warto dodać, że rejestr administratorów jest jawny. Nowe przepisy budzą jednak pewne wątpliwości. –

Z jednej strony ABI będzie pracownikiem serwisu lub sklepu internetowego, a z drugiej będzie musiał kontrolować swojego pracodawcę, niejako “w zastępstwie” GIODO. Ponadto brak konieczności rejestracji zbiorów danych osobowych, nie oznacza, że obowiązek ten zostanie zniesiony całkowicie. Firmy, które zgłosiły ABI, nadal będą musiały zgłaszać bazy zawierające dane wrażliwe, takie jak pochodzenie rasowe i etniczne, poglądy polityczne, przekonania religijne, stan zdrowia, itp.

) – wyjaśnia Rafał Stępniewski. Nowe prawo więc tylko teoretycznie ogranicza liczbę formalności.

Będzie łatwiej działać globalnie

Coraz więcej firm i organizacji w Polsce działa na rynkach zagranicznych, poza Europejskim Obszarem

Gospodarczym np. w USA czy w Indiach. W krajach tych mogą obowiązywać inne zasady ochrony danych osobowych. Do niedawna, gdy dane państwo nie zapewniało na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, polski przedsiębiorca każdorazowo potrzebował zgody od GIODO na przekazanie informacji osobowych do tego kraju. Nowelizacja ustawy zniosła ten wymóg pod warunkiem, że administrator zapewni odpowiednie zabezpieczenia chroniące prywatność.

W tym celu będzie mógł zastosować standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską, odnośnie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Inną możliwością będzie wdrożenie prawnie

wiążących reguł, wraz z polityką ochrony danych osobowych, nazywanych też “wiążącymi regułami korporacyjnymi”, które zostały zatwierdzone przez GIODO.