Zmiana przepisów ochrony danych osobowych

Dnia 1 stycznia 2015 wchodzą w życie nowe regulacje z zakresu ochrony danych osobowych

Autor: Piotr Jarosz, Prezes Zarządu Safe Buy Sp. z o.o.
Redaktor naczelny raportów "eHandel Polska", współautor raportów "eCommerce" IDG Poland SA, inicjator Polskiego Forum Handlu Elektronicznego oraz kodeksu dobrych praktyk w eCommerce.

Od początku roku 2015 będą obowiązywały nowe przepisy w zakresie ochrony danych osobowych. Zmiany w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2014r. poz. 1182) zostały wprowadzone ustawą z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014r. poz. 1662). W związku z tym, że tekst jednolity ustawy o ochronie danych osobowych nie został jeszcze opublikowany, a równocześnie brak jakichkolwiek informacji w tej sprawie na stronie GIODO postaram się przybliżyć klika najważniejszych zmian.

Zmiany w obowiązkach sprzedawców jako administratorow danych osobowych

Nowe przepisy dotyczą głównie zakresu zwolnień z obowiązku rejestracji zbiorów danych osobowych, wyznaczania Administratorów Bezpieczeństwa Informacji (ABI) oraz zasad przekazywania danych do państw trzecich.
REJESTRACJA ZBIORU

Zgłoszenie zbioru danych osobowych do GIODO (art. 40 UODO).

Nowe przepisy zwalniają administratorów danych osobowych (ADO) z obowiązku rejestracji zbioru danych osobowych w GIODO jeśli wyznaczą oni Administratora Bezpieczeństwa Informacji (ABI) i zarejestrują go w jawnym rejstrze GIODO.

Art. 43 ust. 1a UODO:  Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ust. 2.

Zgłoszenia zbioru danych osobowych do GIODO odbywa się tak jak dotychczas poprzez przesłanie do urzędu należycie wypełnionego formularza zgłoszeniowego. W związku z tym, że formularz ten zawiera specyficzne określenia i jest bardzo ogólny, gdyż na przykład służy także do zgłaszania zbiorów przetwarzanych w formie papierowej w jednym segregatorze, to jego wypełnienie nie jest zadaniem łatwym. Specjalnie dla uczestników programu eCommerce Fair Play przygotowaliśmy prosty w obsłudze generator wniosku zgłoszenia zbioru danych osobowych. Generator został opracowany na potrzeby sklepów internetowych z uwzględnieniem ich specyfiki działania, dlatego zawiera wyłącznie 2 pytania zamiast kilkunastu jak w orginalnym wniosku. Korzystanie z generatora jest zatem bardzo proste i dla uczestników programu eCommerce Fair Play bezpłatne.
WYZNACZENIE ABI

Wyznaczenie Administratora Bezpieczeństwa Informacji (art. 36 UODO).

Administrator Bezpieczeństwa Informacji (w skrócie nazywany ABI) jest to osoba zarządzająca ochroną danych osobowych w ramach organizacji. Osobą tą może być wyznaczony do tych zadań pracownik firmy lub zewnętrzy podwykonawca, który posiada wystarczającą wiedzę z zakresu ochrony danych osobowych.

Według dotychczasowych przepisów każdy ADO niebędący osobą fizyczną, czyli każda spółka prawa handlowego, miała obowiązek powołania ABI, natomiast po 1 stycznia 2015 tego obowiązku już nie będzie. Każdy ADO będzie mógł powołać ABI lub samodzielnie pełnić jego funkcję - w przypadku podmiotów prawa handlowego obowiązki te spadną na jego organy wykonawcze czyli np. w spółce z o.o. na zarząd spółki. Nowością jest także to, że ADO może powołać zastępców ABI. ADO musi zarejestrować każdego ABI w GIODO (art. 46b). 

UWAGA, 30 czerwca 2015r. mija termin na zgłoszenie ABI. Jeśli się tego nie zrobi, nawet jeśli zgłosiło się go przed 31 grudnia 2014, to po tym terminie GIODO automatycznie uznaje, że go nie wyznaczono i wówczas sklep internetowy przetwarzający dane pozostaje przy obowiązkowej rejestracji zbiorów.

ABI oprócz dotychczasowych obowiązków będzie musiał dokonywać czynności kontrolne zlecone przez GIODO i sporządzać sprawozdania z tej kontroli.

Podsumowanie

1. Administratorzy danych osobowych w sklepach internetowych nie muszą od 1 stycznia 2015r rejestrować zbiorów danych osobowych jeśli wyznaczą i zarejestrują w GIODO administratora bezpieczeństwa informacji (ABI).

2. Administratorzy danych osobowych będący osobami prawnymi nie muszą od 1 stycznia 2015r wyznaczać ABI i wówczas organy wykonawcze wykonują jego obowiązki. W przypadku wyznaczenia ABI podlega on wpisaniu do jawnego rejestru GIODO. GIODO może zlecić ABI dokonanie kontroli przetwarzania danych osobowych.
Niniejszy artykuł nie stanowi porady prawnej i wyraża jedynie prywatne opinie autora, dlatego każdy użytkownik podejmuje decyzje na własne ryzyko.

Wsparcie dla sklepów w ramach Programu Safe Buy

Misją serwisu SafeBuy.pl są przyjazne zakupy internetowe, czego nie można osiągnąć bez odpowiedniej edukacji i wsparcia małych i średnich sprzedawców. Dlatego pakiet niezbędnych dokumentów prawnych dla sklepu, w tym regulamin i wypełniony wniosek do GIODO są bezpłatne dla uczestników Programu. Ponadto sprzedawcy wyróżnieni są w rejestrze Safe Buy, na łamach portalu Sklepy24.pl, a ich sklep opatrzony klikalnym znakiem Safe Buy, który zwiększa zaufanie klienta.

Ty też działasz fair play w eCommerce
i chcesz dołączyć do uczestników Programu?
Podstawy prawne:

Safe Buy zrzesza już kilkaset sklepów internetowych, m. in.:

Klienci Safe Buy

Media o SafeBuy.pl i programie eCommerce Fair Play

Publikacje prasowe o Safe Buy
Zobacz także
Regulamin sprzedaży w sklepie internetowym - co właściwie oznacza?
Ochrona danych osobowych w sklepie internetowym
Jakie dokumenty prawne powinien posiadać sklep internetowy?
Dlaczego warto zarejestrować sklep do Safe Buy?
Jak zostać uczestnikiem Programu Safe Buy?
Nowa ustawa o prawach konsumenta - co się zmieni?