Art. 9 O ułatwieniu wykonywania działalności gospodarczej
O ułatwieniu wykonywania działalności gospodarczej
Artykuł 9.
W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182) wprowadza się następujące zmiany:
- w art. 12 pkt 4 otrzymuje brzmienie:
„4) prowadzenie rejestru zbiorów danych oraz rejestru administratorów bezpieczeństwa informacji, a także udzielanie informacji o zarejestrowanych zbiorach danych i zarejestrowanych administratorach bezpieczeństwa informacji;”;
- po art. 19a dodaje się art. 19b w brzmieniu:
„Art. 19b. 1. Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji wpisanego do rejestru, o którym mowa w art. 46c, o dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia.
- Po dokonaniu sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, administrator bezpieczeństwa informacji, za pośrednictwem administratora danych, przedstawia Generalnemu Inspektorowi sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a.
- Dokonanie przez administratora bezpieczeństwa informacji sprawdzenia w przypadku, o którym mowa w ust. 1, nie wyłącza prawa Generalnego Inspektora do przeprowadzenia kontroli, o której mowa w art. 12 pkt 1.”;
- Po dokonaniu sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, administrator bezpieczeństwa informacji, za pośrednictwem administratora danych, przedstawia Generalnemu Inspektorowi sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a.
- w art. 36 uchyla się ust. 3;
- po art. 36 dodaje się art. 36a–36c w brzmieniu:
„Art. 36a. 1. Administrator danych może powołać administratora bezpieczeństwa informacji.
- Do zadań administratora bezpieczeństwa informacji należy:
- zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
- sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
- nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
- sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
- prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7.
- zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
- Do zadań administratora bezpieczeństwa informacji należy:
- Rejestr, o którym mowa w ust. 2 pkt 2, jest jawny. Przepis art. 42 ust. 2 stosuje się odpowiednio.
- Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust. 2.
- Administratorem bezpieczeństwa informacji może być osoba, która:
- ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
- posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
- nie była karana za umyślne przestępstwo.
- ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
- Administrator danych może powołać zastępców administratora bezpieczeństwa informacji, którzy spełniają warunki określone w ust. 5.
- Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.
- Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań, o których mowa w ust. 2.
- Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia:
- tryb i sposób realizacji zadań, o których mowa w ust. 2 pkt 1 lit. a i b,
- sposób prowadzenia rejestru zbiorów danych, o którym mowa w ust. 2 pkt 2
– uwzględniając konieczność zapewnienia prawidłowości realizacji zadań administratora bezpieczeństwa informacji oraz niezależności i organizacyjnej odrębności w wykonywaniu przez niego zadań.
Art. 36b. W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych.
Art. 36c. Sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, powinno zawierać:
- oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania;
- imię i nazwisko administratora bezpieczeństwa informacji;
- wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;
- datę rozpoczęcia i zakończenia sprawdzenia;
- określenie przedmiotu i zakresu sprawdzenia;
- opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
- stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem;
- wyszczególnienie załączników stanowiących składową część sprawozdania;
- podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej – dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania;
- datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.”;
- tytuł rozdziału 6 otrzymuje brzmienie:
„Rejestracja zbiorów danych osobowych oraz administratorów bezpieczeństwa informacji”;
- art. 40 otrzymuje brzmienie:
„Art. 40. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 i 1a.”;
- w art. 43:
- w ust. 1 w pkt 11 kropkę zastępuje się średnikiem i dodaje się pkt 12 w brzmieniu:
„12) przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1.”,
- po ust. 1 dodaje się ust. 1a w brzmieniu:
„1a. Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ust. 2.”;
- w ust. 1 w pkt 11 kropkę zastępuje się średnikiem i dodaje się pkt 12 w brzmieniu:
- po art. 46a dodaje się art. 46b–46f w brzmieniu:
„Art. 46b. 1. Administrator danych jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania.
- Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji powinno zawierać:
- oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
- dane administratora bezpieczeństwa informacji:
- imię i nazwisko,
- numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość,
- adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 1;
- imię i nazwisko,
- datę powołania;
- oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków określonych w art. 36a ust. 5 i 7.
- oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
- Zgłoszenie odwołania administratora bezpieczeństwa informacji powinno zawierać:
- dane, o których mowa w ust. 2 pkt 1 i pkt 2 lit. a i b;
- datę i przyczynę odwołania.
- dane, o których mowa w ust. 2 pkt 1 i pkt 2 lit. a i b;
- Na żądanie administratora danych lub administratora bezpieczeństwa informacji Generalny Inspektor wydaje zaświadczenie o zarejestrowaniu administratora bezpieczeństwa informacji.
- Administrator danych jest obowiązany zgłosić Generalnemu Inspektorowi zmianę informacji objętych zgłoszeniem, o którym mowa w ust. 2, w terminie 14 dni od dnia zmiany. Do zgłaszania zmian stosuje się odpowiednio przepisy o zgłoszeniu powołania administratora bezpieczeństwa informacji.
Art. 46d. 1. Wykreślenie administratora bezpieczeństwa informacji z rejestru administratorów bezpieczeństwa informacji następuje po powiadomieniu o jego odwołaniu albo w przypadku jego śmierci.
- Generalny Inspektor z urzędu wydaje administratorowi danych decyzję o wykreśleniu administratora bezpieczeństwa informacji z rejestru administratorów bezpieczeństwa informacji, jeżeli:
- administrator bezpieczeństwa informacji nie spełnia warunków określonych w art. 36a ust. 5 lub 7;
- administrator bezpieczeństwa informacji nie wykonuje zadań określonych w art. 36a ust. 2;
- administrator danych nie powiadomił o odwołaniu administratora bezpieczeństwa informacji.
- administrator bezpieczeństwa informacji nie spełnia warunków określonych w art. 36a ust. 5 lub 7;
- Do administratora danych będącego adresatem decyzji, o której mowa w ust. 2, nie stosuje się zwolnienia, o którym mowa w art. 43 ust. 1a.
- wpisuje administratora bezpieczeństwa informacji do rejestru administratorów bezpieczeństwa informacji po stwierdzeniu, że nie zachodzą przyczyny wykreślenia z rejestru, o których mowa w art. 46d ust. 2 pkt 1 i 2;
- odmawia wpisania administratora bezpieczeństwa informacji do rejestru administratorów bezpieczeństwa informacji, jeżeli nie zostały usunięte przyczyny wykreślenia z rejestru, o których mowa w art. 46d ust. 2 pkt 1 i 2.
Art. 46f. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia, wzory zgłoszeń administratora bezpieczeństwa informacji, o których mowa w art. 46b ust. 2 i 3, uwzględniając konieczność zapewnienia Generalnemu Inspektorowi informacji niezbędnych do prawidłowego realizowania jego zadań.”;
- Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji powinno zawierać:
- art. 48 otrzymuje brzmienie:
„Art. 48. 1. W przypadkach innych niż wymienione w art. 47 ust. 2 i 3 przekazanie danych osobowych do pań- stwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, może nastąpić po uzyskaniu zgody Generalnego Inspektora, wydanej w drodze decyzji administracyjnej, pod warunkiem że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.
- Zgoda Generalnego Inspektora nie jest wymagana, jeżeli administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez:
- standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, str. 31, z późn. zm.; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, str. 355, z późn. zm.) lub
- prawnie wiążące reguły lub polityki ochrony danych osobowych, zwane dalej „wiążącymi regułami korporacyjnymi”, które zostały zatwierdzone przez Generalnego Inspektora zgodnie z ust. 3–5.
- standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, str. 31, z późn. zm.; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, str. 355, z późn. zm.) lub
- Generalny Inspektor zatwierdza, w drodze decyzji administracyjnej, wiążące reguły korporacyjne przyjęte w ramach grupy przedsiębiorców do celów przekazania danych osobowych przez administratora danych lub podmiot, o którym mowa w art. 31 ust. 1, do należącego do tej samej grupy innego administratora danych lub podmiotu, o którym mowa w art. 31 ust. 1, w państwie trzecim.
- Generalny Inspektor przed zatwierdzeniem wiążących reguł korporacyjnych może przeprowadzić konsultacje z właściwymi organami ochrony danych osobowych państw należących do Europejskiego Obszaru Gospodarczego, na których terytorium mają siedziby przedsiębiorcy należący do grupy, o której mowa w ust. 3, przekazując im niezbędne informacje w tym celu.
- Generalny Inspektor, wydając decyzję, o której mowa w ust. 3, uwzględnia wyniki przeprowadzonych konsultacji, o których mowa w ust. 4, a jeżeli wiążące reguły korporacyjne były przedmiotem rozstrzygnięcia organu ochrony danych osobowych innego państwa należącego do Europejskiego Obszaru Gospodarczego – może uwzględnić to rozstrzygnięcie.”.