Polen: Wichtige Änderungen für alle Datenverantwortlichen, in Bezug auf Registrierungspflichten und die Übersendung von Personaldaten ins Ausland
Anfang des Jahres gab es bedeutende Änderungen im polnischen Datenschutzrecht. Eine Änderung des Gesetzes über den Schutz persönlicher Daten, führte zu einer Neuregelung der Registrierungspflichten von Datenverantwortlichen.
Zunächst änderten sich die Regelungen bezüglich sog. Informationssicherheitsadministratoren (poln. Abk. “ABI“). Früher musste ein solcher ABI ernannt werden, wenn der Datenverantwortliche die Aufgaben des ABI“s nicht persönlich übernahm. Diese Pflicht zur Ernennung besteht nicht mehr. Die Pflichten eines ABIs wurden zudem genauer definiert. Des Weiteren werden ABI“s jetzt von der Datenschutzbehörde (GIODO) registriert und können von dieser Behörde verpflichtet werden, Compliance-Prüfungen durchzuführen. Ein ABI muss direkt dem Geschäftsführer unterstellt sein oder, bei Einzelunternehmen, dem Einzelunternehmer selbst. Der ABI muss mit ausreichenden Arbeitsressourcen ausgestattet sein und getrennt von anderen Unternehmenseinheiten tätig werden, damit er seine Pflichten unabhängig erfüllen kann (besonders in Hinblick auf von der GIODO angeordnete Kontrollen). Die Ernennung eines ABIs entbindet den Datenverantwortlichen zudem von der Pflicht, persönliche Datenbanken bei der GIODO zu registrieren.
Außerdem wurde der Transfer persönlicher Daten an Drittstaaten (im Sinne des EWR) vereinfacht. Zusätzlich zu den bisherigen Möglichkeiten (z.B. mittels schriftlichem Einverständnis oder Erlaubnis durch die GIODO), kann der Datenverantwortliche solche Daten übermitteln, wenn er versichert, ausreichende Sicherheitsmaßnahmen zum Schutz der Rechte der betroffenen Person getroffen zu haben. Diese Zusicherung kann mittels von der Europäischen Kommission genehmigter vertraglicher Standardklauseln (gem. EU-Verordnung 95/46) erfolgen, oder in der Übernahme ausreichender corporate governance Richtlinien. Diese Richtlinien müssen aber vorher von der Datenschutzbehörde genehmigt werden.
Die neuen Regelungen sollten die Pflichten von Datenverantwortlichen verringern; allerdings schaffen sie auch neue Verantwortungen. Erst mit der Zeit wird man sagen können, ob diese Neuregelungen eine Verbesserung der bisherigen Situation bewirken.
Quelle: Gesetz über die Vereinfachung der Ausführung von wirtschaftlichen Tätigkeit von 7. November 2014, GBl. v. 2014, Pos. 1662.