Nowelizacja Ustawy o ochronie danych osobowych

WWW.przetwarzaniedanych.pl
Nowelizacja Ustawy o
ochronie danych
osobowych
PORADNIK
Mariola Malicka
2014-12-18
W W W. p r z e t w a r z a n i e d a n y c h . p l
Strona 1
Nowelizacja Ustawy o ochronie danych osobowych
1
PORADNIK
Mariola Malicka
Radca prawny
WWW.przetwarzaniedanych.pl
Niniejszy artykuł-poradnik stanowi głos w dyskusji o statusie administratora bezpieczeństwa
informacji2, która aktualnie toczy się w kontekście nowelizacji ustawy z dnia 29 sierpnia 1997 r. o
ochronie danych osobowych (t.jedn. Dz.U. z 2014 r. poz. 1182) 3.
W artykule w pierwszej jego części przedstawię stan prawny dotyczący ABI sprzed nowelizacji. W
następnej omówię zmiany wprowadzone nowelizacją. W podsumowaniu zebrane zostaną
najważniejsze wnioski płynące z wprowadzonych zmian, ze szczególnym uwzględnieniem
wątpliwość interpretacyjnych, które rozbrzmiewają w dyskusji dotyczącej wprowadzanych zmian.
Rozdział 1 ABI przed nowelizacją OchrDanOsobU
W stanie prawnym przed nowelizacją OchrDanOsobU jedynym przepisem regulującym status ABI
był przepis art. 36 ust.3 zgodnie, z którym, administrator danych osobowych4 wyznaczał
administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba, że
sam wykonywał te czynności.
Bardzo oszczędna regulacja prawna dotycząca ABI była przyczyną problemów oraz wątpliwości
interpretacyjnych zarówno w doktrynie jak i praktyce stosowania przepisów dotyczących ABI.
W praktyce część ADO wyznaczała ABI wewnątrz firmy, spośród zatrudnionych pracowników,
cedując na niego wykonywanie wyłącznie lub dodatkowo zadań ABI. Inni natomiast zlecali
wykonywanie funkcji ABI firmom zewnętrznym, specjalizującym się w zagadnieniach ochrony
danych osobowych i oferujących przejęcie funkcji ABI. Zaletą w tym stanie prawnym była dość
duża swoboda w określaniu zadań ABI tak wewnętrznego jak i zewnętrznego przez ADO.
W W W. p r z e t w a r z a n i e d a n y c h . p l
Strona 2
Wyznaczenie ABI – obowiązek czy uprawnienie ADO
Jedną z kluczowych kwestii było zagadnienie dotyczące wyznaczania ABI w kontekście obowiązku
czy uprawnienia administratora danych.
W kontekście brzmienia art. 36 ust 3 OchrDanOsobU, że administrator danych wyznacza ABI,
chyba, że sam wykonuje te czynności, zarówno w doktrynie jak i orzecznictwie przyjmowano, że w
przypadkach, których administratorem danych jest osoba fizyczna może ona samodzielnie
wykonywać czynności nadzoru natomiast w pozostałych przypadkach wyznaczenie ABI jest
obowiązkowe.
Zgodnie z wyrokiem NSA z 21 lutego 2014 r. (IOSK 2445/12) w poprzednim stanie prawnym
wyznaczenie ABI było obowiązkiem każdego podmiotu oprócz osób fizycznych prowadzących
działalność gospodarczą.
W przepisach znowelizowanej OchrDanOsobU art. 36a ust 1 stanowi, iż administrator danych
może powołać administratora bezpieczeństwa informacji a w przypadku niepowołania ABI jego
zadania wykonuje administrator danych.
Mimo jakby się wydawało oczywistego brzmienia nowych przepisów spotkać można stanowisko, iż
podobnie, jak w brzmieniu sprzed nowelizacji ADO może wykonywać zadania przypisane ABI, ale
w przypadku, gdy jest osobą fizyczną prowadzącą działalność.
Taka interpretacja jest w świetle nowych przepisów zupełnie nieuzasadniona. ADO, który jest
spółką prawa handlowego lub inną jednostką organizacyjną w sytuacji, gdy nie powoła ABI może
samodzielnie wykonywać czynności w zakresie zapewnienia zgodności przestrzegania przepisów
ochrony danych osobowych.
Rozdział 2 ABI w świetle nowelizacji OchrDanOsobU
Z dniem 1 stycznia 2015 r. wchodzi w życie ustawa z dnia 7 listopada 2014 r.o ułatwieniu
wykonywania działalności gospodarczej (Dz.U z 2014 r., poz. 1182.) wprowadzająca m.in.
nowelizację OchDanOsobU.
Rozwiązania dotyczące ABI w nowelizacji można podzielić na dwie główne grupy:
1) Zmiany dotyczące problemów i wątpliwości zgłaszanych w praktyce oraz w doktrynie
przedmiotu oraz
W W W. p r z e t w a r z a n i e d a n y c h . p l
Strona 3
2) Nowe uregulowania.
Do pierwszej grupy zaliczyć można: wyraźne wskazanie fakultatywności powołania ABI;
określenie wymogów dla ABI, wskazanie miejsca ABI w strukturze organizacyjnej ADO,
określenie szczegółowego katalogu zadań ABI, wskazanie możliwości powołania zastępców ABI,
zwolnienie z obowiązku rejestracji zbiorów (z wyjątkiem zbiorów zawierających dane wrażliwe), w
przypadku, gdy administrator powołał ABI a także zbiorów przetwarzanych tradycyjnie.
Do drugiej grupy należy zaliczyć: nałożenie obowiązku zgłaszania ABI do GIODO, nałożenie na
ABI obowiązku składania sprawozdania administratorowi danych, obowiązku ABI w zakresie
przeprowadzenia „sprawdzenia” na polecenie GIODO oraz prowadzenie przez GIODO jawnego
rejestru ABI.
Poniżej zostaną szczegółowo omówione poszczególne rozwiązania zarówno z jednej, jak i drugiej
grupy.
ADO nie ma obowiązku powołania ABI
W przepisach znowelizowanej OchrDanOsobU w art. 36a ust 1 czytamy, iż ADO może powołać
administratora bezpieczeństwa informacji a w przypadku niepowołania zadania ABI wykonuje sam
administrator danych.
W świetle znowelizowanej OchrDanOsobU ADO ma prawo a nie obowiązek powołania ABI.
W świetle nowelizacji definitywnie zostało rozstrzygnięte, iż ABI nie może być jednostką
organizacyjną. Zgodnie z nowelizacją ABI może być osoba, która:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.
ADO ma więc prawo ale nie obowiązek powołania ABI. Dotyczy to wszystkich administratorów
danych bez wyjątku.
Zadania ABI
W art. 36 a ust. 2 znowelizowanej OchrDanOsobU wprowadzony został katalog zadań ABI. To
istotne novum. Do zadań administratora bezpieczeństwa informacji w nowym stanie prawnym
W W W. p r z e t w a r z a n i e d a n y c h . p l
Strona 4
należy zapewnianie przestrzegania przepisów o ochronie danych osobowych przez:
1) sprawdzanie zgodności przetwarzania z przepisami OchrDanOsobU,
2) nadzór w zakresie dokumentacji (polityka bezpieczeństwa oraz instrukcja zarządzania
systemem informatycznym),
3) zapewnianie zapoznania się osób upoważnionych z przepisami o ochronie danych
osobowych,
4) prowadzenie wewnętrznego rejestru zbiorów danych.
Sprawdzanie
W świetle nowelizacji ABI
będzie odpowiedzialny za wykonanie zadań ustawowo mu
przypisanych i w tym zakresie całkowicie decyzyjną. To ABI bada i sprawdza zgodność
przetwarzania danych z przepisami OchrDanOsobU. W celu skutecznego sprawdzenia zgodności,
ABI ma np. prawo do przeprowadzenia quasi dochodzenia, podczas którego ustala stan faktyczny
w oparciu o dokumenty, oględziny, pisemne lub ustne wyjaśnienia. Może żądać udzielenia w
wyznaczonym przez niego terminie, ustnych lub pisemnych wyjaśnień od wskazanych przez niego
osób i sporządzać pisemne notatki.
W razie potrzeby ABI może przeprowadzić oględziny, które mogą zostać utrwalone za pomocą
urządzeń rejestrujących dźwięk lub obraz. Z przebiegu oględzin sporządza protokół.
Opisany przebieg sprawdzenia przez ABI i uprawnienia, które ustawa przyznaje ABI są zbliżone do
uprawnień, jakie mają organy państwowe prowadzące postępowania i sprawia, iż ABI staje się
quasi urzędnikiem. Na skutek powyższego ABI w przedsiębiorstwie może być postrzegany, jako
swoisty inspektor ochrony danych osobowych, po części człowiek firmy a po części urzędnik
GIODO, przed którym wbrew intencjom, zamiast ujawniać, ukrywa się istotne fakty.
Połączenie bardzo szerokich kompetencji
w jednych rękach, przy przyznanej niezależności
niewątpliwie podnosi rangę ABI w przedsiębiorstwie i ma szansę faktycznie przyczynić się do
podniesienia poziomu ochrony danych osobowych w firmie, jednakże urzędnicza twarz ABI może
być istotnym czynnikiem hamującym skuteczne wykonywanie przypisanych mu zadań.
Sprawozdania dla ADO
Przeprowadzane przez ABI sprawdzanie zgodności przetwarzania danych z przepisami kończy się
obowiązkiem złożenia ADO stosownego sprawozdania.
Sprawdzenie wymagające od ABI
sprawozdania dokonywane jest cyklicznie na podstawie rocznego programu sprawdzeń oraz
W W W. p r z e t w a r z a n i e d a n y c h . p l
Strona 5
doraźnie, gdy ABI uzyska informacje wskazujące na wystąpienie istotnych zagrożeń.
Roczny program sprawdzeń określa zakres zagadnień, które będą podlegać sprawdzeniu w danym
roku kalendarzowym. Program zatwierdzany jest przez ADO do końca roku kalendarzowego
poprzedzającego rok, którego program dotyczy.
ABI opracowuje sprawozdanie niezwłocznie, nie później niż 14 dni od dnia zakończenia
sprawdzenia.
Raporty dla ADO
W przypadku stwierdzenia przez ABI, podczas zwykłego nadzoru, naruszenia przestrzegania
zasad ochrony danych określonych w dokumentacji, ABI sporządza raport zawierający zakres
naruszenia. Oznacza to, iż podczas bieżącego nadzoru stwierdzenie przez ABI naruszenia zasad
musi zostać udokumentowane w postaci raportu ABI dla ADO, w którym ABI wskaże, które zasady
przetwarzania danych zostały naruszone, w jaki sposób oraz wskaże sposób, w jaki naruszenie
powinno być usunięte, aby przywrócić stan zgodności z prawem.
Zapewnianie zapoznania się osób upoważnionych z przepisami
Pojawiają się wątpliwości w jaki sposób ABI ma zapewniać zapoznanie się z przepisami. Czy
obowiązek ten oznacza zapewnienie przez ABI szkolenia czy też może wystarczy, gdy ABI
ograniczy się do udostępnienia ustawy do przeczytania lub wyciągu z tej ustawy.
W mojej ocenie zapewnianie zapoznania się osób upoważnionych z przepisami nie może
ograniczyć się do przedłożenia przepisów do przeczytania, bowiem, ABI ma zapewniać
zapoznanie się z tymi przepisami.
Zgodnie Słownikiem Języka Polskiego PWN czasownik zapewniać – zapewnić oznacza:
«oświadczyć komuś, że coś jest lub będzie na pewno»
«sprawić, że coś się stanie lub ktoś uzyska coś»
Natomiast synonimami dla czasownika zapewnić – zapewniać będą takie czasowniki jak:
gwarantować, upewniać, dawać głowę.
Wobec takiego znaczenia czasownika zapewnić - zapewniać nie można uznać, iż obowiązek
związany z zapewnianiem zapoznawania osób upoważnionych z przepisami o ochronie danych
W W W. p r z e t w a r z a n i e d a n y c h . p l
Strona 6
osobowych może się ograniczyć wyłącznie do przedłożenia przepisów do przeczytania. Zapewniać
to zgodnie z zacytowaną definicją sprawić, że coś się stanie lub ktoś uzyska coś. W omawianym
kontekście ABI zobowiązany jest sprawić, aby osoby upoważnione do przetwarzania danych
osobowych uzyskały zapoznanie się z przepisami o ochronie danych osobowych. A zapoznanie w
tym znaczeniu oznacza zapewnienie przekazania informacji odnoszących się do przepisów o
ochronie danych osobowych, dlatego przekazanie przepisów do przeczytania w kontekście
literalnego brzmienia przepisów uznać należy za niewystarczające.
Celowo poświęciłam nieco więcej uwagi temu obowiązkowi, gdyż podczas forum ADO/ABI
wyłoniły się różne interpretacje dotyczące tego zagadnienia. Właściwą, bo zgodną z językowym
znaczeniem użytych słów, jest interpretacja zaprezentowana powyżej.
Niezależność ABI
Zgodnie z nowelą ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie
fizycznej będącej administratorem danych.
Podległość bezpośrednio pod organ zarządzający jednostką organizacyjną, pozwala na w pełni
niezależne pełnienie funkcji i wykonywanie zadań.
W przypadku, gdy przedsiębiorca wyznacza ABI spośród swoich pracowników podlega on
bezpośrednio pod organ zarządzający przedsiębiorcą. Oznacza to niezależność stanowiska,
samodzielne realizowanie zadań i raportowanie bezpośrednio Zarządowi.
ADO zgłaszający powołanie ABI do rejestru GIODO musi wraz z wnioskiem złożyć oświadczenie,
że ABI spełnia warunek w zakresie podlegania bezpośrednio kierownikowi jednostki
organizacyjnej.
Stwierdzenie uchybienia w powyższym zakresie uprawnia GIODO do wydania z urzędu decyzji
o wykreśleniu ABI z rejestru.
Sprawozdania dla GIODO – uproszczona kontrola na wniosek
GIODO może zwrócić się do ABI wpisanego do rejestru o dokonanie sprawdzenia zgodności
przetwarzania danych osobowych z przepisami OchrDanOsobU u administratora, który go powołał.
Po dokonaniu sprawdzenia ABI za pośrednictwem ADO przedstawia GIODO sprawozdanie.
Zakres zagadnień, które w szczególności powinny być uwzględniane w zależności od zakresu
sprawdzenia wymienione są w przepisach rozporządzenia wykonawczego.
W W W. p r z e t w a r z a n i e d a n y c h . p l
Strona 7
W wykonywaniu sprawdzenia zgodności na wniosek GIODO, ABI przeprowadza analogiczne
postępowanie, jak w przypadku sprawdzenia wewnętrznego. W celu ustalenia stanu faktycznego,
zbiera dowody, odbiera wyjaśnienia, przeprowadza oględziny, sporządza protokoły itd.
Po zakończeniu postępowania opracowuje sprawozdanie w dwóch egzemplarzach, z których
jeden za pośrednictwem ADO zostaje przekazany do GIODO.
Intencją projektodawców tego rozwiązania było uproszczenie kontroli i możliwość uniknięcia
dolegliwości kontroli zewnętrznej prowadzonej przez urzędników biura GIODO. W rzeczywistości
instytucja uproszczonej kontroli stała się negatywnym języczkiem uwagi w całej nowelizacji,
wokół której mnoży się najwięcej wątpliwości. Padają pytania jak będzie wyglądała uproszczona
kontrola w wykonaniu GIODO, czy firmy, które powołają ABI będą nękane tego rodzaju
kontrolami.. Pytania te, w chwili obecnej, pozostają bez odpowiedzi i dopiero praktyka urzędu
pokaże czym będzie instytucja uproszczonej kontroli i czy uzasadnione są liczne obawy
przedsiębiorców wysuwane pod jej adresem.
Uzasadniona jednak wydaje się obawa, że uproszczona kontrola może stawiać ABI w trudnej
sytuacji wobec ADO. Z jednej strony nie trudno wyobrazić sobie sytuację, w której ADO będzie
wywierał presję na ABI, aby pewnych, niekorzystnych dla ADO informacji w sprawozdaniu dla
GIODO nie umieszczał. Z drugiej strony może dochodzić na tle omawianej instytucji do swoistego
samooskarżenia, gdy ze sprawozdania sporządzonego na zlecenie ABI wynikną nieprawidłowości,
co pośrednio może oznaczać, że ABI nie wykonywał swoich obowiązków należycie.
Reasumując osiągnięcie zamierzonego przez GIODO skutku w postaci złagodzenia problemów
wynikających z niedostatków kadrowych i finansowych związanych z prowadzeniem kontroli,
wywołać może skutki dalekie od zamierzonych.
Przy okazji należy wyraźnie podkreślić, iż obowiązek złożenia Generalnemu Inspektorowi przez
ABI sprawozdania dotyczy wyłącznie sytuacji, gdy GIODO zwróci się do ABI o dokonanie
sprawdzenia. Wyłącznie w tej a nie żadnej innej sytuacji. Z przepisów nie wynika jakakolwiek inna
sprawozdawczość wobec GIODO, jak tylko związana z instytucją uproszczonej kontroli.
Zwolnienie ADO z obowiązku rejestracji zbiorów danych
ADO jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem
zbiorów zwolnionych, o których mowa w art. 43 ust. 1 i 1a OchrDanOsobU.
Nowelizacja wprowadza do OchrDanOsobU przepis art. 43 ust. 1a o następującym brzmieniu:.
„Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających
W W W. p r z e t w a r z a n i e d a n y c h . p l
Strona 8
dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał
administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do
rejestracji...”
Zwolnienie ADO z obowiązku rejestracji zbiorów danych w sytuacji, gdy ADO powołał i zgłosił
ABI do rejestru GIODO, ma stanowić zachętę dla ADO, aby powoływali ABI i dzięki temu nie
musieli zgłaszać zbiorów do rejestracji.
Pojawia się jednak dodatkowy wymóg w postaci zgłoszenia do GIODO faktu powołania i
odwołania ABI, z czym z kolei łączy się obowiązek prowadzenia przez GIODO jawnego rejestru
ABI. Jeden obowiązek rejestracji zbiorów danych został zastąpiony innym obowiązkiem rejestracji
ABI, co w odczuciu przedsiębiorców jest zastąpieniem jednego obowiązku administracyjnego
innym i jest przez nich oceniane negatywnie. Należy przychylić się do stanowiska, iż
wystarczającym mogłoby się okazać nałożenie na ADO obowiązku jawności informacji o
wyznaczeniu ABI w związku z jawnością rejestru zbiorów przetwarzanych przez ADO.
Prowadzenie przez ABI rejestru zbiorów danych
Na podstawie art. 36 a ust 2 pkt. 2 OchrDanOsobU do zadań ABI należy prowadzenie rejestru
zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów zwolnionych z
rejestracji na podstawie art. 43 ust. 1 OchrDanOsobU.
Wewnętrzny rejestr zbiorów danych prowadzony przez ABI nie obejmuje wszystkich zbiorów, które
przetwarza ADO, ale tylko te, które nie są objęte w/w zwolnieniem.
Rejestr może być prowadzony w postaci papierowej albo w postaci elektronicznej.
Zgodnie z projektem rozporządzenia Ministra Administracji i cyfryzacji w sprawie sposobu
prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych, w
stosunku do każdego zbioru danych w rejestrze muszą znaleźć się następujące informacje:
1) nazwa zbioru danych;
2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer
identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
3) jeżeli został wyznaczony, oznaczenie przedstawiciela administratora danych, o którym mowa w art.
3la ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwanej dalej „ustawą", i adres jego
siedziby lub miejsca zamieszkania;
W W W. p r z e t w a r z a n i e d a n y c h . p l
Strona 9
4) w przypadku powierzenia przetwarzania danych, oznaczenie podmiotu, któremu powierzono
przetwarzanie danych ze zbioru na podstawie art. 31 ustawy i adres jego siedziby lub miejsca
zamieszkania;
5) podstawa prawna upoważniająca do prowadzenia zbioru danych;
6) cel przetwarzania danych w zbiorze;
7) opis kategorii osób, których dane są przetwarzane w zbiorze;
8) zakres danych przetwarzanych w zbiorze;
9) sposób zbierania danych do zbioru;
10) sposób udostępniania danych ze zbioru;
11) oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;
12) informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego
W rejestrze podaje się także datę dokonania wpisu informacji oraz ich ostatniej aktualizacji.
Natomiast w przypadku wykreślenia zbioru danych z rejestru w rejestrze wskazuje się nazwę zbioru
danych oraz daty wpisania i wykreślenia zbioru danych.
W przypadku prowadzenia rejestru w postaci elektronicznej, administrator bezpieczeństwa informacji
udostępnia rejestr do przeglądania, przez:
1) udostępnienie rejestru na stronie internetowej administratora danych, przy czym na stronie głównej
umieszcza się odwołanie(link) umożliwiające bezpośredni dostęp do rejestru, lub
2) udostępnienie każdemu zainteresowanemu rejestru na stanowisku dostępowym w systemie
informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego
administratora.
W przypadku prowadzenia rejestru w postaci papierowej, administrator bezpieczeństwa informacji
udostępnia każdemu zainteresowanemu jego treść w siedzibie lub miejscu zamieszkania ADO.
Rozdział 3 Okres przejściowy – 1 stycznia 2015 r. - 30 czerwca 2015 r.
Status ABI
W przypadku ABI powołanych przed 1 stycznia 2015 r. na mocy przepisów obowiązujących
przed nowelizacją, stosuje się nowe przepisy, nawet, jeśli po 30 czerwca 2015 nie zostaną zgłoszeni
W W W. p r z e t w a r z a n i e d a n y c h . p l
Strona 10
Generalnemu Inspektorowi.
Obowiązywanie poszczególnych instytucji w okresie przejściowym
1. Uproszczona kontrola - GIODO nie wystąpi do ABI z wnioskiem o przeprowadzenie
uproszczonej kontroli w tym czasie (kontrola uproszczona dotyczy jedynie ABI wpisanego
do rejestru).
2. Zwolnienie z obowiązku rejestracji zbiorów – nie przysługuje ADO (przysługuje
wyłącznie w przypadku powołania i zgłoszenia ABI do rejestru GIODO ) – oznacza to, że w
okresie przejściowym ADO, który nie zgłosi ABI do rejestru GIODO, ma obowiązki
związane ze zgłaszaniem, aktualizacją oraz wykreśleniem zbiorów danych z rejestru
GIODO.
3. Prowadzenie wewnętrznego rejestru zbiorów danych przez ABI – GIODO nie
odpowiedział rozstrzygająco na to pytanie, ale z jego wypowiedzi wynika, iż ABI powinien
taki rejestr prowadzić w okresie przejściowym tzn. jeszcze przed zgłoszeniem.
4. Sprawozdawczość – W okresie przejściowym obowiązują zadania ABI w zakresie
sprawozdawczości dla ADO.
Rozdział 4 Zbiory już zgłoszone i ujawnione w rejestrze zbiorów GIODO a
powołanie i zgłoszenie ABI
Administrator danych, który powołał ABI i zgłosił go Generalnemu Inspektorowi do rejestracji
zwolniony jest z obowiązku rejestracji zbiorów danych osobowych z wyjątkiem danych
wrażliwych.
Oznacza to, że w przypadku powołania i zgłoszenia ABI ustaje po stronie ADO obowiązek
rejestracji zbiorów danych osobowych z wyjątkiem zbiorów zawierających dane wrażliwe.
W tym przypadku obowiązek rejestracji zbiorów w Rejestrze GIODO przechodzi na ABI, który
prowadzi wewnętrzny rejestr zbiorów danych osobowych przetwarzanych przez ADO.
Powstają jednak pytania odnośnie zbiorów już zarejestrowanych w rejestrze GIODO. Są to
pytania dotyczące obowiązku aktualizacji czy wykreślenia dotychczasowych zbiorów z rejestru
GIODO.
Zasady rejestracji zbiorów danych osobowych zawiera rozdział 6 OchrDanOsobU. Na podstawie
W W W. p r z e t w a r z a n i e d a n y c h . p l
Strona 11
art. 40 OchrDanOsobU administrator danych jest obowiązany zgłosić zbiór danych do rejestracji
Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust.1.
Przepis art. 41 OchrDanOsobU wskazuje niezbędne elementy, które zgłoszenie do rejestracji
powinno zawierać. W przepisie tym uregulowany został również obowiązek aktualizacji, zgodnie, z
którym administrator danych jest obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę
informacji objętych zgłoszeniem, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych.
Art. 41 ust 4 OchrDanOsobU stanowi, że do zgłaszania zmian stosuje się odpowiednio przepisy
o rejestracji zbiorów danych.
W przypadku, więc zwolnienia z obowiązku rejestracji zbiorów czy na podstawie art. 43 ust.1 czy
ust. 1a OchrDanOsobU, przepis ten dotyczy również aktualizacji zbiorów. Oznacza to, że ADO,
który powołał i zgłosił ABI do rejestru GIODO zwolniony jest nie tylko z rejestracji zbiorów
danych, ale także z aktualizacji zbiorów dotychczas zarejestrowanych.
W przypadku instytucji wykreślenia zbiorów z rejestru, sytuacja nie przedstawia się już tak
klarownie, bowiem nowelizacja przemilcza tę kwestię. Nie mając, więc stosownego przepisu,
możemy posiłkować się interpretacjami lub liczyć na oficjalne stanowisko GIODO w tym zakresie.
Jedna z interpretacji tego zagadnienia, które pojawiły się na forum ADO/ABI jest taka, iż w
przypadku zbiorów już zgłoszonych i ujawnionych w rejestrze GIODO, zwolnienie dotyczy
rejestracji i aktualizacji, natomiast nie dotyczy wykreślenia. Wobec tego, w przypadku zaistnienia
przesłanek do wykreślenia, czyli zaprzestania przetwarzania w zbiorze, fakt ten należy zgłosić
GIODO, który wykreśli zbiór z rejestru.
Zaprezentowana została również interpretacja funkcjonalna zgodnie, z którą, intencją racjonalnego
ustawodawcy wprowadzającego IV pakiet deregulacyjny, było odciążenie przedsiębiorcy z
obowiązków administracyjnych, w tym z rejestracji, aktualizacji a także wykreślenia zbiorów,
które jest nieodłącznie z tym procesem związane i również powinno być objęte przedmiotowym
zwolnieniem. Na forum ADO/ABI pojawiły się postulaty, iż historyczny rejestr zbiorów
zgłoszonych do GIODO powinien zawierać informacje o powołaniu ABI, co oznaczałoby, że
aktualnych informacji o zbiorach przetwarzanych przez konkretnego ADO, należy szukać w
prowadzonym przez wyznaczonego. ABI jawnym i dostępnym rejestrze.
Faktem jest jednak brak odpowiedniego przepisu pozwalającego na pewność jednej z dwóch
zaprezentowanych interpretacji. Wobec tych rozbieżności interpretacyjnych Generalny Inspektor
Danych Osobowych będzie zmuszony do wydania oficjalnego stanowiska rozstrzygającego
zasygnalizowaną wyżej rozbieżność.
W W W. p r z e t w a r z a n i e d a n y c h . p l
Strona 12
Rozdział 5 Outsourcing zadań ABI
W świetle znowelizowanej OchrDanOsobU nie ma przeszkód, aby zadania ABI mogły być
zlecone wyspecjalizowanej firmie zewnętrznej. W takim przypadku należy pamiętać, iż
wyznaczony ABI musi spełniać wymogi ustawowe.
Podnoszony jest ponadto aktualnie postulat, iż w przypadku outsourcingu wyznaczonym ABI nie
powinien być pracownik firmy outsourcingowej a jej prezes.. Wymóg taki jest uwarunkowany
spełnieniem przez ADO wymogu zapewnienia niezależności ABI, co w przypadku pracownika
outsourcera może być trudne do osiągnięcia z uwagi na podległość służbową pracownika.
Decydując się na usługi konkretnej firmy świadczącej usługi przejęcia funkcji ABI, należy dokonać
analizy jej kompetencji i możliwości formalno-organizacyjnych, aby bez ryzyka powierzyć jej
zadania ABI. Pamiętać należy, że ABI zapewnia nie tylko usługi w zakresie zabezpieczenia
technicznego i organizacyjnego, ale świadczy również pomoc prawną w zakresie interpretacji i
stosowania prawa ochrony danych osobowych. Wobec czego firma zewnętrzna powinna
niewątpliwie posiadać zespół profesjonalnych prawników oraz odpowiednią polisę ubezpieczenia
odpowiedzialności cywilnej (OC) związaną z prowadzoną działalnością i świadczonymi usługami.
Rozdział 6 Niepowołanie ABI
W przypadku niepowołania ABI zadania określone w znowelizowanej OchrDanOsobU, z
wyłączeniem obowiązku sporządzania sprawozdania, wykonuje ADO.
Czynności administratora danych realizowane być muszą przez konkretne osoby fizyczne, co
oznacza, że zadania ABI powinny być rozdzielone pomiędzy pracownikami w firmie. Zadania
należące do kompetencji ABI, ADO – pracodawca powinien powierzyć pracownikowi lub
pracownikom formułując odpowiedni zakres obowiązków, który szczegółowo sprecyzuje zadania
powierzone danemu pracownikowi i związaną z tym powierzeniem odpowiedzialność.
W W W. p r z e t w a r z a n i e d a n y c h . p l
Strona 13
Rozdział 7 Szczegółowe zagadnienia dotyczące statusu ABI
I. Odpowiednia wiedza
Odpowiednia wiedza to jeden z ustawowych wymogów, który musi spełniać administrator
bezpieczeństwa informacji. Odrębną kwestią, ale też ciekawą jest, w jaki sposób administrator
danych ma ten wymóg weryfikować.
Myślę, że nie będzie przesadą stwierdzenie, iż w stanie prawnym sprzed nowelizacji, w wielu
sytuacjach ABI w firmie był tylko figurantem. Ktoś musiał być wyznaczony do pełnienia tej
funkcji. Prezes firmy wyznaczał, więc czasem z rozmysłem a czasami z przypadku różne osoby.
Zdarzało się oczywiście, że w ślad za tym administrator danych dostarczał wyznaczonemu ABI
niezbędnych narzędzi do pełnienia tej funkcji, choćby w postaci niezbędnego doszkalania. Jednak
bywały też i sytuacje, w których kadrowa pozostawała kadrową, księgowa księgową a informatyk
świadczył pracę informatyka i wiedza tych osób w zakresie ochrony danych osobowych nie
wzrosła w związku z nominacją na ABI.
Czy sytuacje takie będą możliwe w aktualnym stanie prawnym. Sytuacja, w której ABI nie ma
odpowiedniej wiedzy w zakresie ochrony danych osobowych, będzie niezgodna z prawem. Osoba
nielegitymująca się odpowiednią wiedzą nie spełnia ustawowego wymogu niezbędnego do
pełnienia funkcji, ABI.
Nowelizacja wprowadza szczegółowy katalog zadań, które ABI jest obowiązany w wykonywaniu
swojej funkcji wypełniać. Do zadań ABI należy zapewnianie przestrzegania przepisów o ochronie
danych osobowych, w szczególności przez sprawdzanie zgodności przetwarzania danych
osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie
sprawozdania dla administratora danych.
Ustawa precyzując w ten sposób kompetencje ABI czyni zeń jedną z kluczowych osób w procesie
przetwarzania danych osobowych. Tak naprawdę to ABI, o ile administrator danych go wyznaczy,
będzie odpowiedzialny za poziom i stan ochrony danych osobowych w organizacji.
Jest to ogromne novum. Jedno zdanie z ustawy sprzed nowelizacji zostało zastąpione rozbudowaną
regulacją dotyczącą statusu ABI, jego kompetencji oraz określenia sposobów realizacji tych
kompetencji. Mamy trzy rozporządzenia wykonawcze do nowelizacji. Rozporządzenia szczegółowo
określają tryb i sposób wypełniania przez ABI ustawowo przyznanych zadań.
Osoba, na której spoczywa ciężar zapewnienia przestrzegania przepisów z zakresu ochrony danych
osobowych musi oczywiście doskonale te przepisy znać, umieć je interpretować i swobodnie się w
W W W. p r z e t w a r z a n i e d a n y c h . p l
Strona 14
nich poruszać. Dodatkowo osoba taka powinna posiadać podstawową wiedzę w zakresie
techniczno-organizacyjnego zabezpieczania danych osobowych. Jak sądzę tylko taka osoba będzie
się legitymować spełnieniem wymogu w zakresie posiadania odpowiedniej wiedzy.
W świetle powyższego oczywiste jest, że ABI nie może być już figurantem, nie może pełnić tej
funkcji niejako dodatkowo, nie wypełniając wszystkich przez ustawę nałożonych obowiązków.
Taki ABI nawet, jeśli będzie równocześnie kadrową czy księgową czy informatykiem będzie
musiał być też specjalistą w zakresie ochrony danych osobowych z pełnymi tego
konsekwencjami.
Na koniec należy dodać, iż ABI zgłoszony do rejestru GIODO, będzie w zakresie legitymowania
się odpowiednią wiedzą podlegał niejako zewnętrznej weryfikacji ze strony GIODO, który do
zarejestrowanego ABI może wystąpić o przeprowadzanie dla niego kontroli i sporządzenie z tejże
kontroli odpowiedniego sprawozdania. W toku uproszczonej kontroli, GIODO z pewnością bardzo
szybko rozezna czy wiedza ABI jest na wystarczającym poziomie, aby dawać rękojmię należytego
wykonywania tej funkcji.
W przypadku stwierdzenia, w toku uproszczonej kontroli na wniosek GIODO, braku u ABI
odpowiedniej wiedzy w zakresie ochrony danych osobowych GIODO z urzędu wydaje decyzję o
wykreśleniu takiego ABI z rejestru.
Zagadnieniem, które wyłania się w świetle niniejszych rozważań jest, kto i w jakim zakresie ponosi
odpowiedzialność za przestrzeganie przepisów o ochronie danych osobowych, jeśli ABI nie posiada
odpowiedniej wiedzy. W takim przypadku odpowiedzialność spadnie na administratora danych,
który, pełni kluczową rolę w procesie przetwarzania danych. Na koniec wydaje się oczywiste, że
ABI figurant to przeszłość. Zarówno w interesie administratorów danych, jak i osób, które
powoływane są do pełnienia funkcji ABI jest to, aby nie były to osoby przypadkowe a takie, które
są specjalistami w zakresie przepisów o ochronie danych osobowych.
W świetle nowelizacji żaden pracownik czy księgowa, kadrowa czy informatyk nie powinien
wyrazić zgody na pełnienie tej funkcji bez zagwarantowania mu odpowiednich środków i
organizacyjnej odrębności niezbędnych do należytego wykonywania przez niego zadań. Tak samo
administrator danych nie może powoływać przypadkowej osoby na stanowisko ABI. Takie
przypadkowe powołanie, bezprzedmiotowe dla zapewnienia odpowiedniego poziomu ochrony
danych w organizacji, może być przyczyną dodatkowego postępowania i negatywnej oceny ze
strony Generalnego Administratora w przypadku wszczętej kontroli.
W W W. p r z e t w a r z a n i e d a n y c h . p l
Strona 15
______________________
1
Ustawa z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U z
2014 r., poz. 1662); dalej jako nowelizacja OchrnDanOsobU lub nowelizacja.
2
Dalej jako: ABI.
3
T.jedn.: Dz.U z 2014 r., poz.1182; dalej jako OchrDanOsobU
4
Dalej jako: ADO.
5
Szerzej na ten temat por.. Paweł Fajgielski, Administrator bezpieczeństwa informacji – geneza,
stan obecny i perspektywy zmian (dodatek MoP 9/2014).
W W W. p r z e t w a r z a n i e d a n y c h . p l
Strona 16