Nowelizacja Ustawy o ochronie danych osobowych
Transkrypt
Nowelizacja Ustawy o ochronie danych osobowych
WWW.przetwarzaniedanych.pl Nowelizacja Ustawy o ochronie danych osobowych PORADNIK Mariola Malicka 2014-12-18 W W W. p r z e t w a r z a n i e d a n y c h . p l Strona 1 Nowelizacja Ustawy o ochronie danych osobowych 1 PORADNIK Mariola Malicka Radca prawny WWW.przetwarzaniedanych.pl Niniejszy artykuł-poradnik stanowi głos w dyskusji o statusie administratora bezpieczeństwa informacji2, która aktualnie toczy się w kontekście nowelizacji ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.jedn. Dz.U. z 2014 r. poz. 1182) 3. W artykule w pierwszej jego części przedstawię stan prawny dotyczący ABI sprzed nowelizacji. W następnej omówię zmiany wprowadzone nowelizacją. W podsumowaniu zebrane zostaną najważniejsze wnioski płynące z wprowadzonych zmian, ze szczególnym uwzględnieniem wątpliwość interpretacyjnych, które rozbrzmiewają w dyskusji dotyczącej wprowadzanych zmian. Rozdział 1 ABI przed nowelizacją OchrDanOsobU W stanie prawnym przed nowelizacją OchrDanOsobU jedynym przepisem regulującym status ABI był przepis art. 36 ust.3 zgodnie, z którym, administrator danych osobowych4 wyznaczał administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba, że sam wykonywał te czynności. Bardzo oszczędna regulacja prawna dotycząca ABI była przyczyną problemów oraz wątpliwości interpretacyjnych zarówno w doktrynie jak i praktyce stosowania przepisów dotyczących ABI. W praktyce część ADO wyznaczała ABI wewnątrz firmy, spośród zatrudnionych pracowników, cedując na niego wykonywanie wyłącznie lub dodatkowo zadań ABI. Inni natomiast zlecali wykonywanie funkcji ABI firmom zewnętrznym, specjalizującym się w zagadnieniach ochrony danych osobowych i oferujących przejęcie funkcji ABI. Zaletą w tym stanie prawnym była dość duża swoboda w określaniu zadań ABI tak wewnętrznego jak i zewnętrznego przez ADO. W W W. p r z e t w a r z a n i e d a n y c h . p l Strona 2 Wyznaczenie ABI – obowiązek czy uprawnienie ADO Jedną z kluczowych kwestii było zagadnienie dotyczące wyznaczania ABI w kontekście obowiązku czy uprawnienia administratora danych. W kontekście brzmienia art. 36 ust 3 OchrDanOsobU, że administrator danych wyznacza ABI, chyba, że sam wykonuje te czynności, zarówno w doktrynie jak i orzecznictwie przyjmowano, że w przypadkach, których administratorem danych jest osoba fizyczna może ona samodzielnie wykonywać czynności nadzoru natomiast w pozostałych przypadkach wyznaczenie ABI jest obowiązkowe. Zgodnie z wyrokiem NSA z 21 lutego 2014 r. (IOSK 2445/12) w poprzednim stanie prawnym wyznaczenie ABI było obowiązkiem każdego podmiotu oprócz osób fizycznych prowadzących działalność gospodarczą. W przepisach znowelizowanej OchrDanOsobU art. 36a ust 1 stanowi, iż administrator danych może powołać administratora bezpieczeństwa informacji a w przypadku niepowołania ABI jego zadania wykonuje administrator danych. Mimo jakby się wydawało oczywistego brzmienia nowych przepisów spotkać można stanowisko, iż podobnie, jak w brzmieniu sprzed nowelizacji ADO może wykonywać zadania przypisane ABI, ale w przypadku, gdy jest osobą fizyczną prowadzącą działalność. Taka interpretacja jest w świetle nowych przepisów zupełnie nieuzasadniona. ADO, który jest spółką prawa handlowego lub inną jednostką organizacyjną w sytuacji, gdy nie powoła ABI może samodzielnie wykonywać czynności w zakresie zapewnienia zgodności przestrzegania przepisów ochrony danych osobowych. Rozdział 2 ABI w świetle nowelizacji OchrDanOsobU Z dniem 1 stycznia 2015 r. wchodzi w życie ustawa z dnia 7 listopada 2014 r.o ułatwieniu wykonywania działalności gospodarczej (Dz.U z 2014 r., poz. 1182.) wprowadzająca m.in. nowelizację OchDanOsobU. Rozwiązania dotyczące ABI w nowelizacji można podzielić na dwie główne grupy: 1) Zmiany dotyczące problemów i wątpliwości zgłaszanych w praktyce oraz w doktrynie przedmiotu oraz W W W. p r z e t w a r z a n i e d a n y c h . p l Strona 3 2) Nowe uregulowania. Do pierwszej grupy zaliczyć można: wyraźne wskazanie fakultatywności powołania ABI; określenie wymogów dla ABI, wskazanie miejsca ABI w strukturze organizacyjnej ADO, określenie szczegółowego katalogu zadań ABI, wskazanie możliwości powołania zastępców ABI, zwolnienie z obowiązku rejestracji zbiorów (z wyjątkiem zbiorów zawierających dane wrażliwe), w przypadku, gdy administrator powołał ABI a także zbiorów przetwarzanych tradycyjnie. Do drugiej grupy należy zaliczyć: nałożenie obowiązku zgłaszania ABI do GIODO, nałożenie na ABI obowiązku składania sprawozdania administratorowi danych, obowiązku ABI w zakresie przeprowadzenia „sprawdzenia” na polecenie GIODO oraz prowadzenie przez GIODO jawnego rejestru ABI. Poniżej zostaną szczegółowo omówione poszczególne rozwiązania zarówno z jednej, jak i drugiej grupy. ADO nie ma obowiązku powołania ABI W przepisach znowelizowanej OchrDanOsobU w art. 36a ust 1 czytamy, iż ADO może powołać administratora bezpieczeństwa informacji a w przypadku niepowołania zadania ABI wykonuje sam administrator danych. W świetle znowelizowanej OchrDanOsobU ADO ma prawo a nie obowiązek powołania ABI. W świetle nowelizacji definitywnie zostało rozstrzygnięte, iż ABI nie może być jednostką organizacyjną. Zgodnie z nowelizacją ABI może być osoba, która: 1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, 2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; 3) nie była karana za umyślne przestępstwo. ADO ma więc prawo ale nie obowiązek powołania ABI. Dotyczy to wszystkich administratorów danych bez wyjątku. Zadania ABI W art. 36 a ust. 2 znowelizowanej OchrDanOsobU wprowadzony został katalog zadań ABI. To istotne novum. Do zadań administratora bezpieczeństwa informacji w nowym stanie prawnym W W W. p r z e t w a r z a n i e d a n y c h . p l Strona 4 należy zapewnianie przestrzegania przepisów o ochronie danych osobowych przez: 1) sprawdzanie zgodności przetwarzania z przepisami OchrDanOsobU, 2) nadzór w zakresie dokumentacji (polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym), 3) zapewnianie zapoznania się osób upoważnionych z przepisami o ochronie danych osobowych, 4) prowadzenie wewnętrznego rejestru zbiorów danych. Sprawdzanie W świetle nowelizacji ABI będzie odpowiedzialny za wykonanie zadań ustawowo mu przypisanych i w tym zakresie całkowicie decyzyjną. To ABI bada i sprawdza zgodność przetwarzania danych z przepisami OchrDanOsobU. W celu skutecznego sprawdzenia zgodności, ABI ma np. prawo do przeprowadzenia quasi dochodzenia, podczas którego ustala stan faktyczny w oparciu o dokumenty, oględziny, pisemne lub ustne wyjaśnienia. Może żądać udzielenia w wyznaczonym przez niego terminie, ustnych lub pisemnych wyjaśnień od wskazanych przez niego osób i sporządzać pisemne notatki. W razie potrzeby ABI może przeprowadzić oględziny, które mogą zostać utrwalone za pomocą urządzeń rejestrujących dźwięk lub obraz. Z przebiegu oględzin sporządza protokół. Opisany przebieg sprawdzenia przez ABI i uprawnienia, które ustawa przyznaje ABI są zbliżone do uprawnień, jakie mają organy państwowe prowadzące postępowania i sprawia, iż ABI staje się quasi urzędnikiem. Na skutek powyższego ABI w przedsiębiorstwie może być postrzegany, jako swoisty inspektor ochrony danych osobowych, po części człowiek firmy a po części urzędnik GIODO, przed którym wbrew intencjom, zamiast ujawniać, ukrywa się istotne fakty. Połączenie bardzo szerokich kompetencji w jednych rękach, przy przyznanej niezależności niewątpliwie podnosi rangę ABI w przedsiębiorstwie i ma szansę faktycznie przyczynić się do podniesienia poziomu ochrony danych osobowych w firmie, jednakże urzędnicza twarz ABI może być istotnym czynnikiem hamującym skuteczne wykonywanie przypisanych mu zadań. Sprawozdania dla ADO Przeprowadzane przez ABI sprawdzanie zgodności przetwarzania danych z przepisami kończy się obowiązkiem złożenia ADO stosownego sprawozdania. Sprawdzenie wymagające od ABI sprawozdania dokonywane jest cyklicznie na podstawie rocznego programu sprawdzeń oraz W W W. p r z e t w a r z a n i e d a n y c h . p l Strona 5 doraźnie, gdy ABI uzyska informacje wskazujące na wystąpienie istotnych zagrożeń. Roczny program sprawdzeń określa zakres zagadnień, które będą podlegać sprawdzeniu w danym roku kalendarzowym. Program zatwierdzany jest przez ADO do końca roku kalendarzowego poprzedzającego rok, którego program dotyczy. ABI opracowuje sprawozdanie niezwłocznie, nie później niż 14 dni od dnia zakończenia sprawdzenia. Raporty dla ADO W przypadku stwierdzenia przez ABI, podczas zwykłego nadzoru, naruszenia przestrzegania zasad ochrony danych określonych w dokumentacji, ABI sporządza raport zawierający zakres naruszenia. Oznacza to, iż podczas bieżącego nadzoru stwierdzenie przez ABI naruszenia zasad musi zostać udokumentowane w postaci raportu ABI dla ADO, w którym ABI wskaże, które zasady przetwarzania danych zostały naruszone, w jaki sposób oraz wskaże sposób, w jaki naruszenie powinno być usunięte, aby przywrócić stan zgodności z prawem. Zapewnianie zapoznania się osób upoważnionych z przepisami Pojawiają się wątpliwości w jaki sposób ABI ma zapewniać zapoznanie się z przepisami. Czy obowiązek ten oznacza zapewnienie przez ABI szkolenia czy też może wystarczy, gdy ABI ograniczy się do udostępnienia ustawy do przeczytania lub wyciągu z tej ustawy. W mojej ocenie zapewnianie zapoznania się osób upoważnionych z przepisami nie może ograniczyć się do przedłożenia przepisów do przeczytania, bowiem, ABI ma zapewniać zapoznanie się z tymi przepisami. Zgodnie Słownikiem Języka Polskiego PWN czasownik zapewniać – zapewnić oznacza: «oświadczyć komuś, że coś jest lub będzie na pewno» «sprawić, że coś się stanie lub ktoś uzyska coś» Natomiast synonimami dla czasownika zapewnić – zapewniać będą takie czasowniki jak: gwarantować, upewniać, dawać głowę. Wobec takiego znaczenia czasownika zapewnić - zapewniać nie można uznać, iż obowiązek związany z zapewnianiem zapoznawania osób upoważnionych z przepisami o ochronie danych W W W. p r z e t w a r z a n i e d a n y c h . p l Strona 6 osobowych może się ograniczyć wyłącznie do przedłożenia przepisów do przeczytania. Zapewniać to zgodnie z zacytowaną definicją sprawić, że coś się stanie lub ktoś uzyska coś. W omawianym kontekście ABI zobowiązany jest sprawić, aby osoby upoważnione do przetwarzania danych osobowych uzyskały zapoznanie się z przepisami o ochronie danych osobowych. A zapoznanie w tym znaczeniu oznacza zapewnienie przekazania informacji odnoszących się do przepisów o ochronie danych osobowych, dlatego przekazanie przepisów do przeczytania w kontekście literalnego brzmienia przepisów uznać należy za niewystarczające. Celowo poświęciłam nieco więcej uwagi temu obowiązkowi, gdyż podczas forum ADO/ABI wyłoniły się różne interpretacje dotyczące tego zagadnienia. Właściwą, bo zgodną z językowym znaczeniem użytych słów, jest interpretacja zaprezentowana powyżej. Niezależność ABI Zgodnie z nowelą ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Podległość bezpośrednio pod organ zarządzający jednostką organizacyjną, pozwala na w pełni niezależne pełnienie funkcji i wykonywanie zadań. W przypadku, gdy przedsiębiorca wyznacza ABI spośród swoich pracowników podlega on bezpośrednio pod organ zarządzający przedsiębiorcą. Oznacza to niezależność stanowiska, samodzielne realizowanie zadań i raportowanie bezpośrednio Zarządowi. ADO zgłaszający powołanie ABI do rejestru GIODO musi wraz z wnioskiem złożyć oświadczenie, że ABI spełnia warunek w zakresie podlegania bezpośrednio kierownikowi jednostki organizacyjnej. Stwierdzenie uchybienia w powyższym zakresie uprawnia GIODO do wydania z urzędu decyzji o wykreśleniu ABI z rejestru. Sprawozdania dla GIODO – uproszczona kontrola na wniosek GIODO może zwrócić się do ABI wpisanego do rejestru o dokonanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami OchrDanOsobU u administratora, który go powołał. Po dokonaniu sprawdzenia ABI za pośrednictwem ADO przedstawia GIODO sprawozdanie. Zakres zagadnień, które w szczególności powinny być uwzględniane w zależności od zakresu sprawdzenia wymienione są w przepisach rozporządzenia wykonawczego. W W W. p r z e t w a r z a n i e d a n y c h . p l Strona 7 W wykonywaniu sprawdzenia zgodności na wniosek GIODO, ABI przeprowadza analogiczne postępowanie, jak w przypadku sprawdzenia wewnętrznego. W celu ustalenia stanu faktycznego, zbiera dowody, odbiera wyjaśnienia, przeprowadza oględziny, sporządza protokoły itd. Po zakończeniu postępowania opracowuje sprawozdanie w dwóch egzemplarzach, z których jeden za pośrednictwem ADO zostaje przekazany do GIODO. Intencją projektodawców tego rozwiązania było uproszczenie kontroli i możliwość uniknięcia dolegliwości kontroli zewnętrznej prowadzonej przez urzędników biura GIODO. W rzeczywistości instytucja uproszczonej kontroli stała się negatywnym języczkiem uwagi w całej nowelizacji, wokół której mnoży się najwięcej wątpliwości. Padają pytania jak będzie wyglądała uproszczona kontrola w wykonaniu GIODO, czy firmy, które powołają ABI będą nękane tego rodzaju kontrolami.. Pytania te, w chwili obecnej, pozostają bez odpowiedzi i dopiero praktyka urzędu pokaże czym będzie instytucja uproszczonej kontroli i czy uzasadnione są liczne obawy przedsiębiorców wysuwane pod jej adresem. Uzasadniona jednak wydaje się obawa, że uproszczona kontrola może stawiać ABI w trudnej sytuacji wobec ADO. Z jednej strony nie trudno wyobrazić sobie sytuację, w której ADO będzie wywierał presję na ABI, aby pewnych, niekorzystnych dla ADO informacji w sprawozdaniu dla GIODO nie umieszczał. Z drugiej strony może dochodzić na tle omawianej instytucji do swoistego samooskarżenia, gdy ze sprawozdania sporządzonego na zlecenie ABI wynikną nieprawidłowości, co pośrednio może oznaczać, że ABI nie wykonywał swoich obowiązków należycie. Reasumując osiągnięcie zamierzonego przez GIODO skutku w postaci złagodzenia problemów wynikających z niedostatków kadrowych i finansowych związanych z prowadzeniem kontroli, wywołać może skutki dalekie od zamierzonych. Przy okazji należy wyraźnie podkreślić, iż obowiązek złożenia Generalnemu Inspektorowi przez ABI sprawozdania dotyczy wyłącznie sytuacji, gdy GIODO zwróci się do ABI o dokonanie sprawdzenia. Wyłącznie w tej a nie żadnej innej sytuacji. Z przepisów nie wynika jakakolwiek inna sprawozdawczość wobec GIODO, jak tylko związana z instytucją uproszczonej kontroli. Zwolnienie ADO z obowiązku rejestracji zbiorów danych ADO jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem zbiorów zwolnionych, o których mowa w art. 43 ust. 1 i 1a OchrDanOsobU. Nowelizacja wprowadza do OchrDanOsobU przepis art. 43 ust. 1a o następującym brzmieniu:. „Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających W W W. p r z e t w a r z a n i e d a n y c h . p l Strona 8 dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji...” Zwolnienie ADO z obowiązku rejestracji zbiorów danych w sytuacji, gdy ADO powołał i zgłosił ABI do rejestru GIODO, ma stanowić zachętę dla ADO, aby powoływali ABI i dzięki temu nie musieli zgłaszać zbiorów do rejestracji. Pojawia się jednak dodatkowy wymóg w postaci zgłoszenia do GIODO faktu powołania i odwołania ABI, z czym z kolei łączy się obowiązek prowadzenia przez GIODO jawnego rejestru ABI. Jeden obowiązek rejestracji zbiorów danych został zastąpiony innym obowiązkiem rejestracji ABI, co w odczuciu przedsiębiorców jest zastąpieniem jednego obowiązku administracyjnego innym i jest przez nich oceniane negatywnie. Należy przychylić się do stanowiska, iż wystarczającym mogłoby się okazać nałożenie na ADO obowiązku jawności informacji o wyznaczeniu ABI w związku z jawnością rejestru zbiorów przetwarzanych przez ADO. Prowadzenie przez ABI rejestru zbiorów danych Na podstawie art. 36 a ust 2 pkt. 2 OchrDanOsobU do zadań ABI należy prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów zwolnionych z rejestracji na podstawie art. 43 ust. 1 OchrDanOsobU. Wewnętrzny rejestr zbiorów danych prowadzony przez ABI nie obejmuje wszystkich zbiorów, które przetwarza ADO, ale tylko te, które nie są objęte w/w zwolnieniem. Rejestr może być prowadzony w postaci papierowej albo w postaci elektronicznej. Zgodnie z projektem rozporządzenia Ministra Administracji i cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych, w stosunku do każdego zbioru danych w rejestrze muszą znaleźć się następujące informacje: 1) nazwa zbioru danych; 2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany; 3) jeżeli został wyznaczony, oznaczenie przedstawiciela administratora danych, o którym mowa w art. 3la ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwanej dalej „ustawą", i adres jego siedziby lub miejsca zamieszkania; W W W. p r z e t w a r z a n i e d a n y c h . p l Strona 9 4) w przypadku powierzenia przetwarzania danych, oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy i adres jego siedziby lub miejsca zamieszkania; 5) podstawa prawna upoważniająca do prowadzenia zbioru danych; 6) cel przetwarzania danych w zbiorze; 7) opis kategorii osób, których dane są przetwarzane w zbiorze; 8) zakres danych przetwarzanych w zbiorze; 9) sposób zbierania danych do zbioru; 10) sposób udostępniania danych ze zbioru; 11) oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane; 12) informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego W rejestrze podaje się także datę dokonania wpisu informacji oraz ich ostatniej aktualizacji. Natomiast w przypadku wykreślenia zbioru danych z rejestru w rejestrze wskazuje się nazwę zbioru danych oraz daty wpisania i wykreślenia zbioru danych. W przypadku prowadzenia rejestru w postaci elektronicznej, administrator bezpieczeństwa informacji udostępnia rejestr do przeglądania, przez: 1) udostępnienie rejestru na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie(link) umożliwiające bezpośredni dostęp do rejestru, lub 2) udostępnienie każdemu zainteresowanemu rejestru na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora. W przypadku prowadzenia rejestru w postaci papierowej, administrator bezpieczeństwa informacji udostępnia każdemu zainteresowanemu jego treść w siedzibie lub miejscu zamieszkania ADO. Rozdział 3 Okres przejściowy – 1 stycznia 2015 r. - 30 czerwca 2015 r. Status ABI W przypadku ABI powołanych przed 1 stycznia 2015 r. na mocy przepisów obowiązujących przed nowelizacją, stosuje się nowe przepisy, nawet, jeśli po 30 czerwca 2015 nie zostaną zgłoszeni W W W. p r z e t w a r z a n i e d a n y c h . p l Strona 10 Generalnemu Inspektorowi. Obowiązywanie poszczególnych instytucji w okresie przejściowym 1. Uproszczona kontrola - GIODO nie wystąpi do ABI z wnioskiem o przeprowadzenie uproszczonej kontroli w tym czasie (kontrola uproszczona dotyczy jedynie ABI wpisanego do rejestru). 2. Zwolnienie z obowiązku rejestracji zbiorów – nie przysługuje ADO (przysługuje wyłącznie w przypadku powołania i zgłoszenia ABI do rejestru GIODO ) – oznacza to, że w okresie przejściowym ADO, który nie zgłosi ABI do rejestru GIODO, ma obowiązki związane ze zgłaszaniem, aktualizacją oraz wykreśleniem zbiorów danych z rejestru GIODO. 3. Prowadzenie wewnętrznego rejestru zbiorów danych przez ABI – GIODO nie odpowiedział rozstrzygająco na to pytanie, ale z jego wypowiedzi wynika, iż ABI powinien taki rejestr prowadzić w okresie przejściowym tzn. jeszcze przed zgłoszeniem. 4. Sprawozdawczość – W okresie przejściowym obowiązują zadania ABI w zakresie sprawozdawczości dla ADO. Rozdział 4 Zbiory już zgłoszone i ujawnione w rejestrze zbiorów GIODO a powołanie i zgłoszenie ABI Administrator danych, który powołał ABI i zgłosił go Generalnemu Inspektorowi do rejestracji zwolniony jest z obowiązku rejestracji zbiorów danych osobowych z wyjątkiem danych wrażliwych. Oznacza to, że w przypadku powołania i zgłoszenia ABI ustaje po stronie ADO obowiązek rejestracji zbiorów danych osobowych z wyjątkiem zbiorów zawierających dane wrażliwe. W tym przypadku obowiązek rejestracji zbiorów w Rejestrze GIODO przechodzi na ABI, który prowadzi wewnętrzny rejestr zbiorów danych osobowych przetwarzanych przez ADO. Powstają jednak pytania odnośnie zbiorów już zarejestrowanych w rejestrze GIODO. Są to pytania dotyczące obowiązku aktualizacji czy wykreślenia dotychczasowych zbiorów z rejestru GIODO. Zasady rejestracji zbiorów danych osobowych zawiera rozdział 6 OchrDanOsobU. Na podstawie W W W. p r z e t w a r z a n i e d a n y c h . p l Strona 11 art. 40 OchrDanOsobU administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust.1. Przepis art. 41 OchrDanOsobU wskazuje niezbędne elementy, które zgłoszenie do rejestracji powinno zawierać. W przepisie tym uregulowany został również obowiązek aktualizacji, zgodnie, z którym administrator danych jest obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji objętych zgłoszeniem, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych. Art. 41 ust 4 OchrDanOsobU stanowi, że do zgłaszania zmian stosuje się odpowiednio przepisy o rejestracji zbiorów danych. W przypadku, więc zwolnienia z obowiązku rejestracji zbiorów czy na podstawie art. 43 ust.1 czy ust. 1a OchrDanOsobU, przepis ten dotyczy również aktualizacji zbiorów. Oznacza to, że ADO, który powołał i zgłosił ABI do rejestru GIODO zwolniony jest nie tylko z rejestracji zbiorów danych, ale także z aktualizacji zbiorów dotychczas zarejestrowanych. W przypadku instytucji wykreślenia zbiorów z rejestru, sytuacja nie przedstawia się już tak klarownie, bowiem nowelizacja przemilcza tę kwestię. Nie mając, więc stosownego przepisu, możemy posiłkować się interpretacjami lub liczyć na oficjalne stanowisko GIODO w tym zakresie. Jedna z interpretacji tego zagadnienia, które pojawiły się na forum ADO/ABI jest taka, iż w przypadku zbiorów już zgłoszonych i ujawnionych w rejestrze GIODO, zwolnienie dotyczy rejestracji i aktualizacji, natomiast nie dotyczy wykreślenia. Wobec tego, w przypadku zaistnienia przesłanek do wykreślenia, czyli zaprzestania przetwarzania w zbiorze, fakt ten należy zgłosić GIODO, który wykreśli zbiór z rejestru. Zaprezentowana została również interpretacja funkcjonalna zgodnie, z którą, intencją racjonalnego ustawodawcy wprowadzającego IV pakiet deregulacyjny, było odciążenie przedsiębiorcy z obowiązków administracyjnych, w tym z rejestracji, aktualizacji a także wykreślenia zbiorów, które jest nieodłącznie z tym procesem związane i również powinno być objęte przedmiotowym zwolnieniem. Na forum ADO/ABI pojawiły się postulaty, iż historyczny rejestr zbiorów zgłoszonych do GIODO powinien zawierać informacje o powołaniu ABI, co oznaczałoby, że aktualnych informacji o zbiorach przetwarzanych przez konkretnego ADO, należy szukać w prowadzonym przez wyznaczonego. ABI jawnym i dostępnym rejestrze. Faktem jest jednak brak odpowiedniego przepisu pozwalającego na pewność jednej z dwóch zaprezentowanych interpretacji. Wobec tych rozbieżności interpretacyjnych Generalny Inspektor Danych Osobowych będzie zmuszony do wydania oficjalnego stanowiska rozstrzygającego zasygnalizowaną wyżej rozbieżność. W W W. p r z e t w a r z a n i e d a n y c h . p l Strona 12 Rozdział 5 Outsourcing zadań ABI W świetle znowelizowanej OchrDanOsobU nie ma przeszkód, aby zadania ABI mogły być zlecone wyspecjalizowanej firmie zewnętrznej. W takim przypadku należy pamiętać, iż wyznaczony ABI musi spełniać wymogi ustawowe. Podnoszony jest ponadto aktualnie postulat, iż w przypadku outsourcingu wyznaczonym ABI nie powinien być pracownik firmy outsourcingowej a jej prezes.. Wymóg taki jest uwarunkowany spełnieniem przez ADO wymogu zapewnienia niezależności ABI, co w przypadku pracownika outsourcera może być trudne do osiągnięcia z uwagi na podległość służbową pracownika. Decydując się na usługi konkretnej firmy świadczącej usługi przejęcia funkcji ABI, należy dokonać analizy jej kompetencji i możliwości formalno-organizacyjnych, aby bez ryzyka powierzyć jej zadania ABI. Pamiętać należy, że ABI zapewnia nie tylko usługi w zakresie zabezpieczenia technicznego i organizacyjnego, ale świadczy również pomoc prawną w zakresie interpretacji i stosowania prawa ochrony danych osobowych. Wobec czego firma zewnętrzna powinna niewątpliwie posiadać zespół profesjonalnych prawników oraz odpowiednią polisę ubezpieczenia odpowiedzialności cywilnej (OC) związaną z prowadzoną działalnością i świadczonymi usługami. Rozdział 6 Niepowołanie ABI W przypadku niepowołania ABI zadania określone w znowelizowanej OchrDanOsobU, z wyłączeniem obowiązku sporządzania sprawozdania, wykonuje ADO. Czynności administratora danych realizowane być muszą przez konkretne osoby fizyczne, co oznacza, że zadania ABI powinny być rozdzielone pomiędzy pracownikami w firmie. Zadania należące do kompetencji ABI, ADO – pracodawca powinien powierzyć pracownikowi lub pracownikom formułując odpowiedni zakres obowiązków, który szczegółowo sprecyzuje zadania powierzone danemu pracownikowi i związaną z tym powierzeniem odpowiedzialność. W W W. p r z e t w a r z a n i e d a n y c h . p l Strona 13 Rozdział 7 Szczegółowe zagadnienia dotyczące statusu ABI I. Odpowiednia wiedza Odpowiednia wiedza to jeden z ustawowych wymogów, który musi spełniać administrator bezpieczeństwa informacji. Odrębną kwestią, ale też ciekawą jest, w jaki sposób administrator danych ma ten wymóg weryfikować. Myślę, że nie będzie przesadą stwierdzenie, iż w stanie prawnym sprzed nowelizacji, w wielu sytuacjach ABI w firmie był tylko figurantem. Ktoś musiał być wyznaczony do pełnienia tej funkcji. Prezes firmy wyznaczał, więc czasem z rozmysłem a czasami z przypadku różne osoby. Zdarzało się oczywiście, że w ślad za tym administrator danych dostarczał wyznaczonemu ABI niezbędnych narzędzi do pełnienia tej funkcji, choćby w postaci niezbędnego doszkalania. Jednak bywały też i sytuacje, w których kadrowa pozostawała kadrową, księgowa księgową a informatyk świadczył pracę informatyka i wiedza tych osób w zakresie ochrony danych osobowych nie wzrosła w związku z nominacją na ABI. Czy sytuacje takie będą możliwe w aktualnym stanie prawnym. Sytuacja, w której ABI nie ma odpowiedniej wiedzy w zakresie ochrony danych osobowych, będzie niezgodna z prawem. Osoba nielegitymująca się odpowiednią wiedzą nie spełnia ustawowego wymogu niezbędnego do pełnienia funkcji, ABI. Nowelizacja wprowadza szczegółowy katalog zadań, które ABI jest obowiązany w wykonywaniu swojej funkcji wypełniać. Do zadań ABI należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych. Ustawa precyzując w ten sposób kompetencje ABI czyni zeń jedną z kluczowych osób w procesie przetwarzania danych osobowych. Tak naprawdę to ABI, o ile administrator danych go wyznaczy, będzie odpowiedzialny za poziom i stan ochrony danych osobowych w organizacji. Jest to ogromne novum. Jedno zdanie z ustawy sprzed nowelizacji zostało zastąpione rozbudowaną regulacją dotyczącą statusu ABI, jego kompetencji oraz określenia sposobów realizacji tych kompetencji. Mamy trzy rozporządzenia wykonawcze do nowelizacji. Rozporządzenia szczegółowo określają tryb i sposób wypełniania przez ABI ustawowo przyznanych zadań. Osoba, na której spoczywa ciężar zapewnienia przestrzegania przepisów z zakresu ochrony danych osobowych musi oczywiście doskonale te przepisy znać, umieć je interpretować i swobodnie się w W W W. p r z e t w a r z a n i e d a n y c h . p l Strona 14 nich poruszać. Dodatkowo osoba taka powinna posiadać podstawową wiedzę w zakresie techniczno-organizacyjnego zabezpieczania danych osobowych. Jak sądzę tylko taka osoba będzie się legitymować spełnieniem wymogu w zakresie posiadania odpowiedniej wiedzy. W świetle powyższego oczywiste jest, że ABI nie może być już figurantem, nie może pełnić tej funkcji niejako dodatkowo, nie wypełniając wszystkich przez ustawę nałożonych obowiązków. Taki ABI nawet, jeśli będzie równocześnie kadrową czy księgową czy informatykiem będzie musiał być też specjalistą w zakresie ochrony danych osobowych z pełnymi tego konsekwencjami. Na koniec należy dodać, iż ABI zgłoszony do rejestru GIODO, będzie w zakresie legitymowania się odpowiednią wiedzą podlegał niejako zewnętrznej weryfikacji ze strony GIODO, który do zarejestrowanego ABI może wystąpić o przeprowadzanie dla niego kontroli i sporządzenie z tejże kontroli odpowiedniego sprawozdania. W toku uproszczonej kontroli, GIODO z pewnością bardzo szybko rozezna czy wiedza ABI jest na wystarczającym poziomie, aby dawać rękojmię należytego wykonywania tej funkcji. W przypadku stwierdzenia, w toku uproszczonej kontroli na wniosek GIODO, braku u ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych GIODO z urzędu wydaje decyzję o wykreśleniu takiego ABI z rejestru. Zagadnieniem, które wyłania się w świetle niniejszych rozważań jest, kto i w jakim zakresie ponosi odpowiedzialność za przestrzeganie przepisów o ochronie danych osobowych, jeśli ABI nie posiada odpowiedniej wiedzy. W takim przypadku odpowiedzialność spadnie na administratora danych, który, pełni kluczową rolę w procesie przetwarzania danych. Na koniec wydaje się oczywiste, że ABI figurant to przeszłość. Zarówno w interesie administratorów danych, jak i osób, które powoływane są do pełnienia funkcji ABI jest to, aby nie były to osoby przypadkowe a takie, które są specjalistami w zakresie przepisów o ochronie danych osobowych. W świetle nowelizacji żaden pracownik czy księgowa, kadrowa czy informatyk nie powinien wyrazić zgody na pełnienie tej funkcji bez zagwarantowania mu odpowiednich środków i organizacyjnej odrębności niezbędnych do należytego wykonywania przez niego zadań. Tak samo administrator danych nie może powoływać przypadkowej osoby na stanowisko ABI. Takie przypadkowe powołanie, bezprzedmiotowe dla zapewnienia odpowiedniego poziomu ochrony danych w organizacji, może być przyczyną dodatkowego postępowania i negatywnej oceny ze strony Generalnego Administratora w przypadku wszczętej kontroli. W W W. p r z e t w a r z a n i e d a n y c h . p l Strona 15 ______________________ 1 Ustawa z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U z 2014 r., poz. 1662); dalej jako nowelizacja OchrnDanOsobU lub nowelizacja. 2 Dalej jako: ABI. 3 T.jedn.: Dz.U z 2014 r., poz.1182; dalej jako OchrDanOsobU 4 Dalej jako: ADO. 5 Szerzej na ten temat por.. Paweł Fajgielski, Administrator bezpieczeństwa informacji – geneza, stan obecny i perspektywy zmian (dodatek MoP 9/2014). W W W. p r z e t w a r z a n i e d a n y c h . p l Strona 16