Administrator Bezpieczeństwa Informacji
Transkrypt
Administrator Bezpieczeństwa Informacji
Administrator Bezpieczeństwa Informacji ( aktualny stan prawny oraz propozycje przyszłych rozwiązań ) Administrator bezpieczeństwa informacji ( w skrócie zwany ABI ) jest instytucją wywodzącą się bezpośrednio z Dyrektywy 95/46WE z dnia 24 października 1995 roku w sprawie ochrony danych osobowych i swobodnego przepływu tych danych . Czy implementowany przepis z Dyrektywy stanowiący zapis w art. 36 ust. 3 ustawy o ochronie danych osobowych stanowi konstrukcję tej instytucji ? Odpowiedz jest jednoznaczna – nie . Konstrukcja zapisana w Dyrektywie wykazuje istotny związek powołania tej instytucji z obowiązkiem rejestracji zbiorów danych osobowych w organie nadzorczym . Państwa członkowskie UE mogą wprowadzić uproszczony sposób rejestracji zbiorów danych osobowych lub ustanowić zwolnienie z obowiązku zgłoszenia zbioru danych do rejestracji , jeżeli administrator danych powoła urzędnika do spraw ochrony danych osobowych , odpowiedzialnego między innymi za zapewnienie w niezależny sposób stosowania w podmiocie danego administratora przepisów ochrony danych osobowych . Urzędnik ten jest również odpowiedzialny za prowadzenie rejestru operacji przetwarzania danych . Zapis znajdujący się w motywie 49 preambuły Dyrektywy 95/46/WE brzmi następującą : „ w celu uniknięcia zbędnych formalności Państwa Członkowskie mogą wprowadzić zwolnienia z obowiązku zawiadamiania oraz uproszczenia procedury w przypadkach gdy mało prawdopodobne jest , aby przetwarzanie danych mogło niekorzystnie wpłynąć na prawa i wolności osób których dane dotyczą , jeżeli jest to zgodne ze środkiem podjętym przez Państwa Członkowskie określającym jego zakres . Państwa Członkowskie mogą również wprowadzić zwolnienia i uproszczenia w przypadku gdy osoba wyznaczona przez administratora zapewni , że przetwarzanie danych nie wpłynie niekorzystnie na prawa i wolności osób których dane dotyczą . Urzędnik odpowiedzialny za ochronę danych będący lub nie będący pracownikiem administratora danych , musi mieć możliwość wykonywania swoich czynności w sposób całkowicie niezależny „. Powyżej przedstawione intencje znajdują swój wyraz w zapisach art. 18 Dyrektywy . Przyjęta w Dyrektywie konstrukcja urzędnika ochrony danych została wprowadzona w większości porządków prawnych Państw 1 Członkowskich UE . Rozwiązaniem modelowym może być przyjęta konstrukcja tego urzędnika w ustawodawstwie w Holandii . Według tego rozwiązania urzędnikiem ochrony danych może być osoba legitymująca się odpowiednią wiedzą i dająca rękojmie należytego wykonania tego zadania . Jednym z podstawowych nakazów wynikającym z tej ustawy jest zapewnienie powołanemu przez Administratora Danych Osobowych ( ADO ) urzędnikowi , odpowiedniej niezależnej pozycji . Ponadto powołany urzędnik do spraw ochrony danych nie może być, przy wykonywaniu swych funkcji , narażony na negatywne konsekwencje swoich działań . Godnym naśladowania jest niemieckie rozwiązanie pozycji urzędnika do spraw ochrony danych zawarte w ich ustawodawstwie ( Bundesdatenschutzgesetz ) . Przepisami ustawy nałożony został na niektóre podmioty obowiązek ustanowienia urzędnika ochrony danych . Obowiązek ten dotyczy podmiotów które zbierają , przetwarzają lub wykorzystują dane osobowe w sposób zautomatyzowany . W przepisach ustawy niemieckiej dokonany został podział na podmioty prywatne i publiczne . Obowiązek ustanowienia urzędnika do spraw ochrony danych istnieje nawet wtedy , gdy podmiot ten przetwarza dane przy użyciu tradycyjnych metod w przypadku przetwarzania danych z udziałem więcej niż 20 osób . Pierwszoplanowym zadaniem urzędnika w niemieckim systemie prawnym jest podejmowanie działań zapewniających przestrzeganie przepisów o ochronie danych osobowych w działalności danego podmiotu . Kierując się zapisami Dyrektywy ustanowienie tego urzędnika skutkuje zwolnieniem ADO z obowiązku rejestracji zbiorów danych osobowych zawierających dane zwykłe . Przy przetwarzaniu danych zawierających dane wrażliwe ADO zwolniony został z obowiązku wypełnienia przed zarejestrowaniem zbioru dokonania tzw. uprzedniej kontroli . W rozwiązaniach niemieckich dopuszczono również niespotykany wśród Państw UE sposób korzystania z zewnętrznych usług urzędnika do spraw ochrony danych osobowych tzw. outsourcing . Podmioty publiczne jeżeli zamierzają korzystać z firm zewnętrznych przy powierzeniu wykonywania funkcji ochrony danych , muszą uzyskać zgodę organu ochrony danych . W polskiej ustawie ochrony danych stanowiącej implementację Dyrektywy umożliwiono powołanie funkcji administratora Bezpieczeństwa Informacji . We wręcz lakonicznych zapisach art. 36 2 ust. 3 zapisano : „ Administrator danych wyznacza administratora bezpieczeństwa informacji nadzorującego przestrzeganie zasad ochrony , o którym mowa w art.1 , chyba że sam wykonuje te czynności „. Ten zapis odnosi się do zapisu ust.1 tegoż artykułu w którym wymienione są obowiązki administratora danych osobowych w zakresie zapewnienia bezpieczeństwa ochrony przetwarzanym danym osobowym . Zamieszczenie regulacji w zakresie powołania przedmiotowego urzędnika w Rozdziale 5 Ustawy , dotyczącym zabezpieczenia danych osobowych , daję podstawę sądzić iż nie jest to konstrukcja tożsama z jej wzorem z Dyrektywy 95/46WE . W Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca1998 roku w sprawie określenia podstawowych warunków technicznych i organizacyjnych , jakim powinny opowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych w § 3 uprawniono administratora danych do wyznaczenia osoby , zwaną „ administratorem bezpieczeństwa informacji „ która jest odpowiedzialna za bezpieczeństwo danych osobowych w systemie informatycznym . W szczególności osoba ta jest odpowiedzialna za przeciwdziałanie dostępowi osób niepowołanych do systemu , w którym przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń . Zapisy te w wyraźny sposób ustalają że administratorem bezpieczeństwa informacji może być osoba fizyczna wyznaczona przez administratora danych . Jej zakres uprawnień też jest wskazany precyzyjnie a odnosi się tylko do zapewnienia bezpieczeństwa przetwarzanych danych w systemie informatycznym . Zapisy tych uprawnień nie są tożsame w żaden sposób z zapisami uprawnień urzędnika do spraw ochrony danych zawarte w art. 18 Dyrektywy 95/46WE . Według Dyrektywy podstawowym obowiązkiem tego urzędnika jest zapewnienie w niezależny sposób wewnętrznego stosowania przepisów prawa krajowego przyjętych na podstawie implementacji niniejszej Dyrektywy . W art. 14 tegoż Rozporządzenia wskazano również iż ABI jest odpowiedzialny za właściwy nadzór nad systemem informatycznym przetwarzającym dane osobowe . W doktrynie pojawiły się uwagi krytyczne do utworzenia takiej funkcji w przepisach rozporządzenia a nie aktu ustawowego . Między innymi z takiego powodu w nowelizacji ustawy o ochronie danych osobowych 3 dokonanej w 2004 roku wprowadzono w art. 36 w ustępie 3 , dający możliwość wyznaczenia administratora bezpieczeństwa informacji , który będzie w jego imieniu wykonywał obowiązki zawarte w art. 36 ust. 1 tego przepisu . Dosyć nieczytelnym jest zapis w przedmiotowym przepisie który mówi iż ADO wyznacza administratora bezpieczeństwa informacji , chyba że sam wykonuje te czynności . Wydaje się być trafna teza podejmowana w doktrynie iż jeżeli nie nastąpiło przez ADO wyznaczenie ABI-ego i jeżeli nie ma oświadczenia ADO o jego wypełnianiu przepisami ustawy wyznaczonych obowiązków, to w tej sytuacji powinno nastąpić zakazanie przetwarzania danych osobowych . W orzecznictwie przypadek taki nie miał jeszcze zdarzenia ( zakazanie przetwarzania danych ) . W stosowanej praktyce wyznaczania administratora bezpieczeństwa informacji nasuwa się wiele pytań i wątpliwości . Samo określenie „ wyznacza „ może budzić szereg niejasności . Interpretacja tej czynności w świetle jej roli jaką ma pełnić w podmiocie przetwarzającym dane sugeruje iż powinien to być ktoś z podległych ADO pracowników zatrudnionych na podstawie umowy o pracę czy na podstawie innego stosunku cywilno prawnego np. umowy zlecenia czy umowy o dzieło .W każdym przypadku winna to być osoba fizyczna . Nasuwa się , z tak pojętego interpretowania tego określenia „ wyznaczanie „ , wątpliwość, czy dosyć często w praktyce stosowany tzw. „ outsourcing „ jest w świetle prawa zasadny . Według autorów Komentarza P. Barta i P. Litwińskiego ( a także oficjalnej interpretacji GIODO ) nie ma przeszkód aby w praktyce stosować w tej formie „ wyznaczanie „ osoby sprawującej funkcje ABI – ego . W praktyce dotyczy to osób prowadzących jednoosobową działalność gospodarczą . Według autorów wspomnianego Komentarza umowa wyznaczająca ABI-ego winna wskazywać imię i nazwisko osoby , która będzie wykonywała obowiązki administratora bezpieczeństwa informacji .Jednak samo wyznaczenie nie stanowi podstawy prawnej nawiązania stosunku z danym podmiotem gospodarczym . Czyli winna być uprzednio zawarta umowa cywilno - prawna pomiędzy takimi stronami . Konstrukcja ta budzi szereg uzasadnionych wątpliwości . Wątpliwości te pogłębia jeszcze fakt gdyż przepisy ustawy tej sprawy nie regulują . Innym trudnym do wyjaśnienia problemem jest sytuacja gdy wielodziałowy światowy koncern nie 4 powołał administratora bezpieczeństwa informacji w swoim oddziale w Polsce . Spór ten pomiędzy GIODO a podmiotem prowadzącym swoją działalność w Polsce zawisł w sądzie administracyjnym . Świadczy to o niewątpliwie nieprecyzyjnym zapisie w przepisach art. 36 ust. 3 ustawy o ochronie danych osobowych dotyczącym wyznaczenia praz ADO , administratora bezpieczeństwa informacji . Należy również zwrócić uwagę iż w ustawie o działalności Centralnego Biura Antykorupcyjnego powołano urzędnika do spraw ochrony danych osobowych . Został nim pracownik Biura którego można odwołać tylko za zgodą Premiera . Szef CBA składa raz w roku sprawozdanie ze stanu ochrony danych osobowych dla Premiera RP , Generalnego Inspektora Ochrony Danych i Komisji Sejmowej . W ramach inicjatywy deregulacyjnej Minister Gospodarki z inicjatywy środowisk zrzeszających administratorów bezpieczeństwa informacji oraz w konsultacji z GIODO , podjął działania na rzecz nowelizacji ustawy o ochronie danych osobowych . Nowe propozycje zmierzają do takiej konstrukcji administratora bezpieczeństwa informacji aby wypełniała ona zapisy Dyrektywy 95/46WE . W proponowanych zapisach nowelizacji proponuje się możliwość powołania przez administratora danych osobowych administratora bezpieczeństwa informacji . Do nowych zadań administratora bezpieczeństwa informacji należy zapewnienie przestrzegania przepisów o ochronie danych osobowych oraz prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez danego administratora. Administrator bezpieczeństwa informacji musi między innymi posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych. Podlega on bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych osobowych . ADO jest zwolniony z rejestracji danych zwykłych w przypadku powołania ABI . Przepisy te stanowią prawidłową implementacje przepisów Dyrektywy 46/95 w ustawie ochrony danych osobowych . Prace legislacyjne przy tej nowelizacji mogą zakończyć się w niedługim okresie przed uchwaleniem przez Parlament Europejski i Radę Rozporządzenia regulującego ochronę danych osobowych jednolicie w całej Unii Europejskiej . 5 Jesteśmy w trakcie konsultacji projektu Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych . Nowe europejskie przepisy wprowadzają jednolite prawo w tym przedmiocie we wszystkich Państwach Członkowskich UE . Już w Preambule Rozporządzenia , w motywie 75 jest zawarta główna myśl i zasady powołania przez administratora danych , urzędnika do spraw ochrony danych osobowych . Zapis ten brzmi : „ Jeśli przetwarzanie odbywa się w sektorze publicznym lub jeśli przetwarzanie w sektorze gospodarczym prowadzi duże przedsiębiorstwo , lub jeśli główna działalność przedsiębiorstwa , niezależnie od jego wielkości , obejmuje operacje przetwarzania , które wymagają regularnego i systematycznego monitorowania , osoba trzecia powinna wspomagać administratora lub podmiot przetwarzający w monitorowaniu zgodności na poziomie wewnętrznym z niniejszym rozporządzeniem . Taki inspektor ochrony danych , który może być pracownikiem administratora danych , powinien być stanie niezależnie wykonywać swoje obowiązki i zadania .” W przepisach rozporządzenia sekcja 4 jest poświęcona inspektorowi ochrony danych . W art. 35 nakreślono zasady wyznaczania urzędnika ochrony danych . Wyznaczony urzędnik ( inspektor) ochrony danych musi posiadać odpowiednie kwalifikacje zawodowe oraz wiedzę specjalistyczną z zakresu ochrony danych , praktykę i zdolności do wykonywania prawem mu przepisanych zadań . Inspektor musi mieć gwarancję , by inne jego obowiązki zawodowe były zgodne z zadaniami i obowiązkami wykonywania przez niego funkcji ochrony danych osobowych, a w szczególności by nie skutkowały one konfliktem interesów . W przepisach określono iż inspektor ochrony danych powinien być wyznaczany na co najmniej 2 lata z możliwością wyznaczenia go na kolejne kadencje . Zawarte są w tym przepisie ograniczenia w jego odwołaniu . Inspektora można odwołać w czasie trwania kadencji jedynie wtedy , gdy przestał spełniać warunki niezbędne do pełnienia przez niego obowiązków . Przepis również stwierdza iż inspektor ochrony danych może być zatrudniony przez administratora danych lub podmiot przetwarzający lub wykonywać swoje zadania na podstawie umowy o świadczenie usług . Nasuwa się , podobnie do sytuacji w aktualnym stanie prawa , pytanie czy musi to być osoba fizyczna . W sytuacji osoby 6 zatrudnionej u ADO to nie ma wątpliwości , a jeżeli to podmiot gospodarczy wykonujący tę usługę na podstawie umowy cywilnoprawnej ? Czy zawsze będzie w Polsce obowiązywało rozwiązanie polegające na prowadzeniu działalności gospodarczej przez osobę fizyczną ? Przymus że musi to być osoba fizyczna uzasadnia ponoszenie odpowiedzialności karnej za naruszenie przepisów ustawowych . A jeżeli odpowiedzialność karna będzie zastąpiona przez sankcje administracyjne to wymóg wyznaczenia do wypełniania tej funkcji tylko i wyłącznie przez osobę fizyczną nie wydaje się konieczny . Przepis ustępu 2 art.35 rozporządzenia w sposób jednoznaczny rozstrzyga ten spór gdyż narzuca obowiązek aby administrator lub podmiot przetwarzający informują organ nadzorczy oraz opinie publiczną o imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych . Można domniemywać iż w projekcie Rozporządzenia przewiduje się iż funkcje inspektora ochrony danych winna spełniać osoba fizyczna związana z administratorem danych umową cywilno - prawną . Dalsze przepisy nakładają na administratora danych obowiązek dopilnowania aby inspektor ochrony danych wykonywał swoje obowiązki i zadania niezależnie i nie otrzymywał żadnych poleceń dotyczących pełnienia swoich funkcji oraz aby podlegał bezpośrednio kierownictwu administratora lub podmiotu przetwarzającego . Podstawowe zadania inspektora ochrony danych przepisy rozporządzenia określają w sposób następujący : - informowanie administratora o jego obowiązkach wynikających z niniejszego rozporządzenia oraz dokumentowanie tej działalności i uzyskiwanych odpowiedzi ; - monitorowanie wykonania i stosowania polityk administratora w zakresie ochrony danych osobowych , w tym przydział obowiązków , szkolenie personelu zaangażowanego w operacje przetwarzania oraz powiązane kontrole ; - monitorowanie wykonania i stosowania przepisów rozporządzenia , w szczególności jeśli chodzi o wymogi uwzględnienia ochrony danych już w fazie projektowania , ochrony danych jako opcji domyślnej i bezpieczeństwa danych oraz informowania podmiotów danych , a także wniosków w ramach wykonywania praw przysługujących im na mocy rozporządzenia ; 7 - pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem oraz zasięganie opinii organu nadzorczego , z inicjatywy inspektora ochrony danych . Określone rozporządzeniem zadania inspektora ochrony dany w sposób jednoznaczny określają kierunkowo jego wykształcenie jako prawnicze oraz stawiają na wysokim poziomie jego wiedzę dotyczącą ochrony i przetwarzania danych osobowych . Przepisy rozporządzenia przewidują , iż w przypadku złamania przepisów dotyczących nie wskazania Urzędnika do spraw ochrony danych , nie zapewnienia mu warunków umożliwiających wykonywanie jego zadań ( art. 35 , 36 i 37 Rozporządzenia ) , instytucja nadzorująca może nałożyć karę w wysokości do 1000000EUR lub do 2% rocznego obrotu danego podmiotu . Konsultacje wśród Państw Członkowskich UE przebiegają z dużą aktywnością szczególnie w różnych środowiskach oddziaływania . Najwięcej wątpliwości i uwag odnosi się między innymi do obowiązku powoływania urzędnika do spraw ochrona danych . Wśród Państw Członkowskich pojawiają się stanowiska aby wyznaczanie inspektora ochrony danych było fakultatywne. Część podmiotów konsultujących uważa aby obowiązek wyznaczenia inspektora ochrony danych dotyczył tylko podmiotów publicznych . Według mojej opinii najwłaściwszym byłoby przyjęcie rozwiązania jakie jest stosowane w Niemczech . Według niemieckiego prawa o ochronie danych osobowych ( federalna ustawa z 27.1.1977) zasadą jest obowiązek wyznaczenia urzędnika ochrony danych przez podmioty , które przetwarzają dane osobowe w sposób zautomatyzowany. Podmioty publiczne mają obowiązek wyznaczenia tego urzędnika a podmioty prywatne także wtedy gdy przetwarzanie danych odbywa się przy wykorzystaniu środków tradycyjnych przetwarzania z udziałem więcej niż 20 pracowników ( P. Barta , P. Litwiński Komentarz Ustawa O ochronie danych osobowych ) . Andrzej Lewiński prawnik – radca prawny Zastępca GIODO 8