Administrator Bezpieczeństwa Informacji

Administrator Bezpieczeństwa Informacji

Administrator Bezpieczeństwa Informacji
( aktualny stan prawny oraz propozycje przyszłych rozwiązań )
Administrator bezpieczeństwa informacji ( w skrócie zwany ABI ) jest
instytucją wywodzącą się bezpośrednio z Dyrektywy 95/46WE z dnia
24 października 1995 roku w sprawie ochrony danych osobowych i
swobodnego przepływu tych danych . Czy implementowany przepis z
Dyrektywy stanowiący zapis w art. 36 ust. 3 ustawy o ochronie
danych osobowych stanowi konstrukcję tej instytucji ? Odpowiedz
jest jednoznaczna – nie . Konstrukcja zapisana w Dyrektywie
wykazuje istotny związek powołania tej instytucji z obowiązkiem
rejestracji zbiorów danych osobowych w organie nadzorczym .
Państwa członkowskie UE mogą wprowadzić uproszczony sposób
rejestracji zbiorów danych osobowych lub ustanowić zwolnienie z
obowiązku zgłoszenia zbioru danych do rejestracji , jeżeli
administrator danych powoła urzędnika do spraw ochrony danych
osobowych , odpowiedzialnego między innymi za zapewnienie w
niezależny sposób stosowania w podmiocie danego administratora
przepisów ochrony danych osobowych . Urzędnik ten jest również
odpowiedzialny za prowadzenie rejestru operacji przetwarzania
danych . Zapis znajdujący się w motywie 49 preambuły Dyrektywy
95/46/WE brzmi następującą : „ w celu uniknięcia zbędnych
formalności Państwa Członkowskie mogą wprowadzić zwolnienia z
obowiązku zawiadamiania oraz uproszczenia procedury
w
przypadkach gdy mało prawdopodobne jest , aby przetwarzanie
danych mogło niekorzystnie wpłynąć na prawa i wolności osób
których dane dotyczą , jeżeli jest to zgodne ze środkiem podjętym
przez Państwa Członkowskie określającym jego zakres . Państwa
Członkowskie mogą również wprowadzić zwolnienia i uproszczenia
w przypadku gdy osoba wyznaczona przez administratora zapewni ,
że przetwarzanie danych nie wpłynie niekorzystnie na prawa i
wolności osób których dane dotyczą . Urzędnik odpowiedzialny za
ochronę danych będący lub nie będący pracownikiem administratora
danych , musi mieć możliwość wykonywania swoich czynności w
sposób całkowicie niezależny „. Powyżej przedstawione intencje
znajdują swój wyraz w zapisach art. 18 Dyrektywy . Przyjęta w
Dyrektywie konstrukcja urzędnika ochrony danych została
wprowadzona w większości porządków prawnych Państw
1
Członkowskich UE . Rozwiązaniem modelowym może być przyjęta
konstrukcja tego urzędnika w ustawodawstwie w Holandii . Według
tego rozwiązania urzędnikiem ochrony danych może być osoba
legitymująca się odpowiednią wiedzą i dająca rękojmie należytego
wykonania tego zadania . Jednym z podstawowych nakazów
wynikającym z tej ustawy jest zapewnienie powołanemu przez
Administratora Danych Osobowych ( ADO ) urzędnikowi ,
odpowiedniej niezależnej pozycji . Ponadto powołany urzędnik do
spraw ochrony danych nie może być, przy wykonywaniu swych
funkcji , narażony na negatywne konsekwencje swoich działań .
Godnym naśladowania jest niemieckie rozwiązanie pozycji urzędnika
do spraw ochrony danych zawarte w ich ustawodawstwie
( Bundesdatenschutzgesetz ) . Przepisami ustawy nałożony został na
niektóre podmioty obowiązek ustanowienia urzędnika ochrony danych
. Obowiązek ten dotyczy podmiotów które zbierają , przetwarzają lub
wykorzystują dane osobowe w sposób zautomatyzowany . W
przepisach ustawy niemieckiej dokonany został podział na podmioty
prywatne i publiczne . Obowiązek ustanowienia urzędnika do spraw
ochrony danych istnieje nawet wtedy , gdy podmiot ten przetwarza
dane przy użyciu tradycyjnych metod w przypadku przetwarzania
danych z udziałem więcej niż 20 osób . Pierwszoplanowym zadaniem
urzędnika w niemieckim systemie prawnym jest podejmowanie
działań zapewniających przestrzeganie przepisów o ochronie danych
osobowych w działalności danego podmiotu . Kierując się zapisami
Dyrektywy ustanowienie tego urzędnika skutkuje zwolnieniem ADO
z obowiązku rejestracji zbiorów danych osobowych zawierających
dane zwykłe . Przy przetwarzaniu danych zawierających dane
wrażliwe ADO zwolniony został z obowiązku wypełnienia przed
zarejestrowaniem zbioru dokonania tzw. uprzedniej kontroli . W
rozwiązaniach niemieckich dopuszczono również niespotykany wśród
Państw UE sposób korzystania z zewnętrznych usług urzędnika do
spraw ochrony danych osobowych tzw. outsourcing . Podmioty
publiczne jeżeli zamierzają korzystać z firm zewnętrznych przy
powierzeniu wykonywania funkcji ochrony danych , muszą uzyskać
zgodę organu ochrony danych .
W polskiej ustawie ochrony danych stanowiącej implementację
Dyrektywy umożliwiono powołanie funkcji administratora
Bezpieczeństwa Informacji . We wręcz lakonicznych zapisach art. 36
2
ust. 3 zapisano : „ Administrator danych wyznacza administratora
bezpieczeństwa informacji nadzorującego przestrzeganie zasad
ochrony , o którym mowa w art.1 , chyba że sam wykonuje te
czynności „. Ten zapis odnosi się do zapisu ust.1 tegoż artykułu w
którym wymienione są obowiązki administratora danych osobowych
w zakresie zapewnienia bezpieczeństwa ochrony przetwarzanym
danym osobowym . Zamieszczenie regulacji w zakresie powołania
przedmiotowego urzędnika w Rozdziale 5 Ustawy , dotyczącym
zabezpieczenia danych osobowych , daję podstawę sądzić iż nie jest to
konstrukcja tożsama z jej wzorem z Dyrektywy 95/46WE . W
Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia
3 czerwca1998 roku w sprawie określenia podstawowych warunków
technicznych i organizacyjnych , jakim powinny opowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych w § 3 uprawniono
administratora danych do
wyznaczenia osoby , zwaną „ administratorem bezpieczeństwa
informacji „ która jest odpowiedzialna za bezpieczeństwo danych
osobowych w systemie informatycznym . W szczególności osoba ta
jest odpowiedzialna za przeciwdziałanie dostępowi osób
niepowołanych do systemu , w którym przetwarzane są dane osobowe
oraz za podejmowanie odpowiednich działań w przypadku wykrycia
naruszeń w systemie zabezpieczeń . Zapisy te w wyraźny sposób
ustalają że administratorem bezpieczeństwa informacji może być
osoba fizyczna wyznaczona przez administratora danych . Jej zakres
uprawnień też jest wskazany precyzyjnie a odnosi się tylko do
zapewnienia bezpieczeństwa przetwarzanych danych w systemie
informatycznym . Zapisy tych uprawnień nie są tożsame w żaden
sposób z zapisami uprawnień urzędnika do spraw ochrony danych
zawarte w art. 18 Dyrektywy 95/46WE . Według Dyrektywy
podstawowym obowiązkiem tego urzędnika jest zapewnienie w
niezależny sposób wewnętrznego stosowania przepisów prawa
krajowego przyjętych na podstawie
implementacji niniejszej
Dyrektywy . W art. 14 tegoż Rozporządzenia wskazano również iż
ABI jest odpowiedzialny za właściwy nadzór nad systemem
informatycznym przetwarzającym dane osobowe . W doktrynie
pojawiły się uwagi krytyczne do utworzenia takiej funkcji w
przepisach rozporządzenia a nie aktu ustawowego . Między innymi z
takiego powodu w nowelizacji ustawy o ochronie danych osobowych
3
dokonanej w 2004 roku wprowadzono w art. 36 w ustępie 3 , dający
możliwość wyznaczenia administratora bezpieczeństwa informacji ,
który będzie w jego imieniu wykonywał obowiązki zawarte w art. 36
ust. 1 tego przepisu . Dosyć nieczytelnym jest zapis w
przedmiotowym przepisie który mówi iż ADO wyznacza
administratora bezpieczeństwa informacji , chyba że sam wykonuje te
czynności . Wydaje się być trafna teza podejmowana w doktrynie iż
jeżeli nie nastąpiło przez ADO wyznaczenie ABI-ego i jeżeli nie ma
oświadczenia ADO o jego wypełnianiu przepisami ustawy
wyznaczonych obowiązków, to w tej sytuacji powinno nastąpić
zakazanie przetwarzania danych osobowych . W orzecznictwie
przypadek taki nie miał jeszcze zdarzenia ( zakazanie przetwarzania
danych ) .
W stosowanej praktyce wyznaczania administratora bezpieczeństwa
informacji nasuwa się wiele pytań i wątpliwości . Samo określenie
„ wyznacza „ może budzić szereg niejasności . Interpretacja tej
czynności w świetle jej roli jaką ma pełnić w podmiocie
przetwarzającym dane sugeruje iż powinien to być ktoś z podległych
ADO pracowników zatrudnionych na podstawie umowy o pracę czy
na podstawie innego stosunku cywilno prawnego np. umowy zlecenia
czy umowy o dzieło .W każdym przypadku winna to być osoba
fizyczna . Nasuwa się , z tak pojętego interpretowania tego określenia
„ wyznaczanie „ , wątpliwość, czy dosyć często w praktyce
stosowany tzw. „ outsourcing „ jest w świetle prawa zasadny . Według
autorów Komentarza P. Barta i P. Litwińskiego ( a także oficjalnej
interpretacji GIODO ) nie ma przeszkód aby w praktyce stosować w
tej formie „ wyznaczanie „ osoby sprawującej funkcje ABI – ego . W
praktyce dotyczy to osób prowadzących jednoosobową działalność
gospodarczą . Według autorów wspomnianego Komentarza umowa
wyznaczająca ABI-ego winna wskazywać imię i nazwisko osoby ,
która będzie wykonywała obowiązki administratora bezpieczeństwa
informacji .Jednak samo wyznaczenie nie stanowi podstawy prawnej
nawiązania stosunku z danym podmiotem gospodarczym . Czyli
winna być uprzednio zawarta umowa cywilno - prawna pomiędzy
takimi stronami . Konstrukcja ta budzi szereg uzasadnionych
wątpliwości . Wątpliwości te pogłębia jeszcze fakt gdyż przepisy
ustawy tej sprawy nie regulują . Innym trudnym do wyjaśnienia
problemem jest sytuacja gdy wielodziałowy światowy koncern nie
4
powołał administratora bezpieczeństwa informacji w swoim oddziale
w Polsce . Spór ten pomiędzy GIODO a podmiotem prowadzącym
swoją działalność w Polsce zawisł w sądzie administracyjnym .
Świadczy to o niewątpliwie nieprecyzyjnym zapisie w przepisach art.
36 ust. 3 ustawy o ochronie danych osobowych dotyczącym
wyznaczenia praz ADO , administratora bezpieczeństwa informacji .
Należy również zwrócić uwagę iż w ustawie o działalności
Centralnego Biura Antykorupcyjnego powołano urzędnika do spraw
ochrony danych osobowych . Został nim pracownik Biura którego
można odwołać tylko za zgodą Premiera . Szef CBA składa raz w
roku sprawozdanie ze stanu ochrony danych osobowych dla Premiera
RP , Generalnego Inspektora Ochrony Danych i Komisji Sejmowej .
W ramach inicjatywy deregulacyjnej Minister Gospodarki z
inicjatywy środowisk zrzeszających administratorów bezpieczeństwa
informacji oraz w konsultacji z GIODO , podjął działania na rzecz
nowelizacji ustawy o ochronie danych osobowych . Nowe propozycje
zmierzają do takiej konstrukcji administratora bezpieczeństwa
informacji aby wypełniała ona zapisy Dyrektywy 95/46WE . W
proponowanych zapisach nowelizacji proponuje się możliwość
powołania przez administratora danych osobowych administratora
bezpieczeństwa informacji . Do nowych zadań administratora
bezpieczeństwa informacji należy zapewnienie przestrzegania
przepisów o ochronie danych osobowych oraz prowadzenie jawnego
rejestru zbiorów danych przetwarzanych przez danego administratora.
Administrator bezpieczeństwa informacji musi między innymi
posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych.
Podlega on bezpośrednio kierownikowi jednostki organizacyjnej lub
osobie fizycznej będącej administratorem danych osobowych . ADO
jest zwolniony z rejestracji danych zwykłych w przypadku powołania
ABI . Przepisy te stanowią prawidłową implementacje przepisów
Dyrektywy 46/95 w ustawie ochrony danych osobowych .
Prace legislacyjne przy tej nowelizacji mogą zakończyć się w
niedługim okresie przed uchwaleniem przez Parlament Europejski i
Radę Rozporządzenia regulującego ochronę danych osobowych
jednolicie w całej Unii Europejskiej .
5
Jesteśmy w trakcie konsultacji projektu Rozporządzenia Parlamentu
Europejskiego i Rady w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i swobodnym przepływem
takich danych . Nowe europejskie przepisy wprowadzają jednolite
prawo w tym przedmiocie we wszystkich Państwach Członkowskich
UE . Już w Preambule Rozporządzenia , w motywie 75 jest zawarta
główna myśl i zasady powołania przez administratora danych ,
urzędnika do spraw ochrony danych osobowych . Zapis ten brzmi :
„ Jeśli przetwarzanie odbywa się w sektorze publicznym lub jeśli
przetwarzanie w sektorze gospodarczym prowadzi duże
przedsiębiorstwo , lub jeśli główna działalność przedsiębiorstwa ,
niezależnie od jego wielkości , obejmuje operacje przetwarzania ,
które wymagają regularnego i systematycznego monitorowania ,
osoba trzecia powinna wspomagać administratora lub podmiot
przetwarzający w monitorowaniu zgodności na poziomie
wewnętrznym z niniejszym rozporządzeniem . Taki inspektor ochrony
danych , który może być pracownikiem administratora danych ,
powinien być stanie niezależnie wykonywać swoje obowiązki i
zadania .” W przepisach rozporządzenia sekcja 4 jest poświęcona
inspektorowi ochrony danych . W art. 35 nakreślono zasady
wyznaczania urzędnika ochrony danych . Wyznaczony urzędnik
( inspektor) ochrony danych musi posiadać odpowiednie kwalifikacje
zawodowe oraz wiedzę specjalistyczną z zakresu ochrony danych ,
praktykę i zdolności do wykonywania prawem mu przepisanych zadań
. Inspektor musi mieć gwarancję , by inne jego obowiązki zawodowe
były zgodne z zadaniami i obowiązkami wykonywania przez niego
funkcji ochrony danych osobowych, a w szczególności by nie
skutkowały one konfliktem interesów . W przepisach określono iż
inspektor ochrony danych powinien być wyznaczany na co najmniej 2
lata z możliwością wyznaczenia go na kolejne kadencje . Zawarte są
w tym przepisie ograniczenia w jego odwołaniu . Inspektora można
odwołać w czasie trwania kadencji jedynie wtedy , gdy przestał
spełniać warunki niezbędne do pełnienia przez niego obowiązków .
Przepis również stwierdza iż inspektor ochrony danych może być
zatrudniony przez administratora danych lub podmiot przetwarzający
lub wykonywać swoje zadania na podstawie umowy o świadczenie
usług . Nasuwa się , podobnie do sytuacji w aktualnym stanie prawa ,
pytanie czy musi to być osoba fizyczna . W sytuacji osoby
6
zatrudnionej u ADO to nie ma wątpliwości , a jeżeli to podmiot
gospodarczy wykonujący tę usługę na podstawie umowy
cywilnoprawnej ? Czy zawsze będzie w Polsce obowiązywało
rozwiązanie polegające na prowadzeniu działalności gospodarczej
przez osobę fizyczną ? Przymus że musi to być osoba fizyczna
uzasadnia ponoszenie odpowiedzialności karnej za naruszenie
przepisów ustawowych . A jeżeli odpowiedzialność karna będzie
zastąpiona przez sankcje administracyjne to wymóg wyznaczenia do
wypełniania tej funkcji tylko i wyłącznie przez osobę fizyczną nie
wydaje się konieczny . Przepis ustępu 2 art.35 rozporządzenia w
sposób jednoznaczny rozstrzyga ten spór gdyż narzuca obowiązek aby
administrator lub podmiot przetwarzający informują organ nadzorczy
oraz opinie publiczną o imieniu i nazwisku oraz danych kontaktowych
inspektora ochrony danych . Można domniemywać iż w projekcie
Rozporządzenia przewiduje się iż funkcje inspektora ochrony danych
winna spełniać osoba fizyczna związana z administratorem danych
umową cywilno - prawną . Dalsze przepisy nakładają na
administratora danych obowiązek dopilnowania aby inspektor
ochrony danych wykonywał swoje obowiązki i zadania niezależnie i
nie otrzymywał żadnych poleceń dotyczących pełnienia swoich
funkcji oraz aby podlegał bezpośrednio kierownictwu administratora
lub podmiotu przetwarzającego . Podstawowe zadania inspektora
ochrony danych przepisy rozporządzenia określają w sposób
następujący :
- informowanie administratora o jego obowiązkach wynikających z
niniejszego rozporządzenia oraz dokumentowanie tej działalności i
uzyskiwanych odpowiedzi ;
- monitorowanie wykonania i stosowania polityk administratora w
zakresie ochrony danych osobowych , w tym przydział obowiązków ,
szkolenie personelu zaangażowanego w operacje przetwarzania oraz
powiązane kontrole ;
- monitorowanie wykonania i stosowania przepisów rozporządzenia ,
w szczególności jeśli chodzi o wymogi uwzględnienia ochrony
danych już w fazie projektowania , ochrony danych jako opcji
domyślnej i bezpieczeństwa danych oraz informowania podmiotów
danych , a także wniosków w ramach wykonywania praw
przysługujących im na mocy rozporządzenia ;
7
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w
kwestiach związanych z przetwarzaniem oraz zasięganie opinii organu
nadzorczego , z inicjatywy inspektora ochrony danych .
Określone rozporządzeniem zadania inspektora ochrony dany w
sposób jednoznaczny określają kierunkowo jego wykształcenie jako
prawnicze oraz stawiają na wysokim poziomie jego wiedzę dotyczącą
ochrony i przetwarzania danych osobowych .
Przepisy rozporządzenia przewidują , iż w przypadku złamania
przepisów dotyczących nie wskazania Urzędnika do spraw ochrony
danych , nie zapewnienia mu warunków umożliwiających
wykonywanie jego zadań ( art. 35 , 36 i 37 Rozporządzenia ) ,
instytucja nadzorująca może nałożyć karę w wysokości do
1000000EUR lub do 2% rocznego obrotu danego podmiotu .
Konsultacje wśród Państw Członkowskich UE przebiegają z dużą
aktywnością szczególnie w różnych środowiskach oddziaływania .
Najwięcej wątpliwości i uwag odnosi się między innymi do
obowiązku powoływania urzędnika do spraw ochrona danych . Wśród
Państw Członkowskich pojawiają się stanowiska aby wyznaczanie
inspektora ochrony danych było fakultatywne. Część podmiotów
konsultujących uważa aby obowiązek wyznaczenia inspektora
ochrony danych dotyczył tylko podmiotów publicznych . Według
mojej opinii najwłaściwszym byłoby przyjęcie rozwiązania jakie jest
stosowane w Niemczech . Według niemieckiego prawa o ochronie
danych osobowych ( federalna ustawa z 27.1.1977) zasadą jest
obowiązek wyznaczenia urzędnika ochrony danych przez podmioty ,
które przetwarzają dane osobowe w sposób zautomatyzowany.
Podmioty publiczne mają obowiązek wyznaczenia tego urzędnika a
podmioty prywatne także wtedy gdy przetwarzanie danych odbywa
się przy wykorzystaniu środków tradycyjnych przetwarzania z
udziałem więcej niż 20 pracowników ( P. Barta , P. Litwiński
Komentarz Ustawa O ochronie danych osobowych ) .
Andrzej Lewiński
prawnik – radca prawny
Zastępca GIODO
8