Autor: Piotr Kowalik
Z dniem 1.1.2015 r. weszła w życie ustawa z 7.11.2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 r. poz. 1662). Jest to już czwarta ustawa w ramach tzw. pakietu deregulacyjnego, przygotowanego przez resort Ministerstwa Gospodarki, którego celem jest wprowadzenie ułatwień dla osób prowadzących działalność gospodarczą i zniesienie zbędnych obowiązków biurokratycznych w prawie gospodarczym.
Przepisy ww. ustawy deregulacyjnej wprowadziły liczne i dość istotne zmiany do ustawy z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.); dalej: OchrDanychU.
Dotychczas ABI, w przypadku jego powołania przez administratora danych, był ustawowo odpowiedzialny jedynie za nadzór nad przestrzeganiem zasad ochrony danych osobowych opisanych w art. 36 ust. 1 OchrDanychU, czyli zastosowaniem środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Mógł on oczywiście wykonywać inne czynności związane z ochroną danych osobowych, jednak tylko wówczas, gdy administrator danych uznał to za celowe i skutecznie mu te zadania powierzył, opisując je w dokumencie wyznaczającym go do pełnienia tej funkcji czy też w dokumentacji opisującej sposób przetwarzania danych, jaką ma obowiązek prowadzić. Kwestia ta pozostawiona była właściwie do swobodnej decyzji administratora danych, który będąc gospodarzem procesu przetwarzania danych w jednostce, decydował, kto i za co będzie w niej odpowiedzialny. Ustawa nie określała wymogów, jakie musiała spełniać osoba pełniąca funkcję ABI. Ponadto administrator danych mógł w ogóle nie powoływać ABI, wówczas jednak sam musiał wykonywać wszelkie czynności związane z nadzorem nad procesem przetwarzania danych i umieć to udowodnić w przypadku kontroli Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
Kto może być ABI?
Obecnie, w świetle OchrDanychU na stanowisko ABI może zostać powołana osoba, która ma pełną zdolność do czynności prawnych i korzysta z pełni praw publicznych, posiada odpowiednią wiedzę w zakresie ochrony danych osobowych i nie była karana za umyślne przestępstwo. Wśród przewidzianych ustawą wymogów najbardziej ocenna jest niewątpliwie przesłanka odpowiedniej wiedzy z zakresu ochrony danych osobowych. Nie wiemy, jak w praktyce będzie do niej podchodził organ ochrony danych osobowych. Wydaje się jednak, że wystarczającym jest, by ABI legitymował się praktyką w tym zakresie. Dobrze byłoby również, gdyby poparta była ona dodatkowymi kursami lub szkoleniami.
Ustawodawca zdecydował się sformalizować pozycję ABI w ramach jednostki. Na podstawie art. 36a ust. 7 i 8 OchrDanychU ABI podlega bezpośrednio kierownikowi jednostki (administratorowi danych), który zapewnia mu środki i organizacyjną niezależność w wykonywaniu zadań. To całkowicie nowe uregulowanie, które ma niewątpliwie wzmocnić pozycję ABI względem wszystkich osób biorących udział w procesie przetwarzania danych w organizacji. W istocie rzeczy, uregulowanie to ma jednak przede wszystkim zabezpieczyć administratora danych przed konsekwencjami (także karnymi) związanymi z łamaniem ustawy w kierowanej przez niego jednostce przez nieświadomych czy też niewłaściwie nadzorowanych pracowników.
Powoływanie zastępców ABI
Nowe przepisy OchrDanychU wprowadziły także możliwość powoływania zastępców ABI. Stosuje się do nich takie wymagania, jak w przypadku osoby pełniącej funkcję ABI. Dotychczas OchrDanychU nie regulowała kwestii powoływania zastępców ABI, choć praktyka taka istniała i była akceptowana przez GIODO.
Nowość – obowiązek zgłoszenia i odwołania powołanego ABI
Nowością jest obowiązek zgłoszenia powołanego przez administratora danych ABI do rejestracji w GIODO w terminie 30 dni od dnia powołania (w analogicznym terminie powinno być zgłoszone odwołanie ABI). Zgłoszenia powołanego ABI dokonuje się na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Administracji i Cyfryzacji z 10.10.2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. z 2014 r. poz. 1934).
Jednak ocena ta raczej nie będzie dokonywała się na etapie rejestracji ABI, podczas rejestracji GIODO będzie bowiem opierał się jedynie na oświadczeniu administratora danych, dołączonym do zgłoszenia rejestracyjnego. W oświadczeniu tym administrator danych potwierdza, że warunki, o których mowa w OchrDanychU są spełnione. Jeśli jednak już po zarejestrowaniu ABI organ ochrony danych nabierze wątpliwości co do omawianych okoliczności, z urzędu może wszcząć w takiej sprawie postępowanie administracyjne i na mocy decyzji administracyjnej wykreślić ABI z prowadzonego przez siebie rejestru.
W obecnym stanie prawnym powołanie ABI jest nadal fakultatywne, jednak jeśli administrator danych zdecyduje się nie powoływać takiej osoby, będzie musiał tak jak dotychczas sam realizować jego obowiązki (z wyłączeniami określonymi w art. 36b OchrDanychU).
Osoby powołane na stanowisko ABI przed nowelizacją
Ważne praktyczne pytanie, jakie należy postawić, dotyczy sytuacji ABI powołanych przed wejściem w życie nowelizacji ustawy. Czy oni także podlegają obowiązkowej rejestracji w GIODO i czy powinni być na nowo powołani?
Regulację tę należy interpretować w ten sposób, że po 1.1.2015 r. administrator danych ma do wyboru – powołać na nowo ABI według nowych zasad i zgłosić go do GIODO ze wszystkimi konsekwencjami lub też zrezygnować z takiego powołania, co spowoduje, że dotychczasowy ABI będzie pełnił swoje obowiązki tylko do końca czerwca bieżącego roku. Po tej dacie dotychczasowy ABI straci z mocy ustawy swoje umocowanie i administrator zmuszony będzie sam wykonywać obowiązki ABI.
Zadania i obowiązki ABI po nowelizacji
Na mocy znowelizowanych przepisów OchrDanychU ABI jest zobligowany do przeprowadzania na zlecenie GIODO czynności kontrolnych w swojej jednostce. Czynności te polegać będą na sprawdzeniu zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Generalny Inspektor Ochrony Danych Osobowych, zlecając te czynności, określi zarówno zakres merytoryczny sprawdzenia, jak i jego termin. Po przeprowadzeniu czynności kontrolnych ABI będzie musiał przygotować dla GIODO sprawozdanie zwierające elementy określone w art. 36c OchrDanychU (m.in.: wykaz czynności podjętych podczas sprawdzania, wskazanie osób, które brały udział w czynnościach, opis ustalonego stanu faktycznego, stwierdzone przypadki naruszeń i opis planowanych lub podjętych działań przywracających stan zgodności z prawem).
Ponadto ABI ma obowiązek prowadzić rejestr zbiorów danych przetwarzanych w jednostce przez administratora danych, z wyjątkiem zbiorów zwolnionych z obowiązku rejestracji na podstawie art. 43 ust. 1 OchrDanychU. Rejestr ten zawiera nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7 OchrDanychU (m.in.: oznaczenie administratora danych i adres jego siedziby, podstawę prawną upoważniającą do prowadzenia zbioru, cel przetwarzania danych, opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych).
Zdaniem GIODO do rejestru prowadzonego przez ABI powinny zostać wpisane nie tylko zbiory utworzone po 1 stycznia 2015 r., lecz także utworzone przed tą datą i zarejestrowane już przez GIODO lub zgłoszone mu do rejestracji. Do rejestru tego z dotychczasowych zbiorów nie będą wpisywane jedynie te, które nie są prowadzone z wykorzystaniem systemów teleinformatycznych. Sposób prowadzenia rejestru określi rozporządzenie ministra właściwego do spraw administracji publicznej.
Dwa rodzaje rejestrów zbiorów danych
W związku z nowymi regulacjami występują teraz dwa rodzaje rejestrów zbiorów danych – jednym jest rejestr ogólnopolski, prowadzony tak jak dotychczas przez GIODO, zawierający informację o zbiorach różnych administratorów danych, natomiast drugi rodzaj to rejestry prowadzone przez poszczególnych ABI w swoich jednostkach.
Do rejestru GIODO są wpisywane po 1.1.2015 r. jedynie zbiory danych zawierające tzw. dane szczególnie chronione oraz zbiory danych tych administratorów danych, którzy nie powołali ABI. Do rejestru ABI, prowadzonego dla danej organizacji, są wpisywane wszystkie pozostałe zbiory, z wyjątkiem tych, które są zwolnione z obowiązku rejestracji na podstawie art. 43 ust. 1 OchrDanychU.
Małą przejrzystość tych rozwiązań komplikuje dodatkowo fakt, że w każdej organizacji powinien być – zgodnie z § 4 pkt 2 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29.4.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024) – prowadzony także wykaz wszystkich zbiorów danych przetwarzanych w tej jednostce wraz ze wskazaniem programów zastosowanych do ich przetwarzania. Wykaz ten stanowi obligatoryjny element polityki bezpieczeństwa przetwarzania i ochrony danych osobowych.
Obowiązek zapewnienia w jednostce przestrzegania przepisów o ochronie danych osobowych
Na ABI został dodatkowo nałożony nowy, dość ogólnie określony w art. 36a ust. 2 pkt 1 OchrDanychU obowiązek zapewnienia w jednostce przestrzegania przepisów o ochronie danych osobowych. Obowiązek ten ma być realizowany w szczególności przez:
1. Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych.
Tym samym, niezależnie od czynności kontrolnych, jakie ABI podejmuje na zlecenie GIODO, jest on zobligowany takie same czynności podejmować w swojej jednostce niejako z urzędu. Co więcej, powinien przygotować z nich dla swojego administratora danych analogiczne sprawozdanie, jak to, które przedstawia organowi ochrony danych osobowych.
2. Nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 OchrDanychU oraz przestrzegania zasad określonych w tej ustawie.
Administrator bezpieczeństwa informacji musi wykazać, że sprawuje nadzór nad wykonywaniem wdrożonej w jednostce polityki bezpieczeństwa przetwarzania i ochrony danych osobowych oraz instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych, analizuje te dokumenty i bierze udział w ich aktualizowaniu.
3. zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
W świetle nowych regulacji ABI jest zatem ustawowo zobligowany do organizacji szkoleń z zakresu ochrony danych osobowych, dla pracowników organizacji, a także wszystkich innych osób, którym wystawiono upoważnienie do przetwarzania danych osobowych.
Dalsze prace legislacyjne
Obecnie w Ministerstwie Administracji i Cyfryzacji trwają prace nad przepisami wykonawczymi do nowych regulacji ustawowych. Wydaje się, że najpierw powstanie rozporządzenie w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych, a następnie rozporządzenie w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych. To drugie określi tryb i sposób sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowania sprawozdania w tym zakresie. Dodatkowo ureguluje ono tryb i sposób nadzorowania opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych osobowych oraz przestrzegania zasad określonych w tej dokumentacji.
Reasumując, nowelizacja ustawy wyraźnie wzmocniła pozycję ABI w organizacji. Podlega on obecnie bezpośrednio kierownikowi jednostki i jest niezależny w realizacji swoich zadań. Intencją ustawodawcy było, by w stopniu dużo większym niż dotychczas ABI był swego rodzaju pośrednikiem pomiędzy organem nadzorującym proces przetwarzania danych osobowych – GIODO a administratorem danych osobowych. Administrator bezpieczeństwa informacji stał się swoistym urzędnikiem ochrony danych osobowych w jednostce, rejestrowanym, nadzorowanym i ocenianym przez GIODO. W nowej ustawie ABI to wyspecjalizowany pracownik, który ma wiedzę, kwalifikacje i umiejętności wystarczające do zadbania o to, by administrator danych realizował swoją działalność operacyjną bez obaw, że naraża się na konsekwencje wynikające ze złamania przepisów OchrDanychU. W tym stanie rzeczy, w każdej organizacji, w której przetwarzane są dane osobowe, powołanie ABI – mimo formalnego braku takiego obowiązku – powinno być co najmniej dobrą praktyką.