Nowelizacja ustawy o ochronie danych osobowychW dniu 24 listopada 2014 roku Prezydent RP podpisał ustawę o ułatwieniu wykonywania działalności gospodarczej (dalej jako „Ustawa”, Dz. U. z 27 listopada 2014 roku, poz. 1662), która w znacznym stopniu zmienia zasady ochrony danych osobowych obowiązujące przedsiębiorców. Ustawa, z niewielkimi wyjątkami, wejdzie w życie 1 stycznia 2015 r.

Ustawa wprowadza liczne zmiany w ustawie z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182) (dalej jako „ustawa o GIODO”), nakładając jednocześnie na przedsiębiorców dodatkowe obowiązki w zakresie przetwarzania danych osobowych, w tym w szczególności sposobu prowadzenia dokumentacji, wyznaczania administratorów bezpieczeństwa informacji, czy opracowania sprawozdań dla administratora danych.

Administrator Bezpieczeństwa Informacji – nowe kompetencje

Ustawa rozszerza zakres obowiązków Administratorów Bezpieczeństwa Informacji (dalej „ABI”) w każdym przedsiębiorstwie.

Jak dotąd ustawa o GIODO ograniczała się wyłącznie do stwierdzenia, że ABI jest powoływany, jednak nie wskazywała dokładnie, jakiego rodzaju obowiązki ABI powinien wykonywać, poza obowiązkiem NADZORU nad: 1) zastosowanymi środkami technicznymi i organizacyjnymi zapewniającymi ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, 2) zabezpieczaniem danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 3 ustawy o GIODO).

Aktualnie ww. przepis ustawy o GIODO zostanie uchylony, a w jego miejsce ustawodawca wprowadzi cały katalog obowiązków ABI.

Do obowiązków ABI będzie należało:

1. Zapewnienie przestrzegania przepisów o ochronie danych osobowych w szczególności poprzez:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  • nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych oraz przestrzegania zasad określonych w dokumentacji (przez dokumentację rozumie się tworzenie polityki bezpieczeństwa przetwarzania danych osobowych, tworzenie instrukcji określającej sposób zarządzania i użytkowania systemów informatycznych),
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych (czyli prowadzenie ewidencji upoważnień do przetwarzania danych osobowych, zbierania oświadczeń o zapoznaniu się z polityką bezpieczeństwa przetwarzania informacji, wydawania upoważnień do przetwarzania danych osobowych);

2. Prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, poza zbiorami, których się nie rejestruje (są to zbiory szczególne wymienione w art. 43 ust. 1 ustawy o GIODO np. zbiory zawierające informacje niejawne, czy prowadzone przez Generalnego Inspektora Informacji Finansowej). O rejestrze zbiorów oraz sposobie jego prowadzenia napiszemy poniżej.

W przypadku niepowołania ABI, administrator danych (czyli de facto spółka, która jest właścicielem zbioru danych osobowych) jest zobowiązany samodzielnie wypełnić zadania wskazane powyżej, poza obowiązkiem przygotowywania sprawozdania dla administratora danych osobowych i prowadzenia rejestru zbiorów danych osobowych. Jeżeli zaetm przedsiębiorca nie powoła ABI, będzie nadal zmuszony rejestrować zbiory danych osobowych w GIODO (tak jak to było dotychczas).

UWAGA! Zbiory danych osobowych, które nie są prowadzone w wersji elektronicznej (np. prowadzone tylko w wersji papierowej) zostały wyłączone spod obowiązku rejestracji w GIODO (art. 43 ust. 1 a ustawy o GIODO), pod warunkiem, że nie zawierają tzw. danych „wrażliwych” (tj. ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym – art. 27 ust. 1 ustawy o GIODO).

Administratorem Bezpieczeństwa Informacji może być tylko osoba fizyczna, która: 1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych; 2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; 3) nie była karana za umyślne przestępstwo. Aby wykazać ww. okoliczność Administrator Bezpieczeństwa Informacji powinien złożyć stosowne oświadczenie.

ABI powinien podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych (np. w przypadku prowadzenia jednoosobowej działalności gospodarczej). ABI może powoływać swoich zastępców (którzy także powinni spełniać warunki wskazane w oświadczeniu). Co ciekawe, nowelizacja ustawy o GIODO przewiduje, że administrator danych będzie zobowiązany zapewnić środki i organizacyjną odrębność ABI niezbędne do niezależnego wykonywania przez niego zadań wskazanych powyżej.

Niestety Ustawa nie wskazuje, na czym ta niezależność ma polegać, ani w jaki sposób ma zostać osiągnięta. Wydaje się, że niezależność stanowiska ABI może polegać na outsourcingu tej funkcji na zewnątrz organizacji, lub faktyczne wydzielenie stanowiska ABI wewnątrz organizacji i poddanie nadzoru nad osobą zatrudnioną na tym stanowisku dyrektorowi zarządzającemu spółką lub jej prezesowi. Zmiana ustawy o GIODO w tym zakresie może wymusić na spółce konieczność zatrudnienia osoby na stanowisku ABI, lub przynajmniej powierzenie obowiązków ABI osobie zatrudnionej już na konkretnym stanowisku w spółce przy ewidentnym podziale kompetencji w opisie stanowiska.

Osoby, które aktualnie piastują stanowisko ABI powinny zostać zgłoszone do rejestru ABI najpóźniej do dnia 30 czerwca 2015 roku. Do tego czasu firmy powinny wyodrębnić stanowisko ABI wewnątrz struktury organizacyjnej lub dopasować aktualny opis stanowiska osoby piastującej tą funkcję w taki sposób, aby uniezależnić ABI od dotychczasowych przełożonych, z jednoczesnym raportowaniem do kierownika danej jednostki. Ponadto osoba zatrudniona na stanowisku ABI powinna zostać odpowiednio przeszkolona, aby mogła podpisać oświadczenie

Rejestr Administratorów Bezpieczeństwa Informacji

Istotną nowością jest rejestr Administratorów Bezpieczeństwa Informacji, który będzie prowadził GIODO. W terminie 30 dni od powołania ABI trzeba będzie zgłosić ten fakt do GIODO. Zgłoszenie ABI do rejestru powinno zawierać: 1) oznaczenie administratora danych (czyli spółki, która prowadzi rejestr danych osobowych), 2) dane ABI (imię i nazwisko; numer PESEL (lub innego dokumentu stwierdzającego tożsamość, gdy brak nr PESEL), 3) datę powołania ABI, 4) oświadczenie ABI o pełnej zdolności do czynności prawnych, posiadaniu odpowiedniej wiedzy w zakresie ochrony danych osobowych i niekaralności za umyśle przestępstwo.

W przypadku zmiany danych o ABI, przedsiębiorca jest zobowiązany poinformować o tym GIODO w terminie 14 dni. Rejestr ABI będzie jawny, a zaświadczenie o zarejestrowaniu ABI będzie wydawane na żądanie przedsiębiorcy. Zakładam, że podobnie, jak w przypadku zaświadczenia o zarejestrowaniu zbioru, za wydanie takiego zaświadczenia będzie pobierana opłata skarbowa w wysokości 17,00 złotych.

GIODO może wydać decyzję o wykreśleniu ABI z rejestru, jeżeli okaże się, że:

  1. ABI nie spełnia warunków wskazanych w oświadczeniu (lub jego zastępcy nie spełniają tych warunków);
  2. ABI nie prowadzi rejestru zbiorów,
  3. administrator danych nie zgłosił do GIODO informacji o odwołaniu ABI.

W przypadku wykreślenia ABI przez GIODO, w związku z okolicznościami wskazanymi powyżej, administrator danych traci uprawnienie do niezgłaszania zbiorów danych osobowych do GIODO. Odwołanie ABI powinno zostać zgłoszone GIODO także w terminie 30 dni od zaistnienia okoliczności powodujących odwołanie (zwykle odwołanie będzie związane z rozwiązaniem stosunku pracy z ABI, zmianą stanowiska wewnątrz spółki itp.).

Należy pamiętać, że ABI powinien zostać odwołany ze stanowiska w przypadku, gdy przestał spełniać wymogi: niekaralności, czy został pozbawiony praw publicznych. Z tego względu wydaje się, że warto wprowadzić wymóg cyklicznego odbierania oświadczenia od ABI o wypełnianiu ww. wymogów, lub wskazać obowiązek informowania spółki w przypadku utraty uprawnień do piastowania ww. funkcji. Wzór zgłoszenia ABI zostanie przedstawiony w Rozporządzeniu Ministra właściwego do spraw administracji publicznej.

Rejestr zbiorów danych

Jak było to wskazane powyżej, dzięki powołaniu ABI przez przedsiębiorcę, nie będzie on już zobowiązany zgłaszać zbiorów danych osobowych do rejestru prowadzonego przez GIODO. Zamiast tego, to ABI w spółce będzie zobowiązany prowadzić taki rejestr, stosownie go opisując.

Taki rejestr zbiorów danych osobowych powinien zawierać co najmniej następujące dane charakteryzujące zbiór: 1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi (umowa o powierzeniu danych osobowych) – oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania; 2) cel przetwarzania danych; 3) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych; 4) sposób zbierania oraz udostępniania danych; 5) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane; 6) opis środków technicznych i organizacyjnych zastosowanych w celach zabezpieczania danych osobowych; 7) informację o sposobie wypełnienia warunków technicznych i organizacyjnych, wprowadzonych celem zabezpieczenia danych osobowych; 8) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Minister właściwy do spraw administracji publicznej ma określić w formie rozporządzenia sposób prowadzenia rejestru zbiorów danych przez ABI.

Sprawozdanie dotyczące zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych

Sprawozdanie, dotyczące zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych jest zobowiązany przygotowywać ABI. Sprawozdanie takie powinno zawierać następujące dane:

  1. oznaczenie administratora danych osobowych,
  2. imię i nazwisko ABI,
  3. wykaz czynności podjętych przez ABI w toku sprawdzenia oraz dane osób, które uczestniczyły w sprawdzeniu,
  4. datę rozpoczęcia i zakończenia sprawdzenia,
  5. określenie przedmiotu sprawdzenia,
  6. opis stanu faktycznego stwierdzonego w toku sprawdzenia i inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
  7. stwierdzone przypadku naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem,
  8. wyszczególnienie załączników stanowiących składową część sprawozdania,
  9. podpis ABI (wraz z parafami na każdej stronie);
  10. data i miejsce podpisania sprawozdania przez ABI.

Sprawdzenie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych będzie się odbywało na wniosek GIODO. Wniosek w tym zakresie będzie kierowany do ABI wraz ze wskazaniem zakresu i terminu dokonania sprawdzenia. Po dokonaniu sprawdzenia ABI będzie zobowiązany przedstawić GIODO sprawozdanie. Brak jednak informacji w Ustawie, jakie rozstrzygnięcia może wydać GIODO w oparciu o przesłane sprawozdanie, ani jakie są sankcje za brak przesłania sprawozdania, lub jego nienależyte przygotowanie. Wydaje się, że w takim przypadku GIODO będzie wydawał stosowną decyzję administracyjną w oparciu o art. 18 ustawy o GIODO. Nie wiadomo jednak, czy w każdym przypadku wydanie takiej decyzji będzie poprzedzone kontrolą GIODO. Chociaż z przepisu Ustawy wprost wynika, że przedstawienie sprawozdania przez ABI nie wyłącza prawa GIODO do przeprowadzenia kontroli.

Minister właściwy do spraw administracji publicznej ma określić w formie rozporządzenia tryb i sposób sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, opracowywania sprawozdań przez ABI, a także nadzorowania opracowania i aktualizowania dokumentacji ochrony danych osobowych.

Przekazywanie danych osobowych za granicę

Zmianie uległa regulacja ustawy o GIODO dotycząca przekazywania danych osobowych za granicę do Państw Trzecich. Generalna zasada pozostaje taka sama – w przypadku, gdy Państwo Trzecie, do którego przekazywane są dane osobowe nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych – administrator danych osobowych powinien uzyskać zgodę GIODO w formie decyzji. Zgoda taka jest wydawana pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. Zgoda nie jest wymagana w przypadku (ustawa o GIODO nie została w tym zakresie zmieniona), gdy:

  1. osoba, której dane dotyczą, udzieliła na to zgody na piśmie;
  2. przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie;
  3. przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem;
  4. przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych;
  5. przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą;
  6. dane są ogólnie dostępne.

W innych przypadkach, niż wskazane powyżej, zgoda GIODO nie będzie wymagana, o ile administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez:

  1. standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, str. 31, z późn. zm.; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, str. 355, z późn. zm.) lub
  2. prawnie wiążące reguły lub polityki ochrony danych osobowych, zwane dalej „wiążącymi regułami korporacyjnymi”, które zostały zatwierdzone przez Generalnego Inspektora.

Rozwiązanie dotyczące wiążących reguł korporacyjnych jest wyłącznie inkorporowaniem do polskiego porządku prawnego zasad obowiązujących już w GIODO po wprowadzenia w dniu 1 stycznia 2013 r. wiążących reguł korporacyjnych (BCR) dla przetwarzających stworzonych przez Grupę Roboczą Artykułu 29 ds. Ochrony Danych. Zgodnie z Ustawą Zatwierdzenie wiążących reguł korporacyjnych odbywać się będzie w drodze w drodze decyzji administracyjnej wydawanej przez GIODO. Przed zatwierdzeniem reguł korporacyjnych GIODO będzie mógł przeprowadzić konsultacje z właściwymi organami ochrony danych osobowych państw należących do Europejskiego Obszaru Gospodarczego, na których terytorium mają siedziby przedsiębiorcy należący do grupy. Wyniki tych konsultacji powinny być uwzględnione przez GIODO, a jeżeli organ ochrony danych osobowych (odpowiednik GIODO) działający w innym Państwie, zatwierdzi reguły korporacyjne, w oparciu o wniosek podmiotu powiązanego z podmiotem działającym w kraju, GIODO może z urzędu uwzględnić rozstrzygnięcie przyjęte przez ten organ (bez konieczności prowadzenia oddzielnego postępowania na terytorium RP).

Podsumowanie:

Wyżej wymienione nowe zasady kontroli sposobu przetwarzania danych osobowych przez GIODO tylko pozornie doprowadzą do ułatwienia prowadzenia działalności gospodarczej. Tak naprawdę zaproponowana nowelizacja nie zdejmie z małych przedsiębiorców żadnych obowiązków związanych z koniecznością prowadzenia obszernej dokumentacji związanej z ochroną danych osobowych i rejestrowaniem zbiorów danych osobowych.

Mali przedsiębiorcy najpewniej nie będą w stanie pozwolić sobie na zatrudnienie osób, które będą przeszkolone w zakresie ochrony danych osobowych (ABI), ani utworzyć oddzielnego „niezależnego” stanowiska ABI. Natomiast „duzi przedsiębiorcy” będą de facto mieli jeszcze więcej obowiązków i poniosą dodatkowe koszty. Cóż z tego, że nie będzie trzeba rejestrować bazy danych osobowych uczestników każdego konkursu, czy newslettera (do tego duże podmioty były już przyzwyczajone i posiadały stosowne procedury), skoro trzeba będzie zapewnić szkolenie dla ABI, utworzyć nowe stanowisko ABI i dopasować do nowej organizacji strukturę firmy. Dodatkowo, w związku z wprowadzonymi zmianami spółki będą musiały wprowadzić zmiany w aktualnie prowadzonej dokumentacji ochrony danych osobowych, w tym w szczególności w polityce bezpieczeństwa przetwarzania danych osobowych.

Nowelizacja tak naprawdę odciąży GIODO nie pozbawiając go jednocześnie szerokich kompetencji kontrolnych. Aktualnie organ ochrony danych osobowych został na tyle przeciążony wnioskami podmiotów o rejestrację zbiorów danych osobowych, że okres wyczekiwania na wpis w rejestrze trzeba było czekać ponad pół roku. Organ musiał z pewnością zatrudnić dodatkowych pracowników, którzy aktualnie w związku z mniejszą liczbą wniosków będą mogli znowu skierować swoje siły bardziej w kierunku kontrolowania sposobu przestrzegania ustawy o GIODO w siedzibach przedsiębiorców, niż do żmudnej pracy przy zatwierdzaniu wniosków o rejestrację zbioru.

Z pewnością cieszy, że Ustawa ma stosunkowo długi okres przejściowy jeżeli chodzi o podjęcie decyzji, co do aktualnie wyznaczonych ABI. Nie wiadomo jednak, kiedy dokładnie zostaną wydane nowe rozporządzenia przez Ministra właściwego do spraw administracji publicznej, co umożliwi utworzenie rejestru zbiorów danych osobowych przez przedsiębiorców oraz wyjaśni szczegółowo sposób sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, opracowywania sprawozdań przez ABI, a także nadzorowania opracowania i aktualizowania dokumentacji ochrony danych osobowych. Dopiero po zapoznaniu się z ww. przepisami przedsiębiorcy będą mieli możliwość ocenić, ile pracy czeka ABI, aby dostosować wymogi formalne nałożone przez Ministra do faktycznej sytuacji przetwarzania danych osobowych w firmie.