W związku z ogłoszeniem tekstu Ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 r., poz. 1662), na mocy art. 9, który wszedł w życie 1 stycznia 2015 r., doszło do zmiany przepisów Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2014 r., poz. 1182 z późn. zm).
Zmiany dotyczą m.in. funkcjonowania administratora bezpieczeństwa informacji (zwanego w skrócie ABI). Instytucja ABI nie jest nową konstrukcją w polskim porządku prawnym, a wyznaczona została przepisami obowiązującej aktualnie Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (art. 18 ust. 2).
Zadania administratora
bezpieczeństwa informacji
Głównym zadaniem administratora bezpieczeństwa informacji jest zapewnienie przestrzegania przepisów o ochronie danych osobowych. Do obowiązków takiej osoby należą m.in.:
• sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych;
• nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną oraz przestrzegania zasad w niej określonych;
• zapewnianie osobom upoważnionym do przetwarzania danych osobowych możliwości zapoznania się z przepisami o ochronie danych osobowych.
Dodatkowo administrator bezpieczeństwa informacji uprawniony jest do prowadzenia rejestru zbiorów danych przetwarzanych przez administratora danych (zgodnie z art. 36a ust. 2 pkt 2 u.o.d.o.), zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7 u.o.d.o.
Kto może być administratorem bezpieczeństwa informacji?
W art. 36a ust. 5 znowelizowanej ustawy o ochronie danych osobowych określono, iż funkcję administratora bezpieczeństwa informacji może pełnić osoba, która:
• ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
• posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
• nie była karana za umyślne przestępstwo.
To, czy kandydat posiada odpowiednią wiedzę w zakresie ochrony danych osobowych, ocenia sam administrator danych. Działając we własnym interesie, powinien jednak powołać osobę, która ma rzeczywistą wiedzę z zakresu ochrony danych. Znowelizowane przepisy ustawy o ochronie danych osobowych nie wprowadzają wymogu posiadania przez ABI jakichkolwiek certyfikatów, poświadczeń ukończenia odpowiednich szkoleń itp. Poziom wiedzy powinien być dostosowany do prowadzonych u administratora danych operacji przetwarzania danych oraz wymogów ich ochrony.
Czy powołanie ABI
jest obowiązkowe?
Powołanie ABI jest uprawnieniem, a nie obowiązkiem administratora danych. Jeśli w danej firmie administrator bezpieczeństwa informacji nie zostanie powołany, jego zadania wykonuje sam administrator danych, z wyłączeniem obowiązku sporządzania sprawozdania i oczywiście obowiązku prowadzenia wewnętrznego rejestru zbiorów danych przetwarzanych przez administratora danych.
Nowelizacja w tym zakresie nie wpływa na dotychczasowe obowiązki administratora danych. Był on i nadal jest odpowiedzialny za właściwe, zgodne z prawem, w tym z normami ustawy o ochronie danych osobowych, zorganizowanie procesu przetwarzania danych osobowych.
Zgłaszanie zbiorów danych
do Generalnego Inspektora
Czy zbiory danych należy obligatoryjnie zgłaszać do Generalnego Inspektora?
Na stronie internetowej GIODO (http://www.giodo.gov.pl) wprowadzono rozróżnienie w zależności od charakteru danych.
W przypadku zbiorów tzw. danych wrażliwych, tj. danych należących do kategorii danych wskazanych w art. 27 ust. 1 u.o.d.o., nadal istnieje obowiązek zgłoszenia takich zbiorów danych do rejestracji GIODO przed rozpoczęciem przetwarzania (art. 40 u.o.d.o.).
Jeśli chodzi o zbiory danych osobowych niezawierające danych wrażliwych, nie ma obowiązku ich zgłaszania do GIODO, w przypadku gdy administrator danych powołał ABI i zgłosił go do GIODO. Obowiązek prowadzenia jawnego rejestru takich zbiorów danych (zgodnie z art. 36a ust. 2 pkt 2 u.o.d.o.) przechodzi wówczas na administratora bezpieczeństwa informacji.
Rejestr ten ma być prowadzony przez administratora bezpieczeństwa informacji u administratora danych i obejmować wszystkie zbiory danych prowadzone przez tego administratora danych (z wyjątkiem zbiorów danych wyłączonych dotychczas z obowiązku zgłoszenia do rejestracji GIODO i ujętych w art. 43 ust. 1 u.o.d.o.). ABI powinien zatem ująć w swoim rejestrze również zbiory uprzednio (przed 1 stycznia 2015 r.) zgłoszone do GIODO (w tym zbiory zawierające dane wrażliwe).
Czy administratora bezpieczeństwa informacji należy zgłosić do rejestracji GIODO?
Jeżeli administrator danych skorzysta z przysługującego mu uprawnienia i powoła administratora bezpieczeństwa informacji, zgodnie z art. 46b ust. 1 ustawy o ochronie danych osobowych ma 30 dni od dnia powołania ABI na zgłoszenie tego faktu do rejestracji Generalnemu Inspektorowi.
Jeśli wolą administratora danych jest, aby dotychczasowy administrator bezpieczeństwa informacji pełnił tę funkcję po zmianie przepisów o ochronie danych osobowych, niezbędne jest spełnianie wszystkich warunków przewidzianych mocą art. 36a ust. 5, 7 i 8 tej ustawy. W takim przypadku ABI wyznaczony przed 1 stycznia 2015 r. powinien zostać zgłoszony do rejestracji Generalnemu Inspektorowi do 30 czerwca 2015 r. Jeżeli administrator danych zaniecha zgłoszenia dotychczasowego ABI do rejestracji, po 30 czerwca 2015 r. przestaje on pełnić tę funkcję, a zadania ABI określone w art. 36a ust. 2 pkt 1 u.o.d.o. (z wyłączeniem obowiązku sporządzania sprawozdania) zobowiązany jest wykonywać administrator danych, który ponosi pełną odpowiedzialność za przestrzeganie przepisów o ochronie danych osobowych.
ABI zgłoszeni do rejestracji GIODO będą wpisywani do ogólnokrajowego, jawnego rejestru. Administrator danych, który zgłosi ABI do rejestracji, zobowiązany jest zgłaszać Generalnemu Inspektorowi każdą zmianę informacji objętych zgłoszeniem powołania ABI w terminie 14 dni, a także jego odwołanie w terminie 30 dni, odpowiednio od dnia dokonania zmiany lub odwołania.
Zgłoszenia powołania ABI do rejestracji Generalnemu Inspektorowi oraz zgłoszenia odwołania ABI należy dokonać przy użyciu wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji, które stanowią załączniki do rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. (Dz.U. z 2014 r., poz. 1934). Wzór zgłoszenia powołania może zostać także wykorzystany do zgłoszenia zmian w tym rejestrze.
Gdzie szukać informacji
o zbiorach?
Informacji o zbiorach prowadzonych przez administratora danych, który zgłosił administratora bezpieczeństwa informacji do rejestracji GIODO, należy poszukiwać przede wszystkim w jawnym rejestrze zbiorów danych prowadzonym przez właściwego ABI. Od 1 stycznia 2015 r. informacje umieszczone w jawnym rejestrze zbiorów prowadzonym przez ABI nie muszą być aktualizowane w rejestrze GIODO, z wyjątkiem zbiorów zawierających tzw. dane wrażliwe. ABI nie są także zobowiązani do wnioskowania o wykreślenie z rejestru GIODO prowadzonych u siebie zbiorów z danymi zwykłymi.
Informacji o zbiorach danych wrażliwych należy poszukiwać w rejestrze GIODO, który nadal zachowuje prawo do oceny legalności prowadzenia tych zbiorów przez administratora danych, oraz w rejestrze ABI, w którym zbiory te są prowadzone po zarejestrowaniu przez GIODO.
W przypadku gdy administrator danych nie powołał ABI, informacje o zbiorach danych zgłoszonych przez administratora danych powinny być dostępne w ogólnokrajowym, jawnym rejestrze GIODO.
Co z danymi dostępnymi
wyłącznie w postaci papierowej?
Jeśli chodzi o zbiory danych prowadzone wyłącznie w postaci papierowej, to 1 stycznia 2015 r. zniesiony został obowiązek zgłaszania ich do rejestracji u Generalnego Inspektora, chyba że zbiory te zawierają dane wrażliwe. W takim wypadku nadal istnieje obowiązek ich zgłoszenia do rejestracji u GIODO przed rozpoczęciem przetwarzania. W pozostałym zakresie katalog wyłączeń nie ulega zmianie.
Przepisy doprecyzowujące zasady prowadzenia jawnego rejestru i funkcjonowania ABI są przygotowywane przez Ministerstwo Administracji i Cyfryzacji i zostaną wkrótce wydane w formie rozporządzeń wykonawczych do ustawy o ochronie danych osobowych. Projekty tych aktów są dostępne na stronach internetowych Rządowego Centrum Legislacji.
Źródło: http://www.giodo.gov.pl
Oprac. Jolanta Tokarczyk
