Rewolucja czy ewolucja? Nowelizacja ustawy o ochronie danych osobowych
O nowelizacji ustawy o ochronie danych osobowych jest głośno już od dłuższego czasu. Postanowiłem nie ulegać emocjom i poczekać z szerszym komentarzem do czasu podpisania nowelizacji przez Prezydenta oraz pojawienia się przynajmniej projektów rozporządzeń wykonawczych. Ponieważ ustawa została podpisania przez Prezydenta dnia 24 listopada, a projekty rozporządzeń wykonawczych, również są już gotowe, zapraszam do zapoznania się z moim spojrzeniem na nowelizację.
Proces legislacyjny
Warto napisać kilka słów na temat samego procesu legislacyjnego. Już od kilku lat Dr Wojciech Wiewiórowski (ustępujący Generalny Inspektor Ochrony Danych Osobowych), postulował zniesienie, bądź ograniczenie formalności związanych ze zgłaszaniem baz danych do GIODO. Na niektórych konferencjach obowiązek zgłoszeniowy nazywał wprost: „przejawem biurokratyzmu”.
W zamian za to, proponowano zwiększenie roli Administratorów Bezpieczeństwa Informacji. Tak, aby za dane osobowe odpowiedzialna była przede wszystkim konkretna osoba.
Teraz, w ramach tzw. IV pakietu deregulacyjnego, idee Generalnego Inspektora Ochrony Danych Osobowych, udało się wcielić w życie.
Warto pamiętać, że nowelizacja weszła „w pakiecie” z wieloma innymi zmianami, mającymi w teorii ułatwić życie przedsiębiorcom. Nowe przepisy obowiązywać będą od 1 stycznia 2015 r.
„Nowa jakość” funkcji Administratora Bezpieczeństwa Informacji (ABI)
Zdecydowana większość zmian, to zmiany dotyczące pełnienia funkcji ABI oraz zgłaszania baz danych do GIODO.
Czy utrzymano obowiązek wyznaczenia ABIego?
Ustawodawca przyjął w art. 36b ustawy, że jeśli ABI nie zostanie wyznaczony, to Administrator danych (spółka, instytucja) sam wykonuje jego zadania. W praktyce oznacza to, że jeśli Zarząd spółki nie wyznaczy ABIego, to sam, jako podmiot reprezentujący Administratora danych, będzie odpowiedzialny m.in. za: wdrożenie dokumentacji ochrony danych osobowych, przeszkolenie pracowników, przeprowadzanie audytów kontrolnych, prowadzenie rejestru zbiorów danych. Będzie naturalnie ponosił również pełnąodpowiedzialność prawną za procesy przetwarzania danych osobowych. Takie rozwiązanie jest możliwe do zastosowania głównie w niewielkich przedsiębiorstwach lub w instytucjach w których przetwarza się bardzo niewiele danych osobowych.
Per analogiam – w administracji publicznej – takim ABI „z urzędu” będzie Burmistrz czy Dyrektor szkoły.
Nowy rejestr
Wyznaczenie ABIego będzie dawało Administratorowi danych osobowych dodatkową korzyść. Nie będzie trzeba zgłaszać zbiorów danych osobowych do GIODO. Wystarczy zgłosić osobę, która będzie pełniła funkcję ABI.
Tym samym, powstanie nowy rejestr u GIODO, do którego będą zgłaszane nie zbiory danych osobowych, a Administratorzy Bezpieczeństwa Informacji.
Pamiętajmy jednak, że nawet jeśli wyznaczymy ABIego, to pozostanie obowiązek zgłoszenia baz danych zawierających dane wrażliwe. Tak więc, powstaną dwa równoległe, jawne rejestry prowadzone przez GIODO. Pierwszy, to ten który istniał dotychczas – rejestr zbiorów danych z którego od tej pory będą korzystać głównie Administratorzy Danych, którzy nie wyznaczyli ABI. Drugi, nowy – rejestr Administratorów Bezpieczeństwa Informacji.
Kto może pełnić funkcję ABI?
Do tej pory brak było precyzyjnych wytycznych dotyczących osób zajmujących stanowiska ABI. Nie istniały też żadne certyfikaty wydawane przez GIODO czy specjalne egzaminy. Nowelizacja wprowadziła pierwsze wytyczne dotyczące kwalifikacji osób pełniących funkcję ABI. Zgodnie z art. 36a ust.5 ustawy, Administratorem Bezpieczeństwa Informacji może być osoba, która:
1) ma pełną zdolność do czynności prawnych oraz korzysta w pełni z praw publicznych,
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
3) nie była karana za umyślne przestępstwo.
Jak widać wytyczne są bardzo ogólne. W przypadku wątpliwości, każdorazowo to sąd bądź GIODO oceni, czy osoba powołana na stanowisko ABI, posiadała ku temu odpowiednie kwalifikacje.
Czy outsourcing ABI po nowelizacji przepisów nadal jest możliwy?
Z całą pewnością tak. GIODO od dawna postuluje, aby osoby pełniące funkcję ABI, były jak najbardziej niezależne i obiektywne.Outsourcing ABI daje większą gwarancję niezależności niż pełnienie tej funkcji przez zatrudnionego na umowę o pracę pracownika. Przy czym w obecnym stanie prawnym obie możliwością pozostają dozwolone.
Czy ABI otrzyma nowe obowiązki?
Tak, pojawią się nowe obowiązki dla osób pełniących funkcję ABI. Te obowiązki to przede wszystkim tzw. sprawdzenie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
Chodzi o to, aby raz na jakiś czas ABI wykonał czynności sprawdzające (audytowe). Częstotliwość oraz dokładną formę takiego sprawdzenia, będzie już precyzowało rozporządzenie wykonawcze. Póki co, bazować możemy jedynie na jego projekcie. Poczekajmy więc z dalszymi komentarzami na podpisanie finalnego projektu przez Ministra. Co ciekawe, zgodnie z art. 19b ust.1, z poleceniem dokonania sprawdzenia przez ABI, może zwrócić się GIODO, wskazując jego zakres i termin.
Coś za coś
Kolejny obowiązek dla ABIego to prowadzenie rejestru zbiorów danych przetwarzanych przez Administratora danych, z wyjątkiem tych podlegających ustawowemu zwolnieniu z rejestracji.
Rejestr prowadzony przez ABIego jest jawny i każdy ma prawo go przeglądać. Kwestie udostępnienia rejestru unormowane zostaną w rozporządzeniu wykonawczym do ustawy.
Jak taki wykaz ma wyglądać w praktyce? Czekamy wciąż na finalną wersję rozporządzenia wykonawczego.
Eksport danych do Państwa trzeciego
Mamy jeszcze jedną zmianę w ustawie, która z kolei ma na celu ułatwienie wysyłania danych osobowych do państwa trzeciego. W stanie sprzed nowelizacji, jeśli nie udało nam się spełnić jednej z określonych ustawowo przesłanek na eksport danych osobowych do państwa trzeciego, konieczne było wystąpienie do GIODO o stosowną zgodę. Taka procedura była jednak bardzo długa i skomplikowana. Angażowała zarówno urzędników GIODO jak i pracowników podmiotu ubiegającego się o zgodę.
Nowelizacja przewiduje dwie dodatkowe furtki umożliwiające eksport danych do państw trzecich.
Pierwsza z nich to podpisanie tzw. standardowych klauzul umownych, które zostały zatwierdzone przez Komisję Europejską decyzją z dnia 5 lutego 2010 r. zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE. Wystarczy, że przy przekazywaniu danych zastosujemy z naszym kontrahentem znajdującym się np. w Rosji czy w USA, stosowne klauzule – a cała operacja stanie się całkowicie legalna.
Druga nowa alternatywa – to zastosowanie przy przekazywaniu danych tzw. wiążących reguł korporacyjnych, czyli ogólnych zasad przetwarzania danych osobowych obowiązujących w danej spółce czy grupie kapitałowej. Przy czym, w tej sytuacji znów konieczne jest wydanie stosownej akceptacji przez GIODO. Przed zatwierdzeniem wiążących reguł korporacyjnych, GIODO może przeprowadzić konsultacje z organami ochrony danych państw członkowskich Europejskiego Obszaru Gospodarczego. Ułatwieniem będzie to, że jedna decyzja akceptująca powinna wystarczyć do zalegalizowania różnych procesów wykonywanych na danych osobowych.
Co nowelizacja oznacza w praktyce?
Podsumowując – zmiany nie są rewolucyjne, ale do takiej rewolucji mogą stopniowo prowadzić. Zdecydowanie podkreślono rolę ABIego – i to jest zmiana najistotniejsza. Docelowo GIODO chce w ten sposób zwiększyć swoje możliwości kontrolowania administratorów danych osobowych.
Urzędnicy GIODO będą zlecali wykonanie kontroli ABIemu. Oczywiście dokonanie sprawdzenia przez ABIego nie wyłącza kompetencji GIODO w tym zakresie, gdyż tzw. kontrola uproszczona dopuszczalna jest jedynie uznaniowo i nie wyklucza możliwości późniejszego przeprowadzenia kontroli właściwej.
Z całą pewnością zmiany będą się również wiązały z dodatkową pracą dla ABIego. Dojdzie obowiązek prowadzenia jawnych rejestrów danych oraz obowiązek cyklicznego sprawdzenia zgodnie z rozporządzeniowymi wytycznymi.
Z drugiej strony odejdzie obowiązek zgłaszania zbiorów danych osobowych, nie zawierających danych wrażliwych.
Na dzień dzisiejszy brakuje podpisanych przez Ministra rozporządzeń wykonawczych. Mamy jedynie projekty, które mogą się jeszcze zmienić. Tak więc, wszystkie osoby, które już pełnią funkcję Administratora Bezpieczeństwa Informacji, powinny uzbroić się w cierpliwość i poczekać z wdrożeniem zmian na wejście w życie stosownych przepisów.
Warto zaznaczyć, że zgodnie z przewidzianymi przepisami przejściowymi, dotychczasowy ABI pełni tę funkcję zgodnie ze starymi przepisami do czasu wpisania go do rejestru, nie dłużej jednak niż do 30 czerwca 2015 r.
Do już wszczętych i niezakończonych przed dniem wejścia w życie nowych przepisów postępowań rejestracyjnych, będą miały zastosowanie przepisy dotychczasowe.
Na dzień dzisiejszy nie da się zgłosić ABIego, ponieważ brakuje podpisanych przez Ministra rozporządzeń wykonawczych.
Kiedy tylko rozporządzenia będą gotowe, przygotujemy dla Państwa obszerny artykuł dotyczący praktycznego stosowania nowych regulacji.
Autor: Przemysław Zegarek
4 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
ciekawe ktory pracownik podejmie się bycia abi jak zobaczy ile będzie miał obowiązków, a pensja zostaje taka sama, przynajmniej w placówkach publicznych niższego szczebla bo tam pieniędzy zazwyczaj brak
u mnie już mi zaproponowano „Salomonowe” rozwiązanie czyli podzielenie tego etatu na jakim jestem na 1/4 ABI i 3/4 obecnego, o podwyżce nie wspomniano o zmianie kategorii też oczywiście adm publiczna i zbiory wrażliwe.
Podejmie się czy nie podejmie…
A będzie miał wyjście, gdy innej pracy w tej Koziej Wólce brak?
Mają Państwo dużo racji. Proszę jednak pamiętać, że rola bezpieczeństwa informacji w dzisiejszym świecie bardzo wzrasta. Na rynku pracy coraz bardziej ceni się ludzi z doświadczeniem na stanowisku ABI. A niestety kandydatów posiadających chociaż roczne doświadczenie właściwie brak. Przekonujemy się o tym boleśnie na własnej skórze prowadząc nabory na stanowisko zewnętrznego ABI. Chętnych bardzo dużo, chętnych z doświadczeniem brak. Zachęcam więc do potraktowania tego dodatkowego obowiązku jakim jest sprawowanie funkcji ABI, jako szansy na zdobycie doświadczenia w coraz bardziej cenionej na rynku mikro-branży. Zwłaszcza, że przeważnie pracodawca szkoli Państwa na swój koszt;)
Pozdrawiamy serdecznie i życzymy powodzenia na stanowisku ABI
Zespół Lex Artist