Administratorzy Danych Osobowych oraz Administratorzy Bezpieczeństwa Informacji, wciąż czekają z niecierpliwością na dopełnienie nowelizacji Ustawy o ochronie danych osobowych (dalej uodo).
Tym dopełnieniem są oczywiście rozporządzenia wykonawcze. Na dzień dzisiejszy gotowe jest tylko jedno z nich – Rozporządzenie w sprawie zgłoszeń powołania i odwołania Administratora Bezpieczeństwa Informacji (Dz.U. z 2014 r., poz. 1934). Najprostsze i budzące najmniej wątpliwości.
W dzisiejszym wpisie, skoncentruję się na Rozporządzeniu w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez Administratora Bezpieczeństwa Informacji. A właściwie na jego nowym projekcie z dnia 4 marca br.
Z uwagi na treść nowelizacji – przesądzone jest już to, że pojawi się nowy obowiązek prawny dla Administratorów Bezpieczeństwa Informacji. Zgodnie z art. 36 36a ust. 2 pkt 1 uodo, będzie to:
- Prowadzenie sprawdzeń zgodności przetwarzania danych osobowych z obowiązującymi przepisami oraz
- opracowywanie sprawozdań w zakresie przeprowadzonych sprawdzeń.
Idea
Zadaniem każdego Administratora Danych Osobowych jest zbudowanie skutecznego systemu ochrony danych osobowych. Taki system powinien opierać się na 5 filarach:
- Dane osobowe powinny być przetwarzane w oparciu o tzw. przesłanki legalności (art. 23 oraz 27 uodo) oraz o zasadę adekwatności,
- Pracownicy przetwarzający dane osobowe powinni być świadomi odpowiedzialności oraz ewentualnych zagrożeń,
- Powinny zostać wdrożone odpowiednie zabezpieczenia techniczne (np. hasła) oraz organizacyjne (np. dokumentacja ochrony danych osobowych),
- Zbiory danych powinny zostać zgłoszone do GIODO,
- Każda osoba od której zbierane są dane, powinna mieć pełną świadomość tego, do jakich celów dane będą wykorzystane (obowiązek informacyjny).
Funkcjonowanie takiego system nie jest działaniem jednorazowym. Nie da się spełnić wymogów uodo raz na zawsze.
Będą przyjmowani nowi pracownicy, którzy powinni zostać przeszkoleni, pojawią się nowe działania marketingowe, nowe przepisy czy inne niestandardowe sytuacje, wymagające modyfikowania istniejącego systemu.
W związku z powyższym, każdy Administrator Bezpieczeństwa Informacji, podchodzący rzetelnie do swoich zadań, co jakiś czas audytował funkcjonowanie stworzonego systemu.
Ustawodawca uznał taką praktykę za słuszną i postanowił umocować ją w przepisach prawa powszechnie obowiązujących.
Sprawdzenie to nic innego, jak zwyczajny audyt ochrony danych osobowych – tyle, że jego ramy zostały opisane w powoływanym na początku Rozporządzeniu w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez Administratora Bezpieczeństwa Informacji. Z kolei sprawozdanie to nic innego, jak zwyczajny raport z audytu – tyle, że jego elementy zostały opisane w art. 36c uodo.
ABI skrupulatnie podchodzący do swoich obowiązków – nie mają się więc czego obawiać.
ABI agentem GIODO?
GIODO od dawna szuka możliwości efektywniejszego kontrolowania Administratorów Danych Osobowych. Na rynku wciąż działa bardzo duża ilość firm oraz instytucji publicznych, które nie stosują się do podstawowych elementów ustawy. Brakuje tak podstawowych dokumentów jak np. polityka bezpieczeństwa czy upoważnienia dla pracowników. Przy obecnych zasobach kadrowych, inspektorzy GIODO nie są w stanie objąć skutecznym systemem kontroli Administratorów Danych.
Nowa idea polega więc na tym, że zanim inspektorzy GIODO wybiorą się na czasochłonną i kosztowną dla budżetu GIODO kontrolę – najpierw poproszą ABIego o przeprowadzenie sprawdzenia i przedstawienie im sprawozdania z dokonanych czynności i zastanego stanu faktycznego.
Dopiero jeśli sprawozdanie wzbudzi niepokój inspektorów GIODO, przyjadą oni osobiście na kontrolę.
Co jeśli nie powołam ABIego?
Przepisy samej ustawy stanowią, że jeśli nie ma ABIego – to…. sprawdzenia będzie musiał realizować sam Administrator Danych. W praktyce osoby go reprezentujące: Zarząd, Dyrektor etc.). Wynika to wprost z literalnego brzmienia artykułu 36 b Ustawy:
„W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych.”
Ustawodawca, zwolnił administratora danych, który nie powołał ABIego, z obowiązku przedstawienia sprawozdania ze sprawdzenia samemu sobie.
ABI według mnie nie stanie się też „piątą kolumną GIODO”. Niezależnie od tego czy ABIm będzie pracownik czy podmiot zewnętrzny (outsourcing), to pieniądze ABI będzie otrzymywał od Administratora Danych. Czynnik finansowy z całą pewnością będzie odgrywał tu dużą rolę.
Jak dużo sprawdzeń w roku będzie trzeba wykonać?
Aktualny projekt przewiduje minimum jedno sprawdzenie w okresie 2 lat. Projekt z 18 grudnia 2014 przewidywał minimum jedno sprawdzenie rocznie. Uelastyczniono więc przepisy w tej materii.
Dodatkowo sprawdzenia będą wykonywane na żądanie GIODO w terminie i zakresie przewidzianym przez inspektorów.
Nadal pewne wątpliwości budzi to czy GIODO może zażądać wykonania sprawdzenia od administratora danych, który nie wyznaczył ABIego.
W zamyśle ustawodawcy, wyznaczenie ABIego, ma dać możliwość uniknięcia kontroli.
Zamiast przez GIODO, administrator danych zostanie sprawdzony przez swojego ABIego. Dopiero jeśli sprawozdanie ze sprawdzenia będzie budziło wątpliwości, inspektorzy skontrolują podmiot osobiście.
Sprawdzenia powinny być wykonywane również wtedy, kiedy dojdzie do incydentów związanych z ochroną danych osobowych. Przy czym będą to sprawdzenia dotyczące okoliczności zaistnienia incydentu.
Kiedy w końcu Rozporządzenie zostanie podpisane przez Ministra?
Proces legislacyjny wyraźnie przyspieszył. W dniu 12 lutego odbyła się konferencja uzgodnieniowa, na której podmioty opiniujące wcześniejszy projekt z 18 grudnia, zgłaszały swoje uwagi. W kręgu instytucji, które zdecydowały się na zgłoszenie swoich wątpliwości do projektu znalazły się m.in. Ministerstwo Finansów, Ministerstwo Spraw Wewnętrznych, Kancelaria Prezydenta RP, NSA, Lewiatan, Stowarzyszenie Administratorów Bezpieczeństwa Informacji czy w końcu sam Generalny Inspektor Ochrony Danych Osobowych. Tym samym uwag do projektu było bardzo dużo. Na tyle dużo, że powstał nowy projekt – tym razem datowany dniem 4 marca.
Podsumowanie
Sprawdzenia oraz sprawozdania ze sprawdzeń zostaną szczegółowo uregulowane w drodze Rozporządzenia. Ta kwestia jest przesądzona.
Natomiast wciąż bazujemy jedynie na projekcie Rozporządzenia. Najnowszy projekt, uwzględniający uwagi zgłoszone podczas konferencji uznaniowej, pochodzi z dnia 4 marca 2015 r..
W związku z tym, że projekt Rozporządzenia nie został podpisany przez Ministra, nie ma on oczywiście mocy prawnej. Dlatego na dzień dzisiejszy sprawdzenia i sprawozdania wciąż nie są obligatoryjne.
Część nowelizacji dotycząca sprawdzeń i sprawozdań, budzi najmniej moich wątpliwości. Idea jest słuszna. Miejmy nadzieję, że nie zostanie wypaczona nadmiernym formalizmem lub niejasnością zapisów.
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.