Österreich
Secure Your Business
 

EWOLUCJA CZY REWOLUCJA? NOWELIZACJA USTAWY O OCHRONIE DANYCH OSOBOWYCH

 

ewolucja

 

W dniu 24 listopada 2014r. Prezydent RP podpisał ustawę o ułatwieniu wykonywania działalności gospodarczej, która w znacznym stopniu zmienia przepisy dotyczące ochrony danych osobowych obowiązujące przedsiębiorców. Ustawa, z niewielkimi wyjątkami, weszła w życie 1 stycznia 2015r.

 

Wśród wartości funkcjonujących w świadomości Polaków jedno z pierwszych miejsc zajmuje potrzeba prywatności i wynikająca z niej konieczność ochrony danych osobowych. Jeśli przeprowadzilibyśmy sondaż wśród społeczeństwa, to wyszłoby nam, że ludzie posiadają dużą świadomość, że ochrona ich prywatności jest ważną rzeczą. Z drugiej jednak strony codziennie możemy obserwować niezliczoną ilość informacji jaką ludzie przekazują o sobie, swoich rodzinach, przyjaciołach i nieprzyjaciołach, np. publikując te informacje na różnego rodzaju portalach społecznościowych.


Według Generalnego Inspektora Danych Osobowych dr Wojciecha Rafała Wiewiórowskiego starsze pokolenie Polaków jest przyzwyczajona do faktu, iż władza ,,obraca" ich danymi osobowymi między swoimi instytucjami. Zupełnie inaczej sprawa wygląda w przypadku młodych ludzi, którzy przywiązują dużo mniejszą uwagę do ochrony prywatności. Dr Wiewiórowski (podczas rozmowy z portalem polskieradio.pl) podkreślił, że mimo tych rozbieżności prywatność nie przestała być wartością, którą należy chronić. Problem natomiast stanowi nie czytanie przez Polaków umów które zawierają oraz zbyt chętne udzielanie informacji przez telefon. Pamiętać należy, iż ochrona danych to nie tylko kwestia ich wycieków, ale sposobu innego wykorzystania niż się wcześniej na to zgodziliśmy.


W tym miejscu chciałabym przytoczyć słowa wypowiedziane przez Generalnego Inspektora, które trafnie puentują podejście Polaków do ochrony swojej prywatności: ,,Trochę tak jest, ze nie wiemy kto mieszka w naszym bloku, z drugiej jednak strony sami niechętnie dzielimy się informacjami na ten temat i traktujemy listę lokatorów jako informacje o charakterze poufnym".


Choć dane osobowe stanowią wiedzę o naszym życiu prywatnym, są także elementem obiegu gospodarczego. Coraz więcej instytucji z jakimi mamy do czynienia potrzebuje informacji zawierających dane. Ponadto większość z nich to korporacje, czyli instytucje o charakterze globalnym. Taka sytuacja nie powinna jednak stanowić zmartwienia dla przeciętnego obywatela, gdyż gospodarka rynkowa i twarde prawa konkurencji tworzą wymóg zaufania do instytucji, firmy czy marki. Coraz częściej nagłaśniane są sytuacje / incydenty związane z utratą danych osobowych i innych danych co stawia daną instytucję czy firmę w kompromitującej sytuacji w oczach opinii publicznej i konkurencji. Dodatkowo niezależnie od tego czy mamy do czynienia z uczelnią, lecznicą, bankiem, pocztą, firmą ubezpieczeniową, instytucją samorządową lub rządową czy naszym miejscem pracy, w momencie wejścia z nimi w interakcję posiadamy silne mechanizmy ochrony danych osobowych należące do ww. instytucji. Konstytucja, Ustawa o ochronie danych osobowych oraz Główny Instytut Danych Osobowych tworzą parasol przepisów ochronnych dla danych osobowych, które muszą być zgodnie z polskim prawem wykonywane przez przedsiębiorstwa i instytucje.


Odpowiedzialność prawna wynikająca z naruszenia ochrony danych osobowych w polskim systemie prawnym niesie za sobą nie tylko konsekwencje takie jak mandaty i kontrole GIODO, ale także konsekwencje finansowe mogące wynikać np. z zbiorowych i indywidualnych pozwów klientów lub pracowników firmy zaniedbującej prawo w tym obszarze.


Tak więc wobec poszanowania praw i oczekiwań pracowników i klientów, a także wobec realnej konkurencji oraz wzrostu jakości pracy i usług, ważne jest aby przedsiębiorstwa i instytucje skutecznie opanowały cały zakres ochrony danych osobowych. Dlatego też wychodząc na przeciw podmiotom gospodarczym działającym na rynku polskim dokonano nowelizacji ustawy o ułatwieniu wykonywania działalności gospodarczej, która w znacznym stopniu zmienia zasady ochrony danych osobowych obowiązujące przedsiębiorców.

 

Co nowego?

 

Po pierwsze ustawa o ochronie danych osobowych w nowym kształcie przewiduje prowadzenie jawnego rejestru zbioru danych przetwarzanych przez administratora danych, zawierającego nazwę zbioru oraz informacje określone w art. 41 ust. 1 pkt 2-4a i 7. Nowością w tym przypadku jest także to, iż w wielu przypadkach to administrator danych osobowych będzie odpowiadał za prowadzenie rejestru zbiorów danych, a nie jak dotychczas GIODO.


Po drugie rozszerzono dotychczasowy katalog zwolnień z obowiązku rejestracji. Zgodnie z art. 43 ust. 1 ustawy, zwolnienia z obowiązku zgłaszania zbioru danych do rejestru prowadzonego przez GIODO obejmują 11 przypadków. Od 1 stycznia 2015r. katalog ten jest szerszy - wprowadzono kolejne zwolnienie obejmujące zbiory prowadzone bez wykorzystania systemów informatycznych,
w których nie są przetwarzane dane wrażliwe.


Trzecia zmiana, a zarazem najważniejsza dotyczy funkcji administratora bezpieczeństwa informacji (ABI). Zmiany obejmują m.in. kwestie powołania ABI, jego kompetencji, zakres zadań oraz sposób rejestracji.

 

ABI

 

Czy utrzymano obowiązek wyznaczania ABI'ego?

 

Nowa ustawa powoduje, że każdy przedsiębiorca lub instytucja powinna rozważyć czy chce powołać administratora bezpieczeństwa informacji. Dotyczy to również organizacji, które wcześniej powołały już ABI. Zmiana regulacji jest bowiem na tyle istotna, że dotychczasowi ABI mogą pełnić swoje funkcje tylko do 30 czerwca 2015r.


Organizacje mają dwie możliwości, które niosą za sobą określone obowiązki i korzyści:

 

1. Powołać ABI:

  • konieczne będzie zarejestrowanie nowego administratora bezpieczeństwa informacji w rejestrze prowadzonym przez GIODO,
  • przedsiębiorca będzie zwolniony z konieczności rejestracji zbiorów danych osobowych w GIODO,
  • zbiory danych osobowych organizacji będą rejestrowane przez ABI,
  • Administrator bezpieczeństwa informacji będzie mógł być zobowiązany do przeprowadzania kontroli przedsiębiorcy lub instytucji na zlecenie GIODO.

2. Nie powoływać ABI:

  • nie będzie musiał rejestrować ABI w GIODO,
  • przedsiębiorca będzie zobowiązany do rejestracji zbiorów danych w GIODO,
  • kontrolę przedsiębiorcy lub instytucji prowadzić będą pracownicy GIODO,
  • funkcję ABI pełnić będzie administrator danych czyli Zarząd spółki lub kierownictwo instytucji, co oznacza że będzie ono odpowiedzialne m.in. za wdrożenie dokumentacji ochrony danych osobowych, przeszkolenie pracowników, prowadzenie auditów kontrolnych oraz prowadzenie rejestru zbioru danych.

Kto może zostać ABI?

 

Nowe przepisy wyraźnie wskazują, że powołanie ABI jest uprawnieniem, a nie obowiązkiem administratora. Dotychczas każdy mógł zostać wyznaczony do pełnienia funkcji ABI, jednakże nowelizacja wprowadziła pierwsze wytyczne dotyczące kwalifikacji osób pełniących tą funkcję. Zgodnie z art. 36a ust. 5 administratorem bezpieczeństwa informacji może zostać osoba, która:

  • posiada pełną zdolność do czynności prawnych oraz korzysta w pełni z praw publicznych,
  • nie była karana za umyślne przestępstwo,
  • posiada odpowiednią wiedzę w zakresie ochrony danych osobowych.

Ze względu na ogólność powyższych wytycznych, w przypadku jakichkolwiek wątpliwości, każdorazowo GIODO bądź sąd oceni, czy powołana na stanowisko ABI osoba posiadała ku temu odpowiednie kwalifikacje.


Ponadto nowelizacja przepisów nie wyklucza outsourcingu ABI, ponieważ GIODO od dawna postuluje, aby osoby pełniące funkcję ABI były niezależne i obiektywne. Zdaniem ekspertów przygotowujących ustawę oraz GIODO, outsourcing ABI daje większą gwarancję niezależności niż pełnienie tej funkcji przez pracownika zatrudnionego na umowę o pracę.

Czy ABI otrzymał nowe obowiązki?

Tak. Nowe przepisy określają szczegółowy zakres zadań administratora bezpieczeństwa informacji. Te obowiązki to przede wszystkim tzw. sprawdzenie zgodności przetwarzania danych osobowych
z przepisami o ochronie danych osobowych. W ramach tego nadzoru ABI jest zobowiązany do:

  • nadzorowania opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki ich ochrony i przestrzegania zasad w niej określonych,
  • sprawdzania zgodności przetwarzania danych osobowych z przepisami zawartymi w ustawie o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  • szkolenie osób upoważnionych do przetwarzania danych osobowych w zakresie przepisówo ochronie danych osobowych.

Nowy administrator bezpieczeństwa informacji jest także zobowiązany podczas prowadzenia kontroli na rzecz GIODO, do ustalenia stanu faktycznego i zebrania dowodów potwierdzających ustalone przez niego fakty. ABI może również żądać od wskazanych osób przekazania niezbędnych informacji oraz przeprowadzać oględziny. Z przeprowadzonych kontroli, administrator bezpieczeństwa informacji zobowiązany jest do sporządzenia protokołów/sprawozdań, które następnie przekazywane będą do administratorów danych. Kolejnym obowiązkiem administratora bezpieczeństwa informacji będzie prowadzenie rejestru zbioru danych przetwarzanych przez administratora danych, z wyjątkiem tych podlegających zwolnieniu. Rejestr prowadzony przez ABI powinien być jawny i każdy ma prawo go przeglądać.


Ponadto ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej, w której sprawuje nadzór nad danymi osobowymi. Nowa ustawa przewiduje możliwość powołania zastępców administratora bezpieczeństwa informacji oraz zezwala aby ABI mógł wykonywać również inne obowiązki z zastrzeżeniem, iż nie mogą one naruszać prawidłowego wykonywania jego podstawowych zadań.

 

Jak zarejestrować ABI?


Administratorzy bezpieczeństwa informacji wpisywani będą do specjalnego rejestru prowadzonego przez Generalny Inspektorat Ochrony Danych Osobowych. Powołanie lub odwołanie administratora bezpieczeństwa informacji będzie trzeba zgłosić w terminie 30 dni. Zgłoszenie powinno zawierać:

  • oznaczenie administratora danych (czyli spółki, która prowadzi rejestr danych osobowych)
  • dane administratora bezpieczeństwa informacji (imię i nazwisko, PESEL)
  • datę powołania administratora bezpieczeństwa informacji
  • oświadczenie administratora bezpieczeństwa informacji o pełnej zdolności do czynności prawnych, posiadaniu odpowiedniej wiedzy i niekaralności z umyślne przestępstwo.

W przypadku zmiany danych o ABI, przedsiębiorca jest zobowiązany do poinformowania GIODO w terminie 14 dni. Rejestr administratorów bezpieczeństwa informacji jest jawny, a zaświadczenie o zarejestrowaniu ABI, będzie wydawany na żądanie przedsiębiorcy, po uiszczeniu stosownej opłaty.
GIODO może wydać decyzję o wykreśleniu ABI z rejestru, jeżeli okaże się, że:

  • nie prowadzi rejestru zbiorów,
  • nie spełnia warunków wskazanych w oświadczeniu
  • administrator danych nie zgłosił do GIODO odwołania ABI.

W przypadku wykreślenia administratora bezpieczeństwa informacji z rejestru, administrator danych traci prawo do niezgłaszania zbiorów danych do GIODO.


Należy również pamiętać, że ABI powinien zostać odwołany przez przedsiębiorcę ze stanowiska w przypadku gdy przestaje spełniać wymogi: niekaralności, czy został pozbawiony zdolności do czynności prawnych. Z tego względu, właściwym wydaje się, aby wprowadzić wymóg cyklicznego odbierania oświadczenia od ABI o wypełnianiu ww. wymogów, lub wskazać obowiązek informowania przedsiębiorcy w przypadku utraty uprawnień do pełnienia funkcji ABI.

 

dane

 

Rejestr zbiorów danych na nowo

Jak pisałam powyżej, dzięki powołaniu administratora bezpieczeństwa informacji, przedsiębiorca nie będzie już zobowiązany do zgłaszania zbiorów danych osobowych do rejestru prowadzonego przez GIODO. Zamiast tego, to ABI będzie zobowiązany prowadzić taki rejestr stosownie go opisując.


Nowością jest to, iż obowiązek rejestracji nie dotyczy zbiorów prowadzonych w sposób pisemny (nie korzystając z systemów informatycznych). Wyjątek ten nie dotyczy jednak zbiorów zawierających dane wrażliwe tj. mówiących m.in. o: poglądach politycznych, stanie zdrowia, pochodzeniu rasowym lub etnicznym, przynależności wyznaniowej, partyjnej czy związkowej.


Prowadzony przez administratora bezpieczeństwa informacji rejestr musi zawierać, dla każdego zbioru danych osobowych informacje m.in. o: celu przetwarzania, podstawie prawnej, kategorii osób, zakresie przetwarzania danych, sposobie ich zbierania i udostępniania, odbiorcach danych oraz transferze do państw trzecich.

 

Eksport danych do Państwa trzeciego

Wiele podmiotów gospodarczych coraz częściej działa poza Europejskim Obszarem Gospodarczym na rynkach państw trzecich. Dane przekazywane są np. do Stanów Zjednoczonych czy Indii. Nowe przepisy decydują, że nie będzie konieczne uzyskiwanie każdorazowej zgody na taką operację ze strony GIODO. Nowelizacja przewiduje dwie dodatkowe furtki umożliwiające eksport danych. Pierwsza z nich to podpisanie tzw. Standardowych klauzul umownych. Druga alternatywa to zastosowanie przy przekazywaniu danych tzw. Wiążących reguł kooperacyjnych, czyli ogólnych zasad przetwarzania danych osobowych obowiązujących w danej spółce czy grupie kapitałowej. Przy czym, w tej sytuacji znów konieczne jest wydanie stosownej akceptacji przez GIODO. Ułatwieniem jest fakt, że jedna decyzja akceptująca powinna wystarczyć do zalegalizowania różnych procesów wykonywanych na danych osobowych.

 

Co nowelizacja oznacza w praktyce?

 

Warto zaznaczyć, iż wyżej opisane zmiany nie są rewolucyjne, ale do takiej rewolucji mogą prowadzić. Na pewno są pierwszym krokiem dostosowawczym do nowych przepisów unijnych, których wprowadzenie Parlament Europejski i Rada Europejska przewidują na połowę bieżącego roku. Nowe jednolite prawo dla wszystkich państw członkowskich będzie mówić o tym, że wszystkie instytucje będą zobowiązane do posiadania Inspektora Danych Osobowych, czyli naszego ABI.


Ponadto nowelizacja podkreśla rolę ABI'ego i to jest zmiana najistotniejsza, gdyż docelowo GIODO w ten sposób chce zwiększyć swoje możliwości kontrolowania administratorów danych osobowych. Urzędnicy GIODO mogą zlecać wykonanie kontroli ABI'emu, jednakże dokonanie przez niego sprawdzenia nie wyłącza kompetencji GIODO w tym zakresie. Kontrola wykonywana przez ABIego określana została mianem ,,uproszczonej” i dopuszczalna jest jedynie uznaniowo, co nie wyklucza możliwości późniejszego przeprowadzenia kontroli właściwej przez GIODO.


Z cała pewnością zmiany wiążą się z dodatkową pracą dla administratora bezpieczeństwa informacji. Do jego obowiązków doszła konieczność prowadzenia jawnych rejestrów danych oraz cykliczne sprawdzenia zgodne z rozporządzonymi wytycznymi. Z drugiej strony usunięto obowiązek zgłaszania zbiorów danych osobowych nie zawierających danych wrażliwych.


Oczywiście w przypadku niepowołania ABI, obowiązek zgłaszania zbiorów przez administratora danych w zasadzie pozostanie w niezmienionym kształcie. Pamiętać jednak należy, że wybór co do powołania ABI ma w zasadzie tylko administrator danych osobowych, który jest osobą fizyczną. W przypadku osób prawnych, obowiązek powołania administratora bezpieczeństwa informacji jest bezsporny.

 

Karolina Kord

Karolina Kord

Koordynator Usług Certyfikacyjnych i Szkoleniowych
CIS - Certification & Information Security Services Sp. z o. o.


 

 
 
CIS - Certification & Information Security Services Sp. z o.o. T +48 32 216 26 40 office.pl@cis-cert.com Imprint

T&C