Omówienie projektu nowelizacji oraz przepisów wykonawczych z roku 2014

W dniu 24 listopada 2014r. prezydent Bronisław Komorowski podpisał IV transzę ustawy deregulacyjnej przyjętej przez Sejm w dniu 07 listopada br.

Przygotowując projekt ustawy, Ministerstwo Gospodarki, jako podmiot przygotowujący tę propozycję, uzasadniało na stronie internetowej, iż: „projekt jest kontynuacją trzech wcześniejszych inicjatyw o charakterze deregulacyjnym (…) Stanowi realizację polityki polegającej na ułatwianiu wykonywania działalności gospodarczej i redukcji zbędnych obciążeń”. Ustawa deregulacyjna w zamierzeniu projektodawcy ma dokonać zasadniczych zmian m.in. w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182), w tym w zakresie przepisów dotyczących zadań wykonywanych przez administratora bezpieczeństwa informacji (ABI), tj. określenia jego statusu, wskazania zarówno wymagań, jakie musi spełniać ABI, jak i zakresu jego obowiązków oraz odpowiedzialności. Wydaje się, że jedna z najważniejszych zmian polega  na wprowadzeniu obowiązku zgłaszania przez administratora danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) faktu powołania i odwołania ABI. GIODO zaś na podstawie otrzymanych zgłoszeń będzie prowadził ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji. Novum projektowanych regulacji w stosunku do dominującego obecnie w doktrynie i orzecznictwie stanowiska jest brak obowiązku wyznaczania administratora bezpieczeństwa informacji. W ocenie sądów administracyjnych, aktualnie każdy administrator danych winien powołać ABI, z wyjątkiem sytuacji, gdy on sam wykonuje czynności z zakresu nadzorowania bezpieczeństwa danych. Projekt zakłada natomiast dobrowolność powoływania ABI, co w przypadku rezygnacji z ustanowienia takiej funkcji, będzie się wiązało z koniecznością prowadzenia nadzoru nad przetwarzaniem danych przez samego administratora danych i rodziło dodatkowe obciążenia administracyjne, jak zgłaszanie zbiorów do rejestracji GIODO oraz ich aktualizacji. Natomiast z faktu powołania ABI ma wynikać właśnie owa zapisana w uzasadnieniu ww. ustawy redukcja zbędnych obciążeń dla przedsiębiorców. Na marginesie należy dodać, że z racji stosowania ustawy o ochronie danych osobowych nie tylko do podmiotów gospodarczych, ale również do podmiotów ze sfery publicznej (w szczególności organów państwowych i samorządowych), postulowane przez projektodawców ułatwienia będą dotyczyć również administratorów danych działających w tej sferze.
W obecnie obowiązującym stanie prawnym status administratora bezpieczeństwa informacji został określony w sposób bardzo okrojony. Ustawa o ochronie danych osobowych w art. 36 poświęca mu jedynie jeden przepis umiejscowiony w ustępie 3, wskazując, iż ABI jest wyznaczany przez administratora danych w celu nadzorowania przestrzegania zasad ochrony, o których mowa w ust. 1 wspomnianego artykułu. Przez ochronę we wskazanym zakresie rozumie się, zgodnie z ustawą, zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie przed udostępnieniem danych osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Żadne inne uregulowania rangi ustawowej nie poświęcają uwagi kwestii sposobu wykonywania tego nadzoru, w szczególności brak jest obecnie delegacji ustawowej, która wskazywałaby na konieczność doprecyzowania w akcie wykonawczym wskazanych zagadnień.
Z zupełnie inną sytuacją będziemy mieli do czynienia, po wejściu w życie nowelizacji. Projektowane przepisy, jak już wyżej wspomniano, będą dawały administratorowi danych swobodę wyboru w zakresie powołania ABI. Jeżeli do takiego powołania dojdzie, na administratorze bezpieczeństwa informacji będą ciążyć obowiązki, które podzielono na dwie kategorie. Pierwsza z nich dotyczy przestrzegania przepisów o ochronie danych osobowych, zaś należące do drugiej kategorii – prowadzenia jawnego rejestru zbiorów danych osobowych. Jeśli chodzi o zadania ABI należące do pierwszej kategorii podzielono je na następujące obowiązki: 1) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, 2) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w ustawie, oraz przestrzegania zasad w niej określonych, 3) zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Sposób realizacji zadań wskazanych w punktach 1 i 2 mają regulować przepisy aktu wykonawczego.
Tryb i sposób nowowprowadzanych zadań ABI ma regulować akt wykonawczy do ustawy o ochronie danych osobowych, w postaci rozporządzenia Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań przez administratora bezpieczeństwa informacji. Treść projektu jest dostępna na stronie o adresie: http://legislacja.rcl.gov.pl/docs//2/181358/181400/dokument118773.pdf (str. 189 i następne). W przygotowywanym projekcie rozporządzenia Ministra Administracji i Cyfryzacji zakłada się, że wejdzie ono w życie 1 stycznia 2015 r.
W uzasadnieniu projektu rozporządzenia wskazano, że „w dotychczasowych przepisach ustawy o ochronie danych osobowych przewidywano jedynie obowiązek nadzorowania przez administratora bezpieczeństwa informacji przestrzegania zasad ochrony, o których mowa w art. 36 ust. 1. Nie wspominano natomiast o konieczności dokonywania konkretnych działań. W związku z wprowadzeniem nowych obowiązków, zaistniała konieczność uregulowania trybu i sposobu ich realizacji”.
Aby móc przejść do omówienia określonych w projektowanym rozporządzeniu wymogów, jakie ABI będą musieli wypełniać, należy zwrócić bardziej szczegółowo uwagę na jedno z zadań ABI, które wprowadzają nowe przepisy. ABI będzie (m. in. na zlecenie GIODO) dokonywał sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych u administratora danych, który go powołał, a następnie będzie przedstawiał sprawozdanie administratorowi danych lub GIODO za pośrednictwem administratora danych, jeżeli wykonywał sprawdzenie na zlecenie GIODO. Zgodnie z założeniami projektodawcy, sprawdzenie przeprowadzone przez ABI będzie miało charakter kontroli wewnętrznej u administratora danych, a zatem powstałe w jego wyniku sprawozdanie będzie dokumentem wewnętrznym administratora danych. Zawartość sprawozdania, tzn. niezbędne elementy, które powinno zawierać, ustawodawca określił w art. 36c ustawy o ułatwieniu wykonywania działalności gospodarczej. Z uzasadnienia projektu wzmiankowanej ustawy wynika, że „GIODO, ze względu na niezależną kompetencję kontrolną ABI, mógłby powierzyć mu wykonywanie czynności polegających na sprawdzeniu zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Stanowiłoby to istotne odciążenie dla administratorów danych (w tym przedsiębiorców) w stosunku do stanu aktualnego, w którym w każdym wymagającym tego przypadku (np. skargi osoby trzeciej) podlegają oni bezpośredniej kontroli GIODO. Kontrola wykonywana przez ABI w żaden sposób nie naruszy kompetencji GIODO, który jedynie uznaniowo dopuszcza uproszczoną kontrolę i nie jest ograniczony w możliwości jej późniejszego przeprowadzenia.”
Stosownie do nowoprojektowanych przepisów GIODO będzie więc mógł zwrócić się do ABI o dokonanie sprawdzenia u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia; sprawdzenie będzie również dokonywane przez ABI, nawet jeżeli GIODO nie wystąpi o jego przeprowadzenie. Na podstawie dokonanego sprawdzenia ABI będzie sporządzał sprawozdanie, którego obowiązkowe elementy będą wynikać z ustawy. Natomiast sposób i tryb dokonywania sprawdzenia określą przepisy rozporządzenia wykonawczego. Ponadto będą one również regulowały zasady nadzorowania przez administratora bezpieczeństwa informacji opracowywania i aktualizowania dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki zastosowane do ich zabezpieczenia (obecnie uregulowane jest to w art. 36 ust. 2 ustawy) oraz przestrzegania zasad w niej określonych.
Poza dokonywaniem sprawdzeń na zlecenie GIODO, planowane jest dokonywanie ich cyklicznie na podstawie rocznego programu sprawdzeń (opracowanego przez administratora bezpieczeństwa informacji i przedkładanego do zatwierdzenia administratorowi danych), a także doraźnie, jeżeli administrator bezpieczeństwa informacji uzyska informacje wskazujące na występowanie istotnych zagrożeń naruszenia ochrony danych osobowych, w szczególności bezpieczeństwa tych danych. Będzie zatem obowiązek opracowania rocznego programu sprawdzeń określającego zakres zagadnień, które będą podlegać sprawdzeniu w danym roku kalendarzowym, a także – jeżeli sprawdzenie będzie miało charakter doraźny – program wskazujący przyczynę jego dokonania oraz zakres zagadnień, które będą podlegać sprawdzeniu.
Z pomocą administratorowi bezpieczeństwa informacji przychodzi przepis projektowanego Rozporządzenia w sprawie trybu i sposobu realizacji zadań przez administratora bezpieczeństwa informacji, który precyzyjnie wskazuje, jakie elementy w szczególności sprawdzenie powinno zawierać – w zależności od zakresu sprawdzenia oraz od zastosowanych narzędzi, metod i rodzajów przetwarzania – a mianowicie:
1) zasady przetwarzania danych osobowych, o których mowa w rozdziale 3 ustawy;
2) realizację obowiązków w zakresie udzielania informacji osobom, których dane dotyczą;
3) realizację obowiązków dotyczących zgłoszenia zbiorów danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych;
4) zasady przekazywania danych osobowych do państwa trzeciego;
5) sposób zabezpieczenia danych osobowych, a w szczególności:
a) zasady przechowywania danych przetwarzanych w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych,
b) mechanizmy kontroli dostępu do danych przetwarzanych w systemach informatycznych,
c) zastosowane środki ochrony danych osobowych przed utratą na skutek awarii systemu informatycznego, w tym zasilania w energię elektryczną,
d) zastosowane zabezpieczenia przed zagrożeniami pochodzącymi z sieci publicznej,
e) zastosowane zabezpieczenia przed zagrożeniami pochodzącymi z wewnętrznej sieci jednostki organizacyjnej, w tym rozliczalność wykonywanych operacji,
f) środki zapewniające poufność danych osobowych przesyłanych przy wykorzystaniu sieci publicznej oraz lokalnych urządzeń bezprzewodowych,
g) środki zapewniające poufność danych osobowych przetwarzanych przy wykorzystaniu elektronicznych przenośnych nośników informacji,
h) funkcjonalności zastosowane w systemach informatycznych w zakresie realizacji wymogów wynikających z przepisów o ochronie danych osobowych,
i) sposób zabezpieczenia danych przez podmiot, któremu administrator danych powierzył przetwarzanie danych osobowych;
Rozporządzenie ma również wskazywać w jaki sposób powinno dokonywać się sprawdzenia, tj. jakie czynności powinny być wykonywane oraz w oparciu o jakie dowody. I tak: dowodami są w szczególności dokumenty, oględziny, pisemne lub ustne wyjaśnienia oraz utrwalone stany konfiguracji technicznych środków bezpieczeństwa. W przypadku sporządzania kopii, odpisów lub wyciągów z dokumentów, administrator bezpieczeństwa informacji ma potwierdzać ich zgodność z oryginałami. W ramach sprawdzenia administrator bezpieczeństwa informacji będzie mógł żądać udzielenia, w wyznaczonym przez niego terminie, ustnych lub pisemnych wyjaśnień od wskazanych przez niego osób. W razie potrzeby administrator bezpieczeństwa informacji będzie mógł również przeprowadzić oględziny (oględziny przeprowadza się w obecności kierownika jednostki organizacyjnej lub osoby przez niego upoważnionej; przebieg oględzin można utrwalić za pomocą urządzeń rejestrujących dźwięk lub obraz). Z przebiegu oględzin oraz z przyjęcia ustnych wyjaśnień lub oświadczeń będzie sporządzany protokół. Rozporządzenie określi szczegółowo wszystkie niezbędne elementy protokołu.
Przepisy rozporządzenia będą wymagać, aby sprawozdanie było sporządzane niezwłocznie, nie później niż w terminie 14 dni od dnia zakończenia sprawdzenia i przekazane do zapoznania się administratorowi danych. Administrator danych będzie mógł w terminie 7 dni wnieść uwagi lub zastrzeżenia do sprawozdania.
Ponadto z projektu rozporządzenia dowiadujemy się, że od ABI będzie wymagane monitorowanie na bieżąco zaplanowanych procesów przetwarzania danych osobowych w celu stwierdzenia konieczności opracowania dokumentacji w tym zakresie oraz aktualności tej dokumentacji (aktualizacja będzie miała być wykonana w terminie 7 dni od dnia wystąpienia zmiany stanu faktycznego w procesie przetwarzania danych osobowych). Dokumentacja będzie wymagała zatwierdzenia przez administratora danych w celu jej wdrożenia. Administrator bezpieczeństwa informacji będzie miał za zadanie nadzorowanie na bieżąco przestrzegania zasad określonych w dokumentacji. W przypadku stwierdzenia naruszenia zasad określonych w dokumentacji, ABI będzie sporządzał raport zawierający zakres naruszenia oraz propozycje sposobu jego usunięcia i przedstawiał administratorowi danych.

Wiedząc jak wygląda projekt przepisów, który w zasadzie jest na etapie finalnym, należy na bieżąco śledzić zmiany, co zamierzamy Państwu ułatwiać opisując w kolejnych artykułach nowe instytucje oraz skutki ich zastosowania.

About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.