Q&A| Pozycja ABI w projekcie Rozporządzenia Komisji UE oraz projekcie nowelizacji ustawy

Pytanie 1:
Czy zadania i obowiązki administratora bezpieczeństwa informacji ulegną zmianie po wejściu w życie nowelizacji ustawy o ochronie danych osobowych?
Odpowiedź:
Pozycja osoby pełniącej funkcję administratora bezpieczeństwa informacji ulegnie znacznej zmianie. Powyższe wynika z przedstawionego przez Ministerstwo Gospodarki projektu założeń do projektu tzw. trzeciej ustawy deregulacyjnej, w ramach której zaproponowano m.in. wprowadzenie zmian w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm, zwanej dalej „Ustawą”).
Projekt nowelizacji zakłada następujące zmiany dotyczące statusu osoby pełniącej funkcję administratora bezpieczeństwa informacji (ABI). Generalny Inspektor może zwrócić się do ABI wpisanego do rejestru ABI o przeprowadzenie czynności polegających na sprawdzeniu zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Z kontroli takiej ABI, zgodnie z Projektem, obowiązany przygotować sprawozdanie, które zawierać będzie m.in. informacje o wykrytych w toku kontroli naruszeniach przepisów o ochronie danych osobowych.
Projekt doprecyzowuje również katalog obowiązków ciążących na ABI. Zgodnie z art. 36a ust. 2 Projektu, ABI powinien zapewniać stosowanie przepisów o ochronie danych osobowych (poprzez prowadzenie czynności kontrolnych, sporządzania sprawozdań z kontroli, opracowanie i aktualizowanie dokumentacji, szkolenie osób upoważnionych do przetwarzania danych osobowych). Kolejnym nowym zadaniem ABI będzie zgodnie z art. 36a ust. 2 Projektu prowadzenie jawnego rejestru zbiorów danych osobowych zawierającego informacje określone w art. 41 ust. 1 pkt. 1-4a i 7 Ustawy.

Pytanie 2:
Rejestr ABI? Zbędna formalność czy konieczność?
Odpowiedź:
W aktualnym stanie prawnym administrator danych nie ma obowiązku informowania GIODO o powołaniu ABI. Dzieje się tak tylko i wyłącznie podczas procedury rejestracji zbioru danych w GIODO, w toku której, administrator zobowiązany jest poinformować GIODO czy powołał ABI w swojej organizacji. Informacja taka jest jednak pozbawiona danych personalnych ABI i dotyczy jedynie faktu jego powołania.
Art. 46b ust. 4 Projektu przewiduje obowiązek prowadzenia rejestru osób pełniących funkcję administratorów bezpieczeństwa informacji przez GIODO. Rejestr ma być jawny i obejmować swoim zasięgiem cały kraj. Rejestr będzie zawierał m.in. następujące informacje dotyczące ABI: imię i nazwisko, numer PESEL lub numer i serię dokumentu stwierdzającego tożsamość, adres do korespondencji, adres poczty elektronicznej, datę powołania i oświadczenie administratora danych o spełnieniu przez ABI warunków określonych w art. 36a ust. 4 Projektu.
Zgodnie z kolei art. 46b ust. 1 Projektu, administrator danych będzie zobowiązany do zgłoszenia do rejestracji GIODO powołania i odwołania ABI oraz zmianę informacji objętych zgłoszeniem. Projekt przewiduje 14 dniowy termin na zgłoszenie przez administratora danych faktu powołania ABI, jego odwołania lub zmiany informacji objętych zgłoszeniem.
Wydaje się, że uzasadnieniem wprowadzenia rejestru ABI jest fakt powiązania powołania ABI przez administratora danych ze zwolnieniem go z obowiązku rejestracji zbiorów danych osobowych. Wzmocnienie uprawnień ABI i silne powiązanie go z organem kontroli stanu ochrony danych osobowych ma na celu usprawnienie działania krajowego systemu ochrony danych osobowych. Skoro zatem np. ABI będzie mógł prowadzić na zlecenie GIODO audyt stanu zgodności działania organizacji w której pełni swoją funkcję, to niezbędne wydaje się umożliwienie GIODO sprawowania kontroli nad tym kto pełni funkcję ABI w danej organizacji. Intencje autorów Projektu w omawianym zakresie dobrze oddaje niniejszy fragment z uzasadnienia Projektu: „System rejestracji administratorów bezpieczeństwa informacji ma w prosty sposób zapewnić kontrolę, czy administrator danych faktycznie spełnił warunki niezbędne do zwolnienia go z obowiązku rejestracyjnego. Jednocześnie, tak jak system rejestracji zbiorów danych osobowych, poprzez jawność danych zawartych w rejestrze będzie wypełniał, zgodnie z przepisami dyrektywy, postulat transparentności operacji przetwarzania danych osobowych”.

Pytanie 3:
Czy powołanie inspektora ochrony danych po wejściu w życie projektu rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych, które zastąpi dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. będzie obowiązkowe?
Odpowiedź:
Rozporządzenie nie posługuje się terminem administratora bezpieczeństwa informacji i zamiast niego wprowadza funkcję inspektora ochrony danych (dalej Inspektora). Analiza Rozporządzenia prowadzi do wniosku, że nie jest to zmiana jedynie językowa. Pozycja i obowiązki Inspektora znacznie różnią się od funkcjonującej na mocy Ustawy instytucji ABI. Rozporządzenie przewiduje obowiązek powołania Inspektora przez administratora danych, ale nie zawsze, a tylko w ściśle określonych przypadkach. Zgodnie z aktualnym stanem prawnym, powołanie ABI to suwerenna decyzja administratora. Oczywiście w praktyce powołanie ABI jest zazwyczaj pożądane a jego obecność przekłada się na istotne zwiększenie poziomu ochrony danych osobowych. W praktyce zdarza się, że administratorzy danych nie przykładający większej uwagi obszarowi ochrony danych osobowych, rezygnują powołania osoby na stanowisko ABI. Analiza rejestru zgłoszonych w GIODO zbiorów danych osobowych prowadzi jednak do optymistycznego wniosku, że większość administratorów danych widzi sens w powołaniu ABI i zgłasza zbiory danych wskazując, że ABI został wyznaczony w organizacji.
Rozporządzenie przewiduje obowiązek powołania ABI w sytuacji, gdy przetwarzania danych dokonuje organ lub podmiot publiczny (art. 35 ust. 1 lit. A Rozporządzenia). Rozporządzenie nie definiuje pojęcia organu lub podmiotu publicznego. Można tutaj jako przykład np. wskazać definicję zawartą w art. 2 pkt 1 ustawy z dnia 19 grudnia 2008 r. o partnerstwie publiczno-prywatnym, gdzie pojęcie podmiotu publicznego powiązane zostało z jednostkami sektora finansów publicznych w rozumieniu przepisów o finansach publicznych
Kolejna przesłanka, której wypełnienie rodzi według Rozporządzenia obowiązek powołania w organizacji Inspektora powiązana jest z ilością osób zatrudnionych w przedsiębiorstwie. Zgodnie z art. 35 ust. 1 lit. b Rozporządzenia, Inspektora należy wyznaczyć, jeżeli przetwarzania dokonuje przedsiębiorstwo zatrudniające 250 osób lub więcej. Widać tutaj częściowy związek z ustawą z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej, która definiuje pojęcia mikroprzedsiębiorcy, małego przedsiębiorcy i średniego przedsiębiorcy. Z analizy art. 104-106 ww. ustawy wynika, że obowiązek powołania Inspektora dotyczyć będzie podmiotów, które zgodnie z ustawą nie posiadają statusu mikroprzedsiębiorcy, małego przedsiębiorcy i średniego przedsiębiorcy.
Ostatnim przypadkiem kiedy powołanie Inspektora jest obowiązkowe to sytuacja, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych. Pierwszy wniosek, który się nasuwa, to że mamy do czynienia z regulacją nieostrą. Pojawia się zatem problem, kiedy będziemy mogli uznać, że:
1. główna działalność polega na operacjach przetwarzania danych,
2. charakter, zakres lub cele głównej działalności wymagają regularnego i systematycznego monitorowania.
Wytyczną co do interpretacji ww. przesłanek możemy znaleźć we wstępie do Rozporządzenia, gdzie stwierdzono, iż „jeśli główna działalność przedsiębiorstwa, niezależnie od jego wielkości, obejmuje operacje przetwarzania, które wymagają regularnego i systematycznego monitorowania, osoba trzecia powinna wspomagać administratora lub podmiot przetwarzający w monitorowaniu zgodności, na poziomie wewnętrznym, z niniejszym rozporządzeniem. Taki inspektor ochrony danych, który może być pracownikiem administratora, powinien być w stanie niezależnie wykonywać swoje obowiązki i zadania”. Powyższe wskazuje na to, że obowiązek wyznaczenia Inspektora pojawi się wtedy, kiedy będzie można uznać, iż bez powołania takiej osoby, poziom ochrony danych osobowych będzie na niezadowalającym z punktu widzenia Rozporządzenia stopniu.
Pewnym ułatwieniem dla administratorów danych jest przewidziana w określonych sytuacjach przez Rozporządzenie możliwość powołania jednego Inspektora na rzecz kilku podmiotów. Taka regulacja została zawarta np. w art. 36 ust. 2 – 4 Rozporządzenia.

Tomasz Osiej – radca prawny

Piotr Janiszewski – aplikant radcowski

About Tomasz Osiej 9 Articles
Radca Prawny, Europejski Rzecznik Patentowy - specjalista z zakresu ochrony danych osobowych oraz Prawa Własności Przemysłowej. Absolwent Wydziału Prawa i Administracji Uniwersytetu Warszawskiego oraz Podyplomowego Studium Prawa Własności Przemysłowej (Instytut Prawa Własności Intelektualnej) na Uniwersytecie Jagiellońskim. Przygodę z ochroną danych rozpoczął w 1998 roku od pracy w Departamencie Prawnym Biura Generalnego Inspektora Ochrony Danych Osobowych. Obecnie prowadzi własną Kancelarię www.kancelariaosiej.pl Współautor (redaktor) książek "Ochrona danych osobowych w praktyce - pytania i odpowiedzi", „Ochrona danych osobowych – wybór zagadnień”, opracowania "Ochrona danych osobowych po wejściu do Unii Europejskiej” oraz artykułów w prasie branżowej. Od 1999 r. przeprowadza audyty, prowadzi otwarte jak i zamknięte szkolenia, występuje na konferencjach.