Ochrona danych na nowych zasadach

Przygotowany przez Ministerstwo Gospodarki projekt ustawy o ułatwieniu wykonywania działalności gospodarczej (aktualnie po konsultacjach społecznych) czyli IV ustawa deregulacyjna, dotyczy również ustawy o ochronie danych osobowych (Dz.U. z 1997 r. nr 133, poz. 883 z późn. zm.). Zmiany mają swoje istotne przełożenie na funkcjonowanie przedsiębiorców, którzy w swoich strukturach zatrudniają administratorów bezpieczeństwa informacji (ABI) albo dopiero planowali takie stanowisko wyodrębnić.

Aktualnie polskie przepisy są bardzo szczątkowe w tej materii - co do zasady ograniczają się do nałożenia na administratora danych osobowych obowiązku wyznaczenia ABI (bez dookreślenia, jakim aktem, na jak długo, z jakimi kompetencjami), chyba że sam administrator danych wykonuje czynności ABI. Czynnościami tymi (znów ogólnie sformułowanymi) jest nadzorowanie przestrzegania zasad ochrony danych osobowych. Dużo bardziej bogata wykształciła się jednak praktyka w tym obszarze i wielu przedsiębiorców bardzo dobrze radziło sobie z przygotowaniem funkcji ABI-ego.

W efekcie znaczenie dla przedsiębiorców może mieć to, że nowe regulacje pozwalają na zwrócenie się przez generalnego inspektora ochrony danych osobowych (GIODO) do konkretnego administratora bezpieczeństwa informacji (wpisanego do rejestru GIODO) o dokonanie samokontroli w ramach przedsiębiorstwa, w którym dany ABI działa, skutkującej podjęciem działań naprawczych. ABI po takiej wewnętrznej, przeprowadzonej samodzielnie kontroli, będzie przedstawiał GIODO (za pośrednictwem administratora danych) sprawozdanie z wyników przeprowadzonego badania. Nie jest jednak do końca jasne, czy taka samokontrola odbywać się będzie również z respektowaniem ogólnych przepisów dotyczących kontrolowania przedsiębiorców, a uregulowanych w ustawie o swobodzie działalności gospodarczej (Dz.U. z 2004 r. nr 173, poz. 1807). Stąd pojawiające się po stronie przedsiębiorców obawy, które dotyczą również ewentualnego przerzucania kosztów - co do zasady zewnętrznych kontroli GIODO - na wewnętrzną jednostkę przedsiębiorstwa.

Wymogi dla ABI-ego

W dalszym ciągu powołanie ABI-ego będzie po stronie przedsiębiorców możliwością, a nie przymusem. Zaproponowane przez ustawodawcę rozwiązania prawne znane są m.in. z Niemiec, gdzie status ABI-ego został precyzyjnie uregulowany w ustawie o ochronie danych osobowych. Ustawodawca zaproponował warunki, jakie powinna spełniać osoba na stanowisku ABI, i są to:

wpełna zdolność do czynności prawnych oraz korzystanie z pełni praw publicznych,

wwykształcenie wyższe,

wodpowiednia wiedza w zakresie ochrony danych osobowych,

wniekaralność za przestępstwa popełnione z winy umyślnej.

Na etapie konsultacji społecznych środowiska pracodawców podnosiły, że w wielu przedsiębiorcach, w których ABI z powodzeniem funkcjonuje od lat, wymóg wyższego wykształcenia może być co najmniej kłopotliwy. Zwłaszcza że przed administratorem danych osobowych takich wymogów przecież się nie stawia, a samo wykształcenie nie musi automatycznie korespondować z wiedzą praktyczną i doświadczeniem niejednego ABI.

Może mieć zastępcę

Oprócz osobistych predyspozycji administratora bezpieczeństwa informacji doprecyzowane zostaną jego zadania. Zgodnie z projektowanymi przepisami ma to być:

wsprawdzanie zgodności przetwarzania danych osobowych z przepisami ustawy,

wnadzorowanie opracowania i aktualizacja dokumentacji dotyczącej ochrony danych osobowych,

wzapoznawanie osób upoważnionych do przetwarzania danych osobowych z przepisami ustawy,

wprowadzenie jawnego rejestru zbiorów danych osobowych przetwarzanych przez administratora danych osobowych.

To, co z pewnością ulega zmianie, to organizacyjne usytuowanie ABI-ego - według nowych przepisów ma on być podległy bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych osobowych. Dopuszczono także możliwość powołania zastępców administratora bezpieczeństwa informacji, co może mieć znaczenie w sytuacjach, gdy ABI przejściowo nie może realizować swoich zadań.

Trudno ocenić jako ułatwiające prowadzenie działalności gospodarczej regulacje dotyczące obowiązku zgłoszenia do rejestru GIODO powołania i odwołania ABI w terminie 14 dni od dnia zaistnienia tego zdarzenia. Wymogi dotyczące samego zgłoszenia są również wysokie i obligują do przekazania m.in. następujących informacji:

wimię i nazwisko ABI,

wPESEL (w razie jego braku - nazwę i numer dokumentu stwierdzającego tożsamość),

wadres do korespondencji,

woświadczenie administratora danych osobowych o spełnieniu przez ABI-ego warunków osobistych.

W razie odwołania - przedsiębiorca (administrator) będzie zobowiązany przekazać również powód rozstania się z danym ABI.

GIODO będzie prowadził ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji. W zamyśle ustawodawcy system rejestracji ma w prosty sposób zapewnić kontrolę, czy administrator danych faktycznie spełnił warunki niezbędne do zwolnienia go z obowiązku rejestracyjnego.

Co z outsourcingiem

To, co nie zostało dopowiedziane, a pod rządami dotychczasowych przepisów zostało przez praktykę usankcjonowane, to m.in. kwestia korzystania w grupach kapitałowych z ABI-ch (lub odpowiedników jak np. Data Privacy Officer) pochodzących z innych krajów, czy możliwość outsourcingu funkcji ABI - co obecnie jest praktyką powszechną.

Ustawa o ułatwianiu prowadzenia działalności gospodarczej w obszarach dotyczących administratora bezpieczeństwa informacji krzyżuje się z przygotowywaną na poziomie europejskim wielką reformą ochrony danych osobowych. Należy oczekiwać, że projektowane aktualnie w Polsce rozwiązania wkrótce mogą zostać zastąpione - zajmującym wyższą pozycję w hierarchii źródeł prawa - rozporządzeniem unijnym, kompleksowo regulującym zagadnienie ochrony danych osobowych, w tym również pozycji, roli i wymagań stawianych przed administratorem bezpieczeństwa informacji (w projekcie rozporządzenia nazywanego inspektorem ochrony danych).

Michał Kluska

adwokat w Kancelarii Olesiński & Wspólnicy