Ułatwienia dla GIODO, a nie dla przedsiębiorców

Margaret Thatcher powiedziała kiedyś, że "Być potężnym - to tak samo jak być damą. Jeśli musisz zapewniać, że nią jesteś - to nie jesteś". Tę zasadę można wprost przełożyć na prawodawstwo - jeśli ustawa już w tytule mówi o ułatwianiu wykonywania działalności przedsiębiorcom, to może się okazać, że jej wejście w życie doda przedsiębiorcom nowych obowiązków.

Obecnie w Sejmie trwają prace nad rządowym projektem ustawy o ułatwieniu wykonywania działalności gospodarczej. Ustawa ma wprowadzać zmiany w 30 ustawach, m.in. w ustawie o ochronie danych osobowych.

Proponowane zmiany obejmują możliwość zwolnienia przedsiębiorców z obowiązku zgłaszania zbiorów danych osobowych do rejestracji przez generalnego inspektora ochrony danych osobowych (GIODO), pod warunkiem że przedsiębiorca powoła i zarejestruje administratora bezpieczeństwa informacji (ABI).

Na gruncie obecnego stanu prawnego istnieje już możliwość wyznaczenia przez przedsiębiorców ABI. Ustawa przewiduje jednak wyłącznie, że sprawują oni nadzór nad przestrzeganiem zasad ochrony przetwarzania danych osobowych, i nie nakłada na nich obowiązku podejmowania żadnych konkretnych działań. Projekt nowelizacji w zamian za możliwość uzyskania przez przedsiębiorców zwolnienia z obowiązku rejestracyjnego nakłada na osoby pełniące funkcję ABI wiele szczegółowo określonych zadań.

Zgodnie z projektem jednym z obowiązków będzie prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez danego przedsiębiorcę. Taki "sprywatyzowany" rejestr, zgodnie z projektem rozporządzenia wykonawczego, będzie musiał zawierać te same informacje, które obecnie przekazywane są w zgłoszeniu do GIODO. Jedynym ułatwieniem wydaje się zatem brak obowiązku ich dalszego przesyłania do tego organu.

Projekt ustawy, w zamian za tę niewielką w praktyce korzyść, idzie jednak dalej i nakłada na ABI kolejne obowiązki. Znajduje się wśród nich m.in. konieczność cyklicznego oraz - w razie stwierdzenia zagrożeń - doraźnego sprawdzania zgodności przetwarzania danych z przepisami prawa oraz opracowywania sprawozdań z takich kontroli. Zgodnie z przedstawionym projektem rozporządzenia przeprowadzana według sformalizowanej procedury autokontrola będzie musiała być dokonywana przez ABI również wtedy, gdy zwróci się do niego z takim poleceniem GIODO. Organ ten będzie mógł wskazać ABI zakres kontroli i wyznaczyć termin na przedstawienie sprawozdania z jej przeprowadzenia.

ABI ma być również odpowiedzialny za nadzorowanie opracowania i aktualizowanie obowiązkowej dokumentacji w zakresie technicznych i organizacyjnych środków ochrony danych osobowych oraz za "zapewnienie zapoznania" osób upoważnionych do przetwarzania danych osobowych z przepisami ustawy.

Co ciekawe, zgodnie z projektem jeden obowiązek rejestracyjny zostaje w praktyce zastąpiony innym. GIODO utworzy nowy ogólnokrajowy rejestr administratorów bezpieczeństwa informacji, do którego przedsiębiorcy będą musieli każdorazowo zgłaszać fakt powołania i odwołania konkretnej osoby fizycznej do pełnienia funkcji ABI. Dopiero formalne zarejestrowanie ABI przez GIODO będzie zwalniało przedsiębiorców z obowiązku osobnego rejestrowania zbiorów danych osobowych.

Wątpliwości może również budzić nie do końca jasny przepis projektu, zgodnie z którym przedsiębiorca będzie mógł powierzyć ABI wykonywanie także innych obowiązków, o ile nie zaszkodzi to prawidłowemu wykonywaniu jego zadań wynikających z ustawy. Organizacje przedsiębiorców obawiają się, że w praktyce będzie konieczne utworzenie dla ABI osobnych etatów.

Zgodnie z przepisami przejściowymi ABI wyznaczony według dotychczasowych przepisów będzie mógł pełnić tę funkcję zgodnie z nowymi przepisami nie dłużej niż do 30 czerwca 2015 r. W tym czasie przedsiębiorca powinien zgłosić ABI do nowo utworzonego rejestru. Nie wiadomo jednak, czy w tym okresie przejściowym ABI ma wykonywać wszystkie funkcje zgodnie z nowymi przepisami i np. prowadzić rejestr zbiorów, czy też nowe obowiązki mają go obciążać dopiero od chwili rejestracji w nowym rejestrze.

Wobec licznych nowych obowiązków nakładanych na ABI powoływanych przez przedsiębiorców może się okazać, że efektem nowelizacji będzie ułatwienie działalności GIODO, a nie przedsiębiorców.

@RY1@i02/2014/189/i02.2014.189.21500020a.802.jpg@RY2@

Tomasz Rutkowski radca prawny, managing associate w Deloitte Legal

Tomasz Rutkowski

radca prawny, managing associate w Deloitte Legal