Od 1 stycznia obowiązują znowelizowane przepisy ustawy o ochronie danych osobowych, które na nowo definiują pozycję prawną i obowiązki administratorów bezpieczeństwa informacji (ABI). Pomijając kwestię nie do końca szczęśliwie pomyślanych przepisów przejściowych (por. G. Sibiga, Przejściowe problemy z ochroną danych, „Rzeczpospolita" z 23 stycznia 2015 r.), przed osobami pełniącymi funkcję ABI staje poważny dylemat: być czy nie być ABI po 1 stycznia? Podobny problem mają także administratorzy danych osobowych, którzy ABI zatrudniają: powoływać czy nie powoływać ABI? Spróbujmy przywołać argumenty za i przeciw.
Korzyści z powołania
Dla administratora danych osobowych powołanie ABI oznacza zapewne konieczność wprowadzenia pewnych zmian w organizacji, ABI powinien bowiem być podległy bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Administrator danych ma także obowiązek zapewnić ABI środki i organizacyjną odrębność niezbędne do niezależnego wykonywania przez niego ustawowych zadań. W niektórych przypadkach spełnienie tych warunków może być trudne do osiągnięcia. Problemy mogą wystąpić np. w działalności podmiotów ze sfery administracji publicznej, które często nie mają środków finansowych umożliwiających zaspokajanie wszystkich istniejących potrzeb i których struktura organizacyjna nie ułatwia wprowadzania zmian. Jednocześnie jednak za wykonanie tych obowiązków odpowiada administrator danych osobowych. W razie więc np. kontroli ze strony GIODO i stwierdzenia uchybień to administrator danych otrzyma odpowiednią decyzję nakazową. Trzeba również pamiętać o tak prozaicznym aspekcie powołania ABI, jak konieczność zapłaty odpowiedniego wynagrodzenia osobie pełniącej tą funkcję. Wreszcie – ABI podlega zgłoszeniu do rejestracji w GIODO.
Co administrator danych otrzymuje w zamian?
Przede wszystkim administrator danych osobowych, który powołał ABI i zgłosił go do GIODO, jest zwolniony z obowiązku rejestracji wszelkich zbiorów danych osobowych przetwarzanych przez siebie – z wyjątkiem jednak zbiorów zawierających dane osobowe wrażliwe. W typowej sytuacji takie zbiory danych osobowych, jak marketingowe, nie będą więc podlegać rejestracji w GIODO właśnie dzięki powołaniu ABI. Trzeba jednak pamiętać o tym, że od 1 stycznia każdy administrator danych osobowych – bez względu na powołanie lub niepowołanie ABI – został zwolniony z obowiązku rejestracyjnego w odniesieniu do zbiorów danych osobowych prowadzonych w tzw. postaci tradycyjnej, tj. nie z wykorzystaniem systemów informatycznych i niezawierających danych osobowych wrażliwych.
Jednocześnie od 1 stycznia do obowiązków ABI należy prowadzenie jawnego rejestru zbiorów danych osobowych przetwarzanych przez administratora danych. Zbiory, które nie są rejestrowane w GIODO, będą więc nadal rejestrowane, tyle tylko, że przez ABI. Oczywiście środki niezbędne do prowadzenia takiego rejestru zapewnia administrator danych.
Drugą potencjalną korzyścią jest możliwość dokonywania przez ABI tzw. sprawdzeń na polecenie GIODO. Pomysł jest prosty – zamiast kontroli przez GIODO administrator danych będzie kontrolowany przez własnego ABI, który o rezultatach kontroli będzie informował GIODO. Brzmi wspaniale – pamiętajmy tylko o tym, że GIODO i tak może dokonać kontroli. Wydaje się również, że celem tego przepisu nie było ograniczenie ilości kontroli GIODO (w 2013 r. – 173), lecz wprowadzenie kolejnego mechanizmu sprawdzającego administratorów danych.
A jak problem wygląda z punktu widzenia ABI? Obowiązujące od 1 stycznia przepisy gwarantują ABI środki i organizacyjną odrębność niezbędne do niezależnego wykonywania przez niego ustawowych zadań ABI. Niezależne wykonywanie obowiązków to sprowadzenie ABI do roli quasi-audytora wewnętrznego, choć bez formalnych gwarancji nietykalności ze strony pracodawcy.
Odpowiedzialność karna
Obowiązki nałożone na ABI można podzielić na dwie grupy: związane z zapewnieniem przestrzegania przepisów o ochronie danych osobowych oraz z rejestracją zbiorów danych osobowych.
Z punktu widzenia ABI kluczowa wydaje się kwestia odpowiedzialności, jaką może ponieść w przypadku naruszenia przepisów o ochronie danych osobowych.
Na obowiązki związane z zapewnieniem przestrzegania przepisów składają się m.in.: sprawdzanie zgodności przetwarzania danych z przepisami, nadzorowanie opracowania i aktualizowania dokumentacji oraz zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
Przywołane wyżej obowiązki zostały ujęte jako obowiązki o charakterze zbliżonym do zobowiązań rezultatu – ABI ma obowiązek zapewnienia przestrzegania przepisów o ochronie danych osobowych. „Zapewnienia", czyli doprowadzenia do rezultatu polegającego na tym, że przepisy będą przestrzegane. W sytuacji ich naruszenia powstaje pytanie o możliwość przypisania ABI odpowiedzialności karnej. Ryzyko to wydaje się największe w odniesieniu do przestępstwa z art. 52 ustawy, a więc przestępstwa naruszenia obowiązku zabezpieczenia danych osobowych. W dalszym ciągu też ABI będzie mógł ponosić odpowiedzialność karną na zasadach ogólnych, jako administrujący danymi osobowymi, a – co trzeba podkreślić – wskazany w ustawie zakres obowiązków ABI powoduje, że częściej będzie go można uznać za administrującego.
Powoływać czy nie powoływać administratora bezpieczeństwa informacji? Godzić się czy nie godzić na powołanie na funkcję ABI? Nie sposób na te pytania odpowiedzieć bez przeanalizowania za i przeciw występujących w konkretnej organizacji oraz korzyści i kosztów, które będą wynikać z podjętej decyzji. Inna odpowiedź może paść, gdy ABI jest zatrudniony na umowę o pracę, inna, gdy prowadzi własną działalność gospodarczą. Jedno natomiast jest pewne – decyzję należy podejmować z rozwagą.
CV
Autor jest adwokatem, współpracownikiem Instytutu Allerhanda
