1 stycznia 2015 r. zmieniły się przepisy ustawy o ochronie danych osobowych regulujące instytucję administratora bezpieczeństwa informacji. Dodane zostały również regulacje dotyczące przekazywania danych osobowych do państw trzecich – czyli takich, które nie należą do Europejskiego Obszaru Gospodarczego. Administratorzy danych nie będą zobowiązani do rejestracji zbiorów danych osobowych w przypadku powołania administratora bezpieczeństwa informacji i zgłoszenia go do GIODO.
27 listopada 2014 r. została ogłoszona w Dzienniku Ustaw ustawa z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej. Wprowadziła ona zmiany w kilkudziesięciu ustawach. w tym m.in. w ustawie o ochronie danych osobowych. Zmiany dotyczą również instytucji administratora bezpieczeństwa informacji (ABI).
Jak jest od 1 stycznia
Nowa regulacja przewiduje, że do zadań ABI, którego wyznacza administrator danych, należy zapewnianie przestrzegania przepisów o ochronie danych osobowych oraz prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem tych, które są zwolnione z obowiązku rejestracji.
ABI obowiązany jest w szczególności do:
- sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
- opracowania sprawozdania dla administratora danych w zakresie zgodności przetwarzania danych osobowych w jego strukturze,
- nadzorowania opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych osobowych (w tym opisującej środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych) oraz przestrzegania zasad w niej określonych,
- zapoznania osób upoważnionych do przetwarzania danych z przepisami o ochronie danych.
ABI może być osoba fizyczna, która ma pełną zdolność do czynności prawnych, korzysta z pełni praw publicznych, ma wiedzę w zakresie ochrony danych osobowych oraz nie była karana za umyślne przestępstwo. Administrator podlega kierownikowi jednostki organizacyjnej lub administratorowi danych. Może wykonywać też inne obowiązki powierzone przez administratora danych, jeżeli nie naruszy to prawidłowego wykonywania jego zadań związanych z pełnioną funkcją. Administrator danych może powołać zastępców ABI. Muszą oni mieć pełną zdolność do czynności prawnych, korzystać z pełni praw publicznych, dysponować wiedzą w zakresie ochrony danych oraz nie mogą być karani za przestępstwo umyślne.
Trzeba zgłosić
Fakt powołania lub odwołania ABI należy zgłosić generalnemu inspektorowi ochrony danych osobowych w terminie 30 dni. Na mocy nowych przepisów GIODO rozpoczął prowadzenie ogólnokrajowego jawnego rejestru administratorów bezpieczeństwa informacji. Jeżeli administrator danych powoła i zgłosi administratora bezpieczeństwa informacji, zostanie zwolniony z obowiązku rejestracji zbiorów danych osobowych – nie dotyczy to jednak zbiorów, w których przetwarzane są dane wrażliwe.
W razie niepowołania administratora bezpieczeństwa informacji administrator danych wykonuje zadania ABI samodzielnie (nie przygotowuje sprawozdania w zakresie zgodności przetwarzania danych osobowych). Mając jednak na uwadze wyrok Naczelnego Sądu Administracyjnego z 21 lutego 2014 r. (I OSK 2445/12), jednostki organizacyjne będą zobowiązane do powołania administratora bezpieczeństwa informacji.
Mateusz Oskroba, radca prawny, Kancelaria Prawna Piszcz, Norek i Wspólnicy
Co w dyrektywie
Warto zauważyć, że unijna dyrektywa nr 95/46/WE Parlamentu Europejskiego i Rady w art. 18 przewiduje, iż państwa członkowskie mogą (fakultatywnie) wprowadzić do swojego porządku prawnego instytucję tzw. urzędnika do spraw ochrony danych osobowych (ang. personal data protection official, niem. Datenschutzbeauftragten). Podmiot ten ma być m.in. odpowiedzialny za zapewnienie, że u administratora danych respektowane są przepisy krajowe wprowadzone na podstawie dyrektywy nr 95/46/WE. Treść dyrektywy wskazuje, iż urzędnik powinien mieć przymiot niezależności. Powołanie urzędnika do spraw ochrony danych osobowych ma spoczywać na administratorze danych. Dyrektywa zasadniczo uprawnia państwa członkowskie do zwolnienia administratorów danych od powiadamiania właściwych organów nadzorczych (w Polsce GIODO) o przetwarzaniu danych osobowych w zbiorze danych osobowych w przypadku powołania takiego podmiotu.
Zdaniem autora
Zmiana statusu administratora bezpieczeństwa informacji jest znaczna. Uzyskał on ustawowe kompetencje związane z zapewnieniem należytego przestrzegania przepisów ustawy o ochronie danych osobowych u administratora danych, u którego działa. Dodatkowo nowe przepisy zobowiązują administratora do zapewnienia ABI niezależności w zakresie wykonywania przez niego obowiązków związanych z ochroną danych osobowych. Wprowadzona zmiana będzie miała istotny wpływ na powoływanie oraz podejmowanie przez pracowników administratora danych funkcji administratora bezpieczeństwa informacji. Należy bowiem mieć na uwadze, że to właśnie ABI będzie wpisany w ogólnokrajowym rejestrze jako osoba odpowiedzialna za zapewnienie należytego przetwarzania danych osobowych u administratora danych.
