2015-01-04
Nowy status administratorów bezpieczeństwa informacji

1 stycznia 2015 r. weszły w życie zmiany w ustawie o ochronie danych osobowych (UODO) wprowadzone ustawą z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej. Ułatwienie to jednak pozorne, trochę jak z filmu Barei, w którym listonosz zapewnia, że przepisy teraz poszły na rękę ludziom tak, że odbiór przesyłki można pokwitować ołówkiem zwykłym a nie kopiowym. W ocenie zmian UODO można jednak pójść dalej i stwierdzić, że raczej ułatwią one życie organowi ochrony danych, a przedsiębiorcom, którzy dane osobowe wykorzystują skomplikują działalność.

Ustawodawca wprawdzie zniósł obowiązek powoływania administratora bezpieczeństwa informacji (ABI), a także obowiązek rejestracji zbiorów „ręcznych", ale w zamian nakłada na ABI nowe obowiązki, których większość w razie niepowołania ABI i tak musi wykonać sam przedsiębiorca. ABI mogą pożegnać się w pewnym stopniu z prywatnością, ponieważ będą figurować w nowopowołanym, ogólnodostępnym rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych. Nie wiadomo jak dokładnie będą wyglądać nowe obowiązki przedsiębiorców, ponieważ nie ukazały się jeszcze odpowiednie akty wykonawcze. Przepisy poszły więc przedsiębiorcom na rękę tak, że niektóre firmy zapowiedziały odwołanie z dniem 1 stycznia 2015 roku swoich ABI, przynajmniej na czas niezbędny do wdrożenia nowych obowiązków. Tu warto przypomnieć, że mieliśmy już do czynienia (np. w sektorze telekomunikacyjnym) z wyrokami, w których sądy podtrzymywały decyzje nakładające kary na przedsiębiorców nie realizujących nowych obowiązków ustawowych również w sytuacji, gdy brakowało rozporządzeń wykonawczych określających jak te obowiązki wykonać. Na szczęście GIODO nie ma uprawnień do nakładania kar...

Co konkretnie zmienia się w ochronie danych? Przede wszystkim - status ABI i ich obowiązki. Warto odnotować również zmiany w kwestii rejestracji zbiorów danych, powołanie wspomnianego rejestru ABI oraz zmiany w zakresie transferu danych do tzw. państw trzecich (uznanie roli wiążących reguł korporacyjnych). W tym wpisie skupię się jednak wyłącznie na nowej roli ABI.

Przed zmianami, ustawa o ochronie danych osobowych zawierała tylko jeden przepis poświęcony ABI: uchylony ustęp 3 artykułu 36 mówiący, że administrator danych wyznacza ABI, nadzorującego przestrzeganie zasad ochrony danych osobowych, chyba, że sam wykonuje te czynności (samodzielne wykonywanie czynności odnosiło się do osób fizycznych będących administratorami danych). Po zmianach pojawiło się kilka rozbudowanych przepisów poświęconych tej funkcji.

Do tej pory, przepisy nie określały pozycji ABI w jednostce organizacyjnej. Nowelizacja wzmacnia zaś status ABI. Zgodnie z nowym art. 36a ust. 7 podlega on bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Nie jest to pierwsze tego typu rozwiązanie w polskich przepisach, związane z osobami zajmującymi się ochroną informacji. Podobne znajdziemy w ustawie z 5 sierpnia 2010 r. o ochronie informacji niejawnych (art. 14), odnoszące się do pełnomocników do spraw ochrony informacji niejawnych. W obu przypadkach jest to uzasadnione faktem, że zarówno ABI (po nowelizacji) jak i wspomniany pełnomocnik w pewnym zakresie są pośrednikami pomiędzy odpowiednimi organami państwowymi a jednostką organizacyjną, w której pełnią funkcję.

Pewne wątpliwości interpretacyjne może budzić ust. 8 artykułu 36a, zgodnie z którym administrator danych musi zapewnić „środki i organizacyjną odrębność" ABI niezbędne do niezależnego wykonywania przez niego zadań. Należy przyjąć, że ABI i podległe mu osoby mają stanowić odrębną komórkę organizacyjną lub pion w firmie, powinien dysponować również odpowiednim budżetem i środkami zapewniającymi ową niezależność w wykonywaniu zadań. Sformułowanie tego przepisu może dawać pole do różnych interpretacji co do tego jakie środki i jaka organizacja zapewnia ABI niezależność. Warto jednak zwrócić uwagę, że ewentualne naruszenie tego przepisu nie wiąże się praktycznie z żadnymi negatywnymi konsekwencjami. ABI nie może bowiem zostać wykreślony z rejestru GIODO z powodu braku zapewnienia takich środków lub odrębności przez administratora danych. Natomiast wykreślenie może nastąpić, jeśli ABI nie podlega bezpośrednio kierownikowi jednostki organizacyjnej.

Znowelizowana UODO określa również wymagania wobec kandydatów na stanowisko ABI. Zgodnie z art. 36 ust. 5, administratorem bezpieczeństwa informacji może być osoba, która:

  1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych
  2. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych
  3. nie była karana za umyślne przestępstwo.

Posiadanie „odpowiedniej wiedzy", wbrew pierwszym komentarzom po opublikowaniu ustawy, nie oznacza, że ABI musi mieć wykształcenie wyższe. Z drugiej strony, użycie przez ustawodawcę kolejnego wyrażenia nieostrego („odpowiednia wiedza") może nieść dla administratorów danych poważne skutki. Brak odpowiedniej wiedzy może skutkować wykreśleniem ABI z rejestru prowadzonego przez GIODO co oznacza, że nie będzie on mógł pełnić tej funkcji u danego przedsiębiorcy lub innego podmiotu będącego administratorem danych.

Takie same warunki jak ABI muszą spełniać jego zastępcy. Tych - co ważne - powołuje również administrator danych, a nie sam ABI (powołanie zastępców jest fakultatywne). Być może należało pozostawić ABI inicjatywę w zakresie powoływania zastępców, podkreślałoby to lepiej jego niezależność organizacyjną (alternatywą mogłoby być powoływanie zastępców na wniosek ABI lub spośród kandydatów przez niego wskazanych).

Kończąc kwestię statusu ABI, warto odnotować, że ustawodawca przeciął dyskusję o tym czy można łączyć funkcję ABI z innymi zadaniami. Stosownie do art. 36a ust. 4, administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania jego zadań.

ABI powołani po 1 stycznia 2015 r. pełnią już swoje funkcje na nowych zasadach.

Dotychczasowi ABI pozostają na swoich stanowiskach do czasu zgłoszenia ich do rejestru ABI prowadzonego przez GIODO, nie dłużej jednak niż do 30 czerwca 2015 roku. Do tego czasu przedsiębiorcy (administratorzy danych osobowych) muszą podjąć decyzję czy powołać ABI na nowych zasadach czy też nie.

Następny wpis poświęcę nowym zadaniom ABI oraz rejestrowi prowadzonemu przez GIODO. Tymczasem, zachęcam do lektury komentarza Magdaleny Koniarskiej dla serwisu lex.pl "Wciąż niejasny status firmowych administratorów danych".




Dodaj komentarz
Nick/Pseudonim
E-mail (ukryty)
WWW
Treść
Subskrybuj

Powiadamiaj mnie o nowych komentarzach do tego artykułu
E-mail (ukryty)


Bądź na bieżąco

Możesz zaprenumerować ten blog. Wpisz adres e-mail, a powiadomienie o nowym wpisie dostaniesz na swoją skrzynkę. 


O serwisie
  • Komentarze nt. bieżących wydarzeń związanych z ochroną danych osobowych i dostępem do informacji, telekomunikacją i szeroko rozumianym prawem administracyjnym.
  • Omawianie orzecznictwa polskiego i europejskiego oraz propozycji zmian w przepisach w tych dziedzinach.
  • Opinie dotyczące działań takich organów jak GIODO, UKE czy ULC.
Główne działy
Ostatnie komentarze
Regulaminowo.pl komentuje Jest rozporządzenie – i co dalej?
Kacprzak komentuje Co dalej z PPP?
Tomasz komentuje Co dalej z PPP?
Archiwum
2017
Tagi
Poznaj inne nasze serwisy

Blog EuroZamowienia.pl
Blog IPwSieci.pl
Blog kodeksWpracy.pl
Blog PrzepisNaEnergetyke.pl
Blog LepszaTaktyka.pl

Ta strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych oraz dla prawidłowego funkcjonowania strony. Każdy może zaakceptować pliki cookies albo poprzez ustawienia przeglądarki lub wyrażenie zgody poniżej. Możliwe jest także wyłączenie cookies poprzez ustawienia przeglądarki, dzięki czemu nie będą zbierane żadne informacje. Dowiedz się więcej w naszej polityce prywatności.



Akceptuję