network connection concept

Po 1 stycznia 2015 r. rola Administratora Bezpieczeństwa Informacji („ABI”) uległa znacznej zmianie w wyniku wejścia w życie ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, na podstawie której wprowadzono szereg zmian do ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych („UODO”)[1]. ABI, mając znaczący wpływ na zapewnienie bezpieczeństwa przetwarzanych danych, ma możliwość kontroli sposobu przetwarzania danych przy wykorzystaniu cloud computingu.

Nowelizacja UODO poszerzyła m.in. zakres obowiązków ABI, który stał się wewnętrznym inspektorem ochrony danych osobowych, do którego obowiązków należy bieżący nadzór na legalnym przetwarzaniem danych osobowych oraz przeprowadzenie sprawdzenia legalności przetwarzania danych (w tym na żądanie Generalnego Inspektora Ochrony Danych Osobowych, GIODO).

W celu zapewnienia ABI swobody w wykonywaniu powierzonych funkcji, przepisy strukturalnie uniezależniły ABI od podmiotu, w którym pełni swoje funkcje (administratora danych), mającego obowiązek zapewnić ABI niezależność organizacyjną (ABI może podlegać jedynie bezpośrednio kierownikowi jednostki organizacyjnej)[2] oraz finansową (poprzez zapewnienie środków na wykonywanie zadań).

Poniżej przedstawiamy zestawienie zasadniczych zmian dotyczących ABI, wprowadzonych z nowelizacją UODO.

tabela SK

Obecnie do zadań ABI należy[3]:

  • zapewnienie przestrzegania przepisów o ochronie danych osobowych, m.in. poprzez nadzorowanie opracowywania i aktualizowania dokumentacji opisującej przetwarzanie danych osobowych oraz stosowane środki zabezpieczeń oraz zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
  • prowadzenie rejestru zbiorów danych osobowych przetwarzanych przez administratora danych, z wyjątkami przewidzianymi przez UODO;
  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie sprawozdania z przeprowadzonej kontroli [4].

Nadzorowanie opracowywania i aktualizowania dokumentacji opisującej przetwarzanie danych osobowych oraz stosowane środki zabezpieczeń

Nadzór nad opracowywaniem oraz aktualizowaniem dokumentacji opisującej przetwarzanie danych osobowych oraz stosowane środki zabezpieczeń (m.in. Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym) polega m.in. na weryfikacji: opracowania oraz kompletności dokumentacji przetwarzania danych, zgodności przetwarzania danych z obowiązującymi przepisami prawa, stanu faktycznego w zakresie przetwarzania danych, przestrzegania zasad oraz obowiązków określonych w dokumentacji przetwarzania danych.

Zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych

Jednym ze sposobów zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych są szkolenia oraz webinaria wewnętrzne lub organizowane przez zewnętrzne firmy. Każda osoba, która została zapoznana z przepisami o ochronie danych osobowych, powinna potwierdzić ten fakt, np. w formie pisemnego oświadczenia.

Prowadzenie rejestru zbiorów danych osobowych przetwarzanych przez administratora danych, z wyjątkami przewidzianymi przez UODO

W przypadku powołania ABI oraz zgłoszenia go do rejestru prowadzonego przez GIODO, administrator danych zwolniony jest z obowiązku zgłoszenia zbiorów danych do rejestru GIODO, a także aktualizowania danych dla zbiorów już zarejestrowanych. Zwolnienie to nie dotyczy jednak zbioru obejmującego tzw. dane wrażliwe, to jest danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Wynika to ze szczególnego charakteru tych danych. Rejestr zbiorów danych, prowadzony przez ABI, powinien być jawny, zatem każdemu przysługuje prawo przeglądania rejestru, przy czym administrator danych ma obowiązek zapewnić środki finansowe, pozwalające na realizację opisanej tu zasady jawności.

Zwolnienie z obowiązku rejestracji zbiorów danych w rejestrze GIODO stosowane jest od momentu zgłoszenia ABI do rejestru prowadzonego przez GIODO. Reguła ta nie dotyczy sytuacji, gdy ABI jest ponownie zgłaszany do rejestru GIODO, po wcześniejszym wykreśleniu go z rejestru przez GIODO działającego z urzędu. W takiej sytuacji, zwolnienie z obowiązku rejestracji zbiorów danych w rejestrze GIODO stosowane jest od momentu wpisania ABI do rejestru.

Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie sprawozdania z przeprowadzonej kontroli

Ta funkcja ABI wzbudza pewne obawy wśród administratorów danych rozważających powołanie ABI. Zgodnie z obowiązującymi przepisami, ABI może dokonać sprawdzenia dla administratora danych oraz na żądanie GIODO.

W pierwszym przypadku, sprawdzenie może mieć charakter planowany (tj. określony w planie sprawdzeń przygotowywanym na okres nie krótszy niż kwartał i nie dłuższy niż rok, przy czym plan sprawdzeń powinien obejmować co najmniej jedno sprawdzenie) oraz doraźny (tj. nieprzewidziany w planie sprawdzeń). Sprawdzenie doraźne powinno być przeprowadzone przez ABI niezwłocznie po powzięciu przezeń wiadomości o naruszeniu lub podejrzeniu naruszenia zasad ochrony danych osobowych.

W przypadku kontroli przeprowadzonej na żądanie GIODO, ABI zawiadamia administratora danych o rozpoczęciu sprawdzenia przed podjęciem pierwszej czynności w toku sprawdzenia. Poza tym, ABI zawiadamia kierownika jednostki organizacyjnej objętej sprawdzeniem o zakresie planowanych czynności w terminie co najmniej 7 dni przed przeprowadzeniem sprawdzenia. W kontekście tych regulacji oraz przepisów ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej, regulującej m.in. kwestie zawiadomienia o planowanej kontroli, kontrowersje budzi wyjątek od tej zasady, zgodnie z którym, zawiadomienia nie przekazuje się m.in. w przypadku sprawdzenia na żądanie GIODO, jeżeli na takie zawiadomienie nie pozwala termin wyznaczony przez GIODO. Może to mieć miejsce zwłaszcza danych osobowych u konkretnego administratora danych. Po zakończeniu sprawdzenia ABI przygotowuje sprawozdanie z przeprowadzonej kontroli (termin na przygotowanie takiego sprawozdania zależy od rodzaju przeprowadzonej kontroli[5]), które w przypadku kontroli przeprowadzonej na żądanie GIODO, zostaje przekazane GIODO za pośrednictwem administratora danych. Sprawozdanie ABI powinno zawierać m.in. opis stanu faktycznego, stwierdzonego w toku sprawdzenia oraz inne informacje, mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych, jak również stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem.

Na podstawie opisu elementów sprawozdania przygotowanego po przeprowadzonej kontroli, uzasadniony wydaje się wniosek, że nieprawidłowości stwierdzone w trakcie sprawdzenia dokonanego na żądanie GIODO, mogą zostać usunięte przed przygotowaniem przez ABI sprawozdania z wyników kontroli, o ile tylko pozwoli na to czas wyznaczony przez GIODO na przedstawienie sprawozdania. W takiej sytuacji, zgodnie z obowiązującymi przepisami, zalecane jest opisanie w sprawozdaniu stwierdzonych przypadków naruszenia ochrony danych osobowych wraz z podjętymi działaniami przywracającymi stan zgodny z prawem.

Powyższa relacja ABI – GIODO wzbudza pytania o bezstronność i ewentualny konflikt interesów pomiędzy ABI a zatrudniającym go administratorem danych. Instytucja ABI zakłada jednak, że administrator danych powołując ABI, dąży do zagwarantowania w swojej strukturze prawidłowej ochrony danych osobowych, a niezależna i obiektywna opinia leży w interesie przedsiębiorcy i osób, których dane dotyczą. Ustawodawca wprowadzając fakultatywność powołania ABI, pozostawił przy tym w gestii administratora danych podjęcie decyzji o powołaniu w swojej strukturze jednostki odpowiedzialnej za zapewnienie legalnego przetwarzania danych. Z powołaniem oraz zgłoszeniem ABI do rejestru GIODO wiąże się szereg korzyści dla administratora danych, takich jak przeniesienie odpowiedzialności (w tym karnej) za legalne przetwarzanie danych z zarządu na ABI, zwolnienie z obowiązku rejestracji zbiorów danych w rejestrze GIODO oraz zapewnienie stałej kontroli wykwalifikowanej osoby nad legalnym przetwarzaniem danych osobowych, w tym w tzw. chmurach, co ma szczególne znaczenie w kontekście pojawiających się coraz częściej informacji o nielegalnym przetwarzaniu danych umieszczonych w Internecie.

______________________________________________________________________________________

[1] Przepisy UODO zostały uzupełnione przez Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji, Rozporządzenie Ministra Administracji i Cyfryzacji z 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych, Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji.

[2] Zapewnienie niezależności organizacyjnej może mieć formę wyodrębnienia stanowiska ABI wewnątrz struktury organizacyjnej, dopasowanie aktualnego stanowiska osoby pełniącej tej funkcję, outsourcing funkcji na zewnątrz w celu uniezależnienia ABI od przełożonych i poddania ABI wyłącznie zarządowi jako kierownikowi jednostki.

[3] Administrator danych może powierzyć ABI dodatkowe obowiązki, pod warunkiem, że nie naruszy to prawidłowego wykonywania podstawowych zadań ABI.

[4] Kwestię sprawdzania zgodności przetwarzania danych osobowych oraz nadzorowania opracowywania i aktualizacji dokumentacji opisującej przetwarzanie danych osobowych reguluje Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez ABI.

[5] W przypadku sprawdzenia planowego, termin na przygotowanie sprawozdania wynosi 30 dni od zakończenia sprawdzenia; w przypadku sprawdzenia doraźnego, sprawozdanie powinno zostać przygotowane niezwłocznie po zakończeniu sprawdzenia; w przypadku kontroli przeprowadzonej na żądanie GIODO, termin ten zostaje określony w żądaniu GIODO przeprowadzenia kontroli.

Sylwia Kuca

Sylwia Kuca
Adwokat, Senior Associate

sylwia.kuca@dzp.pl

Komentarze

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *