Nowe przepisy o ochronie danych osobowych

Od 1 stycznia 2015 roku obowiązują znaczne zmiany w Ustawie o ochronie danych osobowych z 29 sierpnia 1997 roku. Zostały one wprowadzone w ramach zmian przepisów ułatwiających wykonywanie działalności gospodarczej. Trudno jednoznacznie stwierdzić, że nowe przepisy ułatwiają przedsiębiorcom działania. Z pewnością uwzględnia ich interes w ten sposób, że jest dużo czasu (bo sześć miesięcy) na to, by przystosować się do nowych reguł.

Zmiany nie powodują, że przetwarzający dane osobowe mają mniej obowiązków, a jedynie, że mają one inny charakter i pozwalają na nieco większą samodzielność. Nowe kompetencje otrzymał bowiem tak zwany Administrator Bezpieczeństwa Informacji (ABI), który do tej pory był powoływany w celu pełnienia nadzoru nad środkami technicznymi i organizacyjnymi mającymi zapewnić ochronę przetwarzanych danych, czyli ich zabezpieczenia przed udostępnianiem osobom nieupoważnionym, utratą, zabraniem, zniszczeniem, zmianą, czy przetwarzaniem niezgodnym z ustawą. Zmiany wprowadzają większą odpowiedzialność ABI oraz wymagają jego większej niezależności. Oznacza to właściwie konieczność specjalizacji i być może tworzenia osobnego miejsca pracy dla takiej osoby. Nie jest jednak bezwzględnie konieczne to by powoływać ABI.

Jeżeli administrator danych (osoba fizyczna, osoba prawna, jednostka organizacyjna nie posiadająca osobowości prawnej) nie powoła ABI, jest zobowiązany wypełnić jego zadania. Nie musi jednak opracowywać sprawozdań i prowadzić rejestrów zbioru danych osobowych. Oznacza to jednak, że tak jak dotychczas, będzie musiał rejestrować zbiory danych u Generalnego Inspektora Ochrony Danych Osobowych (GIODO), z czego zwalnia wyznaczenie ABI.

Zmienione przepisy na nowo określają obowiązki ABI i precyzują to, na czym powinny polegać działania zorientowane na ochronę danych osobowych. Mowa o tym jest w art.36a Ustawy:

2. Do zadań administratora bezpieczeństwa informacji należy:
1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 (będą to przede wszystkim polityka bezpieczeństwa przetwarzania danych osobowych oraz różne instrukcje – przyp. aut.), oraz przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7.

Dodać należy, że osobno, w drodze rozporządzenia, Minister właściwy do spraw administracji publicznej określi tryb i sposób realizacji zadań z ust. 2 pkt. 1 lit. a i b, oraz sposobem prowadzenia rejestru, o którym mowa w ust. 2 pkt. 2.

W przypadku zbiorów danych osobowych trzeba będzie opisywać je podobnie jak do tej pory i prowadzić zgodnie z wytycznymi z rozporządzenia, a jedynie nie będzie się zgłaszać ich do rejestru prowadzonego przez GIOGO. Z kolei obowiązek przygotowywania sprawozdania dla administratora danych jest nowością i szczegółowo opisany jest we wprowadzonym zmianami art. 36c Ustawy. Sprawozdanie to ABI przygotowuje dla administratora danych w przypadku, gdy GIODO zażąda dokonania sprawdzenia ochrony danych w wyznaczonym zakresie.

Jeżeli administrator danych zdecyduje się na powołanie ABI, będzie to musiała być osoba fizyczna, która ma pełną zdolność do czynności prawnych, korzysta z pełni praw publicznych, posiada odpowiednią wiedzę w zakresie ochrony danych osobowych i nie była karana za umyślne przestępstwo. Z pewnością najtrudniej będzie znaleźć osoby o odpowiednich kompetencjach. Określone są nie tylko wymagane cechy ABI. Administrator danych musi mu jeszcze zapewnić odpowiednie warunki. Ustawa, choć dalej nie precyzuje, mówi o organizacyjnej odrębności i środkach dla ABI, które są niezbędne do należytego wykonywania zadań. Zapewnienie organizacyjnej odrębności może polegać na bezpośrednim podporządkowaniu jej kierownikowi jednostki albo skorzystaniu z usług zewnętrznego przedsiębiorcy.

Z uwagi na wyżej opisane kompetencji ABI, GIODO będzie prowadził jawny rejestr tych osób. Administrator danych będzie miał zatem obowiązek zgłaszania faktu powołania ABI i przekazywania odpowiednich danych. Będzie musiał też informować o wszelkich zmianach danych ABI albo zmianie samego ABI i jego odwołaniu. Sam GIODO może wykreślić ABI z rejestru jeśli ten nie spełnia wcześniej wymienionych warunków, został odwołany albo nie prowadzi rejestru zbiorów. Wykreślenie oznacza właściwie utratę uprawnień do prowadzenia rejestru zbiorów danych przez administratora danych i oznacza obowiązek zgłaszania zbiorów do GIODO według „starych” zasad chyba, że powołany zostanie nowy ABI.

Jeżeli zastanawiamy się nad powołaniem ABI istotne jest to, że nie wszystkie dane muszą być rejestrowane. Zwolnienie z obowiązku rejestracji określone jest w art. 43 Ustawy. Tam dodany został obecnie pkt. 12 w ust 1, który zwalnia z rejestrowania danych przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych. Nie dotyczy to jednak tak zwanych danych wrażliwych, które nadal muszą być chronione na szczególnych zasadach. Mimo wszystko zwolnienie z obowiązku rejestrowania zbiorów danych prowadzonych na papierze to znaczne ułatwienie.