Strona główna | AT | Kontakt | Intranet
EWOLUCJA czy REWOLUCJA?
24 listopada 2014r. Prezydent RP podpisał ustawę o ułatwieniu wykonywania działalności gospodarczej, która w znacznym stopniu zmienia przepisy dotyczące ochrony danych osobowych obowiązujące przedsiębiorców. Ustawa, z niewielkimi wyjątkami, weszła w życie 1 stycznia 2015r.
Wśród wartości funkcjonujących w świadomości Polaków jedno z pierwszych miejsc zajmuje potrzeba prywatności i wynikająca z niej konieczność ochrony danych osobowych. Jeśli przeprowadzilibyśmy sondaż wśród społeczeństwa, to wyszłoby nam, że ludzie posiadają dużą świadomość, że ochrona ich prywatności jest ważną rzeczą. Z drugiej jednak strony codziennie możemy obserwować niezliczoną ilość informacji jaką ludzie przekazują o sobie, swoich rodzinach, przyjaciołach i nieprzyjaciołach, np. publikując te informacje na różnego rodzaju portalach społecznościowych.
Według Generalnego Inspektora Danych Osobowych dr Wojciecha Rafała Wiewiórowskiego starsze pokolenie Polaków jest przyzwyczajona do faktu, iż władza ,,obraca" ich danymi osobowymi między swoimi instytucjami. Zupełnie inaczej sprawa wygląda w przypadku młodych ludzi, którzy przywiązują dużo mniejszą uwagę do ochrony prywatności. Dr Wiewiórowski (podczas rozmowy z portalem polskieradio.pl) podkreślił, że mimo tych rozbieżności prywatność nie przestała być wartością, którą należy chronić. Problem natomiast stanowi nie czytanie przez Polaków umów które zawierają oraz zbyt chętne udzielanie informacji przez telefon. Pamiętać należy, iż ochrona danych to nie tylko kwestia ich wycieków, ale sposobu innego wykorzystania niż się wcześniej na to zgodziliśmy.
W tym miejscu chciałabym przytoczyć słowa wypowiedziane przez Generalnego Inspektora, które trafnie puentują podejście Polaków do ochrony swojej prywatności: ,,Trochę tak jest, że nie wiemy kto mieszka w naszym bloku, z drugiej jednak strony sami niechętnie dzielimy się informacjami na ten temat i traktujemy listę lokatorów jako informacje o charakterze poufnym".
Choć dane osobowe stanowią wiedzę o naszym życiu prywatnym, są także elementem obiegu gospodarczego. Coraz więcej instytucji z jakimi mamy do czynienia potrzebuje informacji zawierających dane. Ponadto większość z nich to korporacje, czyli instytucje o charakterze globalnym. Taka sytuacja nie powinna jednak stanowić zmartwienia dla przeciętnego obywatela, gdyż gospodarka rynkowa i twarde prawa konkurencji tworzą wymóg zaufania do instytucji, firmy czy marki. Coraz częściej nagłaśniane są sytuacje / incydenty związane z utratą danych osobowych i innych danych co stawia daną instytucję czy firmę w kompromitującej sytuacji w oczach opinii publicznej i konkurencji. Dodatkowo niezależnie od tego czy mamy do czynienia z uczelnią, lecznicą, bankiem, pocztą, firmą ubezpieczeniową, instytucją samorządową lub rządową czy naszym miejscem pracy, w momencie wejścia z nimi w interakcję posiadamy silne mechanizmy ochrony danych osobowych należące do ww. instytucji. Konstytucja, Ustawa o ochronie danych osobowych oraz Główny Instytut Danych Osobowych tworzą parasol przepisów ochronnych dla danych osobowych, które muszą być zgodnie z polskim prawem wykonywane przez przedsiębiorstwa i instytucje.
Odpowiedzialność prawna wynikająca z naruszenia ochrony danych osobowych w polskim systemie prawnym niesie za sobą nie tylko konsekwencje takie jak mandaty i kontrole GIODO, ale także konsekwencje finansowe mogące wynikać np. z zbiorowych i indywidualnych pozwów klientów lub pracowników firmy zaniedbującej prawo w tym obszarze.
Tak więc wobec poszanowania praw i oczekiwań pracowników i klientów, a także wobec realnej konkurencji oraz wzrostu jakości pracy i usług, ważne jest aby przedsiębiorstwa i instytucje skutecznie opanowały cały zakres ochrony danych osobowych. Dlatego też wychodząc na przeciw podmiotom gospodarczym działającym na rynku polskim dokonano nowelizacji ustawy o ułatwieniu wykonywania działalności gospodarczej, która w znacznym stopniu zmienia zasady ochrony danych osobowych obowiązujące przedsiębiorców.
Co nowego?
Po pierwsze ustawa o ochronie danych osobowych w nowym kształcie przewiduje prowadzenie jawnego rejestru zbioru danych przetwarzanych przez administratora danych, zawierającego nazwę zbioru oraz informacje określone w art. 41 ust. 1 pkt 2-4a i 7. Nowością w tym przypadku jest także to, iż w wielu przypadkach to administrator danych osobowych będzie odpowiadał za prowadzenie rejestru zbiorów danych, a nie jak dotychczas GIODO.
Po drugie rozszerzono dotychczasowy katalog zwolnień z obowiązku rejestracji. Zgodnie z art. 43 ust. 1 ustawy, zwolnienia z obowiązku zgłaszania zbioru danych do rejestru prowadzonego przez GIODO obejmują 11 przypadków. Od 1 stycznia 2015r. katalog ten jest szerszy - wprowadzono kolejne zwolnienie obejmujące zbiory prowadzone bez wykorzystania systemów informatycznych, w których nie są przetwarzane dane wrażliwe.
Trzecia zmiana, a zarazem najważniejsza dotyczy funkcji administratora bezpieczeństwa informacji (ABI). Zmiany obejmują m.in. kwestie powołania ABI, jego kompetencji, zakres zadań oraz sposób rejestracji.
Nowa ustawa powoduje, że każdy przedsiębiorca lub instytucja powinna rozważyć czy chce powołać administratora bezpieczeństwa informacji. Dotyczy to również organizacji, które wcześniej powołały już ABI. Zmiana regulacji jest bowiem na tyle istotna, że dotychczasowi ABI mogą pełnić swoje funkcje tylko do 30 czerwca 2015r.
Organizacje mają dwie możliwości, które niosą za sobą określone obowiązki i korzyści:
Nowe przepisy wyraźnie wskazują, że powołanie ABI jest uprawnieniem, a nie obowiązkiem administratora. Dotychczas każdy mógł zostać wyznaczony do pełnienia funkcji ABI, jednakże nowelizacja wprowadziła pierwsze wytyczne dotyczące kwalifikacji osób pełniących tą funkcję. Zgodnie z art. 36a ust. 5 administratorem bezpieczeństwa informacji może zostać osoba, która:
Ze względu na ogólność powyższych wytycznych, w przypadku jakichkolwiek wątpliwości, każdorazowo GIODO bądź sąd oceni, czy powołana na stanowisko ABI osoba posiadała ku temu odpowiednie kwalifikacje.
Tak. Nowe przepisy określają szczegółowy zakres zadań administratora bezpieczeństwa informacji. Te obowiązki to przede wszystkim tzw. sprawdzenie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. W ramach tego nadzoru ABI jest zobowiązany do:
Nowy administrator bezpieczeństwa informacji jest także zobowiązany podczas prowadzenia kontroli na rzecz GIODO, do ustalenia stanu faktycznego i zebrania dowodów potwierdzających ustalone przez niego fakty. ABI może również żądać od wskazanych osób przekazania niezbędnych informacji oraz przeprowadzać oględziny. Z przeprowadzonych kontroli, administrator bezpieczeństwa informacji zobowiązany jest do sporządzenia protokołów/sprawozdań, które następnie przekazywane będą do administratorów danych. Kolejnym obowiązkiem administratora bezpieczeństwa informacji będzie prowadzenie rejestru zbioru danych przetwarzanych przez administratora danych, z wyjątkiem tych podlegających zwolnieniu. Rejestr prowadzony przez ABI powinien być jawny i każdy ma prawo go przeglądać.
Ponadto ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej, w której sprawuje nadzór nad danymi osobowymi. Nowa ustawa przewiduje możliwość powołania zastępców administratora bezpieczeństwa informacji oraz zezwala aby ABI mógł wykonywać również inne obowiązki z zastrzeżeniem, iż nie mogą one naruszać prawidłowego wykonywania jego podstawowych zadań.
Administratorzy bezpieczeństwa informacji wpisywani będą do specjalnego rejestru prowadzonego przez Generalny Inspektorat Ochrony Danych Osobowych. Powołanie lub odwołanie administratora bezpieczeństwa informacji będzie trzeba zgłosić w terminie 30 dni. Zgłoszenie powinno zawierać:
W przypadku zmiany danych o ABI, przedsiębiorca jest zobowiązany do poinformowania GIODO w terminie 14 dni. Rejestr administratorów bezpieczeństwa informacji jest jawny, a zaświadczenie o zarejestrowaniu ABI, będzie wydawany na żądanie przedsiębiorcy, po uiszczeniu stosownej opłaty.
GIODO może wydać decyzję o wykreśleniu ABI z rejestru, jeżeli okaże się, że:
W przypadku wykreślenia administratora bezpieczeństwa informacji z rejestru, administrator danych traci prawo do niezgłaszania zbiorów danych do GIODO.
Należy również pamiętać, że ABI powinien zostać odwołany przez przedsiębiorcę ze stanowiska w przypadku gdy przestaje spełniać wymogi: niekaralności, czy został pozbawiony zdolności do czynności prawnych. Z tego względu, właściwym wydaje się, aby wprowadzić wymóg cyklicznego odbierania oświadczenia od ABI o wypełnianiu ww. wymogów, lub wskazać obowiązek informowania przedsiębiorcy w przypadku utraty uprawnień do pełnienia funkcji ABI.
Nowością jest to, iż obowiązek rejestracji nie dotyczy zbiorów prowadzonych w sposób pisemny (nie korzystając z systemów informatycznych). Wyjątek ten nie dotyczy jednak zbiorów zawierających dane wrażliwe tj. mówiących m.in. o: poglądach politycznych, stanie zdrowia, pochodzeniu rasowym lub etnicznym, przynależności wyznaniowej, partyjnej czy związkowej.
Prowadzony przez administratora bezpieczeństwa informacji rejestr musi zawierać, dla każdego zbioru danych osobowych informacje m.in. o: celu przetwarzania, podstawie prawnej, kategorii osób, zakresie przetwarzania danych, sposobie ich zbierania i udostępniania, odbiorcach danych oraz transferze do państw trzecich.
Wiele podmiotów gospodarczych coraz częściej działa poza Europejskim Obszarem Gospodarczym na rynkach państw trzecich. Dane przekazywane są np. do Stanów Zjednoczonych czy Indii. Nowe przepisy decydują, że nie będzie konieczne uzyskiwanie każdorazowej zgody na taką operację ze strony GIODO. Nowelizacja przewiduje dwie dodatkowe furtki umożliwiające eksport danych. Pierwsza z nich to podpisanie tzw. Standardowych klauzul umownych. Druga alternatywa to zastosowanie przy przekazywaniu danych tzw. Wiążących reguł kooperacyjnych, czyli ogólnych zasad przetwarzania danych osobowych obowiązujących w danej spółce czy grupie kapitałowej. Przy czym, w tej sytuacji znów konieczne jest wydanie stosownej akceptacji przez GIODO. Ułatwieniem jest fakt, że jedna decyzja akceptująca powinna wystarczyć do zalegalizowania różnych procesów wykonywanych na danych osobowych.
Warto zaznaczyć, iż wyżej opisane zmiany nie są rewolucyjne, ale do takiej rewolucji mogą prowadzić. Na pewno są pierwszym krokiem dostosowawczym do nowych przepisów unijnych, których wprowadzenie Parlament Europejski i Rada Europejska przewidują na połowę bieżącego roku. Nowe jednolite prawo dla wszystkich państw członkowskich będzie mówić o tym, że wszystkie instytucje będą zobowiązane do posiadania Inspektora Danych Osobowych, czyli naszego ABI.
Ponadto nowelizacja podkreśla rolę ABI'ego i to jest zmiana najistotniejsza, gdyż docelowo GIODO w ten sposób chce zwiększyć swoje możliwości kontrolowania administratorów danych osobowych. Urzędnicy GIODO mogą zlecać wykonanie kontroli ABI'emu, jednakże dokonanie przez niego sprawdzenia nie wyłącza kompetencji GIODO w tym zakresie. Kontrola wykonywana przez ABIego określana została mianem ,,uproszczonej” i dopuszczalna jest jedynie uznaniowo, co nie wyklucza możliwości późniejszego przeprowadzenia kontroli właściwej przez GIODO.
Z cała pewnością zmiany wiążą się z dodatkową pracą dla administratora bezpieczeństwa informacji. Do jego obowiązków doszła konieczność prowadzenia jawnych rejestrów danych oraz cykliczne sprawdzenia zgodne z rozporządzonymi wytycznymi. Z drugiej strony usunięto obowiązek zgłaszania zbiorów danych osobowych nie zawierających danych wrażliwych.
Oczywiście w przypadku niepowołania ABI, obowiązek zgłaszania zbiorów przez administratora danych w zasadzie pozostanie w niezmienionym kształcie. Pamiętać jednak należy, że wybór co do powołania ABI ma w zasadzie tylko administrator danych osobowych, który jest osobą fizyczną. W przypadku osób prawnych, obowiązek powołania administratora bezpieczeństwa informacji jest bezsporny.
Karolina Kord
Koordynator Usług Certyfikacyjnych i Szkoleniowych
CIS - Certification & Information Security Services Sp. z o. o.
Quality Austria - Polska Sp. z o.o.