Z ABI prościej, czyli nowa ochrona danych osobowych.

W styczniu 2015 roku, weszła w życie nowelizacja ustawy o ochronie danych osobowych. Zmiana pozwala na powołanie i zgłoszenie ABI, odpowiedzialnego za ochronę danych osobowych, dzięki czemu nie trzeba już rejestrować ich w GIODO.

ochrona-danych-osobowych-w-firmie-ABI-blog-SasDesign
Każdy przedsiębiorca przetwarza dane osobowe – o ile w wypadku najmniejszych jednoosobowych przedsiębiorstw takie zdanie może okazać się nieprawdziwe, o tyle w stosunku do branży e-commerce jest ono, z całą pewnością, autentyczne. W swoim debiucie na blogu Sas Design, Centrum Prawa pragnie zachęcić Was do zainteresowania się prawem ochrony danych osobowych, począwszy od zagadnień związanych z nowym kształtem instytucji Administratora Bezpieczeństwa Informacji (ABI) nadanym przez nowelizację ustawy o ochronie danych osobowych zawartą w ustawie z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz. U. z 2014 r., poz. 1662), która weszła w życie 1 stycznia 2015 r.

Kim jest ABI?

Administrator Bezpieczeństwa Informacji, zwany popularnie „ABI” już od uchwalenia pierwotnego tekstu Ustawy został przewidziany jako osoba, która w imieniu przedsiębiorcy (administratora danych) wykonuje obowiązki związane z ochroną danych osobowych. Powołanie ABI, zarówno przed jak i po omawianej nowelizacji, było uprawnieniem, nie obowiązkiem przedsiębiorcy. Z uprawnienia tego powinny korzystać przede wszystkim duże struktury organizacyjne, administrujące kilkoma rozległymi zbiorami danych. Zmiana Ustawy, stanowi jednak zachętę, aby ustanawiać ABI również w mniejszych firmach.

Kto może być ABI?

Wskutek nowelizacji w ustawie po raz pierwszy określono formalne warunki, jakie powinien spełniać ABI. Zgodnie z art. 36 ust. 5 nowego brzmienia Ustawy, ABI może być osoba, która:

  • ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
  • posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
  • nie była karana za umyślne przestępstwo.

O ile pierwszy i trzeci warunek nie budzą wątpliwości, to warunek posiadania odpowiedniej wiedzy w zakresie ochrony danych osobowych wydaje się być pojęciem nieostrym. Jego spełnienie nie będzie jednak weryfikowane na etapie rejestracji. Warto jednak wskazać, że odpowiednia wiedza w zakresie ochrony danych osobowych powinna obejmować nie tylko wiedzę na temat regulacji prawnych ale także, w warunkach gdy większość zbiorów danych prowadzonych jest w systemach informatycznych, odpowiednią wiedzę nt. bezpieczeństwa informacji o charakterze informatycznym, w szczególności nt. zabezpieczenia sieci komputerowych.
segregator-ochrona-danych-osobowych-ABI-blog-sas-design2

Jakie jest miejsce ABI w przedsiębiorstwie?

Ustawodawca opowiedział się za modelem, w którym pełnienie funkcji ABI będzie jedynym obowiązkiem w firmie osoby powołanej na to stanowisko. Pełnienie innych zadań jest możliwe jedynie wtedy, gdy nie zagraża to prawidłowej realizacji obowiązków ABI. Taka sytuacja tj. pełnienie równolegle funkcji ABI i wykonywanie innych zadań będzie możliwa jedynie w mniejszych i średnich strukturach organizacyjnych. ABI powinien podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub jednoosobowemu przedsiębiorcy.

Administratorowi danych przyznano możliwość powoływania zastępców ABI, co będzie szczególnie użyteczne w sytuacji, gdy przetwarzanie danych odbywa się w sposób rozproszony – np. gdy firma ma kilka placówek. Administrator Danych powołujący ABI musi zapewnić mu środki i organizacyjną odrębność administratora bezpieczeństwa informacji, niezbędne do niezależnego wykonywania przez niego zadań. Należy wyraźnie zaznaczyć, że powołanie ABI nie zwalnia przedsiębiorcy z odpowiedzialności za przestrzeganie przepisów o ochronie danych osobowych.

Jakie nowe funkcje będzie pełnił ABI?

Dawne brzmienie ustawy:

zadaniem ABI jest nadzorowanie zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.

Według nowelizacji ustawy:

  1. zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez:
    • sporządzanie sprawozdania dla administratora danych z przestrzegania tych przepisów (nie ma określonej ilości i czasu na oddanie sprawozdania, ale jest określony sposób w jaki powinien być sporządzony),
    • nadzorowanie opracowania, aktualizowania dokumentacji ochrony danych osobowych (tj. Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym)
    • nadzorowanie przestrzegania zasad w niej zawartych,
  2. zapewnienie zapoznania się osób upoważnionych do przetwarzania danych z przepisami o ochronie danych osobowych.
    prowadzenie przez ABI rejestru zbiorów danych osobowych przetwarzanych w przedsiębiorstwie (nowy obowiązek)

Wybór Twój – zgłaszasz ABI albo zbiór!

Możliwość wyboru pomiędzy rejestracją ABI a rejestracją zbioru to esencja omawianej nowelizacji. Administratorzy Danych zwykłych (tj. innych niż wrażliwe) przetwarzanych w zbiorach podlegających rejestracji, mogą:

  1. zrezygnować z powoływania ABI i rejestrować zbiory danych tak jak dotychczas
  2. powołać ABI, zgłosić go u GIODO i są wtedy zwolnieni z obowiązku rejestracji zbiorów w GIODO.

Sytuacja nie zmienia się w przypadku zbiorów zawierających dane wrażliwe. Dane wrażliwe to dane ujawniające:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne, przekonania religijne lub filozoficzne,
  • przynależność wyznaniową, partyjną lub związkową,
  • dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym,
  • dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych,
  • innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Bez względu na powołanie i zgłoszenie ABI, jesteś zobowiązany do rejestracji u GIODO zbioru zawierającego dane wrażliwe.

Jak powołać i zgłosić ABI do GIODO?

Ustawa nie określa od strony formalnej jak ma wyglądać powołanie ABI, wydaje się to jednak akt na tyle doniosły, iż konieczność zachowania formy pisemnej wydaje się być tutaj niezbędnym minimum. Choć wobec braku uregulowań w tej kwestii, nie ma przeszkód aby ukonstytuowanie ABI nastąpiło w dokumencie będącym podstawą jego stosunku służbowego (np. w umowie o pracę), to jednak w ramach oddzielenia dokumentacji pracowniczej od dokumentacji ochrony danych osobowych, zalecałbym „wykreowanie” osobnego dokumentu. W przypadku podmiotów posiadających organ zarządzający (np. spółka z o.o.), właściwą formą wydaje się być uchwała tego organu. Powołanie lub odwołanie ABI należy zgłosić do GIODO w terminie 30 dni od zajścia takiego zdarzenia, natomiast zmianę danych objętych wpisem (np. zmiana nazwiska kobiety będącej ABI wskutek zawarcia małżeństwa) – w terminie 14 dni. Zgłoszenie powołania, odwołania lub zmiany danych odbywać się będzie na specjalnym formularzu według wzoru określonego rozporządzeniem (wzór znajdziesz tutaj).

Na wniosek Administratora Danych, GIODO może wydać nam zaświadczenie o dokonaniu zgłoszenia.

ochrona-danych-osobowych-ABI-blog-sas-design
„Prywatny” rejestr zbiorów danych

W nowym brzmieniu przepisów o ochronie danych osobowych, ustawodawca zdecydował się na swego rodzaju częściowy „outsourcing” jednego z zadań GIODO, jakim jest prowadzenie rejestru zbiorów danych. W przedsiębiorstwach, w których powołano i zgłoszono ABI, będzie on odpowiedzialny za prowadzenie jawnego rejestru danych przetwarzanych w przedsiębiorstwie.

Według aktualnego projektu, w tym „prywatnym”, jawnym rejestrze, znajdą się następujące informacje na temat zbiorów:

  1. nazwa zbioru danych;
  2. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
  3. oznaczenie przedstawiciela administratora danych mającego siedzibę poza EOG, i adres jego siedziby lub miejsca zamieszkania;
  4. w przypadku powierzenia przetwarzania danych, oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru i adres jego siedziby lub miejsca zamieszkania;
  5. podstawa prawna upoważniająca do prowadzenia zbioru danych;
  6. cel przetwarzania danych w zbiorze
  7. opis kategorii osób, których dane są przetwarzane w zbiorze;
  8. zakres danych przetwarzanych w zbiorze;
  9. sposób zbierania danych do zbioru;
  10. sposób udostępniania danych ze zbioru;
  11. oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;
  12. informacja dotycząca ewentualnego przekazywania danych do państwa spoza EOG

Projekt rozporządzenia określa również sposób ujawnienia zainteresowanym treści takiego rejestru. Sposoby te różnią się, w zależności od tego, czy prowadzony on będzie w postaci papierowej czy elektronicznej. W wypadku wersji papierowej, ABI udostępnia go do wglądu każdemu zainteresowanemu w siedzibie firmy. W wypadku wersji elektronicznej, można to zrobić poprzez przygotowanie stanowiska dostępowego w siedzibie firmy lub też poprzez publikację na stronie internetowej. W drugim przypadku, link do rejestru musi znajdować się na stronie głównej. ABI jest również zobowiązany do prowadzenia historii zmian w rejestrze.

Podsumowanie

Kończąc dzisiejszy wpis, chciałbym zachęcić do spojrzenia na nowelizację, a zwłaszcza na możliwość wyboru przedmiotu rejestracji w GIODO (tj. ABI lub zbiór) w sposób pragmatyczny. Zarówno w pierwszej jak i drugiej opcji, musimy wysilić się na opracowanie tych samych informacji (tj. danych o zbiorze). Rejestracja ABI ma tą jednak zaletę, że pozostajemy mniej narażeni na wykrycie przez GIODO naszych ewentualnych niedociągnięć (np. spóźnienie w ujawnieniu nowego zbioru danych).