Przewodnik po zmianach w ochronie. danych osobowych w 2015 roku

Transkrypt

1 Przewodnik po zmianach w ochronie danych osobowych w 2015 roku

2 SPIS TREŚCI Spis treści Nowelizacja ustawy o ochronie danych osobowych Organizacja ochrony danych osobowych po nowelizacji... 3 Xawery Konarski Rejestracja ABI w GIODO - pytania o trzecią drogę... 9 Damian Karwala Rejestracja zbiorów danych osobowych po nowelizacji dr Jan Byrski Administrator danych może realizować zadania ABI Michał Bienias Rola ABI w okresie przejściowym (do 30 czerwca 2015 r.) Michał Bienias Przyczyna odwołania ABI a sytuacja prawna ADO Paweł Tobiczyk Odpowiednia wiedza z ochrony danych nowy wymóg Paweł Tobiczyk Odpowiedzialność ABI po nowelizacji ustawy Michał Bienias Nowe zasady przekazywania danych do państw trzecich Damian Karwala Rozporządzenia wykonawcze do ustawy o ochronie danych osobowych Prowadzenie rejestru zbiorów danych przez ABI - rozporządzenie Paweł Tobiczyk Sposób realizacji zadań przez ABI - rozporządzenie Michał Bienias

3 LIST OD REDAKTORA Drodzy Czytelnicy! Wioleta Szczygielska redaktor prowadząca Za nami duża zmiana w przepisach o ochronie danych osobowych. Wraz początkiem roku weszła w życie nowelizacja ustawy o ochronie danych osobowych. Była to największa od 2004 r. zmiana tego aktu. Objęła ona zmiany dotyczące trzech obszarów. Pierwszym jest organizacja ochrony danych osobowych, w tym sposób funkcjonowania administratorów bezpieczeństwa informacji. Druga kwestia, która uległa zmianie to obowiązek zgłoszenia zbiorów danych osobowych do rejestracji w GIODO. Trzeci zakres zmian dotyczy zaś zasad transferu danych osobowych do państw trzecich. Doczekaliśmy się także w końcu kompletu rozporządzeń wykonawczych do ustawy. Określają one zasady, zgodnie z którymi administrator bezpieczeństwa informacji będzie realizował swoje zadania. Do najważniejszych z nich należy prowadzenie jawnego rejestru zbiorów danych, nadzór nad dokumentacją przetwarzania danych czy prowadzenie sprawdzenia zgodności przetwarzania danych osobowych z przepisami. W związku z tym, że zmiany budzą wiele wątpliwości przygotowaliśmy publikację w całości poświęconą zmianom w prawie ochrony danych osobowych. Wybitni eksperci z Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy wyjaśniają najbardziej zawiłe kwestie związane z nowelizacją. Życzę owocnej lektury! PATRONAT MERYTORYCZNY EKSPERCI Damian Karwala, radca prawny, współpracownik Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska XAWERY KONARSKI adwokat, starszy wspólnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Informatyki i Telekomunikacji, Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska Paweł Tobiczyk, aplikant adwokacki, doktorant w Katedrze Prawa Własności Intelektualnej Uniwersytetu Jagiellońskiego, pracownik departamentu Technologie Media Telekomunikacja w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy Michał Bienias, aplikant radcowski przy Okręgowej Izbie Radców Prawnych w Warszawie, prawnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy dr Jan Byrski adwokat, wspólnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, adiunkt w Katedrze Prawa Cywilnego i Gospodarczego Uniwersytetu Ekonomicznego w Krakowie. 142

4 NOWELIZACJA USTAWY Organizacja ochrony danych osobowych po nowelizacji Nowelizacja ustawy o ochronie danych osobowych ustanawia nowe zasady organizacji ochrony danych osobowych. Zgodnie z nimi administrator danych może wybrać, czy zadania te chce wykonywać samodzielnie, czy też przy pomocy Administratora Bezpieczeństwa Informacji. W tym drugim przypadku w ustawie wprowadzono dodatkowe, korzystne rozwiązania dla administratorów danych. Nowe zasady organizacji ochrony danych Z konstrukcyjnego punktu widzenia organizacja ochrony danych osobowych przez administratorów danych może być realizowana w dwóch, równoważnych modelach: a) samodzielnie przez administratora danych (ADO) albo b) z udziałem Administratora Bezpieczeństwa Informacji (ABI), powołanego przez administratora danych. Należy podkreślić, że wybór jednego z powyższych modeli nie ma znaczenia z punktu widzenia zakresu ochrony danych osobowych, do której zobowiązany jest ADO. W obu modelach administratorzy danych są zobowiązani do podjęcia działań tego samego rodzaju, np. w zakresie doboru środków technicznych i organizacyjnych zabezpieczenia danych. Z drugiej strony w dyrektywie nr 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych 1 uprzywilejowano model z udziałem ABI-ego. W art. 18 ust. 2 dyrektywy określony jest on jako urzędnik do spraw ochrony danych osobowych (data protection official). W myśl regulacji unijnej, administratorzy danych, którzy w ramach swoich struktur stworzą tego rodzaju funkcję, mogą liczyć na zwolnienie z obowiązku zgłaszania przetwarzania danych do rejestracji w organie ds. ochrony danych osobowych. Jest to wyraz preferowanej na poziomie unijnym idei zapewnienia nie tylko kontro- 1 Dz.U. UE nr L 281 z r. XAWERY KONARSKI adwokat, starszy wspólnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Informatyki i Telekomunikacji, Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska li instytucjonalnej w zakresie ochrony danych, sprawowanej przez powołany do tego organ (w Polsce Generalnego Inspektora Ochrony Danych Osobowych, GIODO), ale także kontroli funkcjonalnej, realizowanej w ramach struktury wewnętrznej administratora danych 2. Przyjmuje się, że kontrola tego rodzaju jest efektywniej organizowana w sytuacji powołania specjalnej struktury u administratora danych. Funkcjonowanie ABI przed nowelizacją W dotychczasowym stanie prawnym funkcjonowanie ABI było regulowane jednym przepisem, tj. art. 36 ust. 3 ustawy o ochronie danych osobowych 3. Zgodnie z nim administrator wyznacza Administratora Bezpieczeństwa Informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności. Z treści tego przepisu Generalny Inspektor wywodził obowiązek wyznaczania ABI przez tych administratorów danych, którzy działają jako osoby prawne (np. spółki). Stanowisko to zostało potwierdzone w orzecznictwie sądów administracyjnych 4. Obowiązku takiego nie mieli natomiast ci administratorzy danych, którzy byli osobami fizycznymi (np. przedsiębiorcy prowadzący jednoosobową działalność gospodarczą). 2 Paweł Fajgielski, Administrator bezpieczeństwa informacji geneza, stan obecny i perspektywy zmian Dodatek Monitora Prawniczego nr 9/2004). 3 Ustawa z 29 sierpnia o ochronie danych osobowych (tekst jednolity: Dz.U. z 2014 r., poz. 1182). 4 Wyrok Naczelnego Sądu Administracyjnego z dnia 21 lutego 2014 r. (I OSK 2445/12). Szersze omówienie tego orzeczenia w niniejszym numerze M. Bienias Administrator danych może realizować zadania ABI. 143

5 Korzyści z powołania Administratora Bezpieczeństwa Informacji to uproszczona kontrola i uproszczona rejestracja W ich przypadku możliwe było więc osobiste sprawowanie nadzoru nad danymi osobowymi, bez konieczności wyznaczania ABI. Nowelizacja uodo wprowadza istotną zmianę w powyższym zakresie. Przepis art. 36a ust. 1 znowelizowanej uodo stanowi bowiem, że administrator danych może powołać Administratora Bezpieczeństwa Informacji. Równocześnie w art. 36b wyraźnie wskazano, że w przypadku niepowołania Administratora Bezpieczeństwa Informacji zadania w zakresie zapewnienia przestrzegania przepisów o ochronie danych osobowych wykonuje administrator danych. W świetle powyższych przepisów należy uznać, że po 1 stycznia 2015 r. każdy administrator danych (a więc również osoby prawne) będzie mógł wybrać bądź model osobistego sprawowania nadzoru nad ochroną danych osobowych, bądź też utworzyć powołaną do tego specjalną strukturę, w skład której wchodzą ABI i ewentualnie jego zastępcy (art. 36a ust. 6). Dalsze uwagi poświęcone zostaną modelowi, w którym administrator danych powołuje Administratora Bezpieczeństwa Informacji. Związane jest z nim bowiem ustanowienie dodatkowych korzyści w ustawie, jest on również patrząc na treść projektu rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych docelowym sposobem dla dużej grupy administratorów danych. Korzyści płynące z powołania ABI Fakultatywność obowiązku powołania ABI każe zadać pytanie, czy i jakie są ewentualne korzyści dla administratora danych związane z jego ustanowieniem. Analiza przepisów znowelizowanej uodo pozwala w związku z tym na wskazanie dwóch podstawowych zachęt. Należą do nich w szczególności tzw. uproszczona kontrola oraz uproszczona rejestracja. Do uproszczonej kontroli odnosi się art. 19b ust. 1 znowelizowanej uodo. Zgodnie z tym przepisem Generalny Inspektor może zwrócić się do Administratora Bezpieczeństwa Informacji wpisanego do rejestru o dokonanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Sprawdzenie to wykonywane jest u administratora danych, który powołał ABI-ego, a jego zakres i termin określa Generalny Inspektor. UWAGA Istotą kontroli uproszczonej jest to, że nie ma ona charakteru kontroli zewnętrznej wykonywanej przez pracowników GIODO, ale kontroli wewnętrznej realizowanej przez osobę powołaną przez administratora danych. Niewątpliwie jest to rozwiązanie korzystne dla ADO. Uproszczona rejestracja jest z kolei regulowana przepisem art. 43a) ust. 1a znowelizowanej uodo. Zgodnie z nim powołanie ABI i zgłoszenie go Generalnemu Inspektorowi do rejestracji skutkuje brakiem konieczności zgłaszania przez administratora danych do rejestracji zbiorów zwykłych, a więc zbiorów niezawierających danych wrażliwych, których katalog określony jest w art. 27 ustawy o ochronie danych osobowych. Oprócz wyraźnie wskazanych w ustawie korzyści dotyczących powołania ABI-ego wymienić należy dalsze jeszcze zalety przyjęcia takiego modelu. W pierwszej kolejności należy wskazać na ograniczenie ryzyka ponoszenia odpowiedzialności karnej za nieprzestrzeganie przepisów o ochronie danych osobowych przez osoby sprawujące w imieniu Administratora Danych Osobowych nadzór nad ochroną danych (np. członkowie zarządu). Po drugie, ustanowienie Administratora Bezpieczeństwa Informacji w stosunku do części administratorów danych przewidziane jest w projekcie rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (tzw. ogólne rozporządzenie o ochronie danych). Powołanie Administratora Bezpieczeństwa Informacji na podstawie znowelizowanych przepisów uodo stanowić więc będzie dla tych podmiotów element przygotowania danej organizacji do spełnienia wymogów prawnych, które pojawią się w przyszłości. Po trzecie, nie do przeceniania jest tzw. aspekt wizerunkowy. Podmioty, które posiadają sprofesjonalizowaną strukturę ochrony informacji, powszechnie traktowane są jako lepiej dbające o należyte zabezpieczenie danych osobowych. Może to mieć szczególne znaczenie w przypadku tych administratorów danych, których podstawowa działalność nierozerwalnie związana jest z korzystaniem z danych osobowych. Status i zadania ABI istota zmian Nowelizacja uodo stanowi wyraz realizacji postulatu, wyżej już opisanego, zwiększenia kontroli funkcjonalnej. Ma się ona odbywać poprzez wprowadzenie wielu rozwiązań, które pozwalają ABI wykonywać zadania, będące do tej pory wyłączną domeną Generalnego Inspektora (kontrola instytucjonalna). Z drugiej strony kontrola funkcjonalna odbywa się poprzez ustanowienie instrumentów, które zapewniają osobom sprawującym funkcję ABI faktyczne możliwości wykonywania powierzonych im zadań (m.in. gwarancje niezależności, odpowiednie środki itp.). Zawarte w nowelizacji rozwiązania w zakresie zasad ochrony danych osobowych, w tym statusu i zadań Administra- 144

6 NOWELIZACJA USTAWY torów Bezpieczeństwa Informacji, można podzielić na dwie zasadnicze grupy 1 : 1) propozycje zmian, których celem było wyjaśnienie wątpliwości interpretacyjnych zgłaszanych w doktrynie prawa, 2) propozycje nowych uregulowań. Do pierwszej grupy zaliczyć można m.in.: podkreślenie fakultatywności powołania ABI, doprecyzowanie jego usytuowania w ramach struktury organizacyjnej ADO, a także uszczegółowienie zadań, do których realizacji jest zobowiązany. Do drugiej grupy z kolei należą: ustanowienie obowiązków ABI w zakresie sprawdzeń (kontroli) realizowanych zarówno na rzecz Generalnego Inspektora Ochrony Danych Osobowych (GIODO), jak i administratora danych, wprowadzenie obowiązku zgłoszenia ABI do rejestracji, a także ustanowienie dodatkowych wyłączenie z obowiązku zgłaszania rejestracji zbiorów danych w GIODO, w sytuacji gdy powołany został ABI. Nowy i stary ABI w okresie przejściowym W art. 35 ustawy o ułatwieniu wykonywania działalności gospodarczej zawarty został przepis przejściowy dotyczący statusu prawnego ABI wyznaczonych przed wejściem w życie nowelizacji uodo. Zgodnie z nim dotychczasowi ABI pełnią swą funkcję, w zakresie określonym nowymi przepisami, ( ) do czasu zgłoszenia ich do rejestracji, nie później jednak niż do 30 czerwca 2015 r.. Treść powyższego przepisu pozwala na wysunięcie kilku wniosków. Po pierwsze, należy uznać, że starzy ABI w okresie przejściowym mogą pełnić swoje funkcje, nawet wówczas gdy nie spełniają wymogów ustanowionych w znowelizowanej uodo (art. 36a ust. 5). Zgodnie z nimi Administratorem Bezpieczeństwa Informacji może być osoba, która: a) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, b) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych oraz c) nie była karana za umyślne przestępstwo. Po drugie, inna jest w stosunku do nowych i starych ABI chwila, w której aktualizuje się obowiązek zgłoszenia rejestracyjnego. W stosunku do tych pierwszych nie stosuje się bowiem przepisu przejściowego. Ich zgłoszenie powinno więc nastąpić w terminie określonym w art. 46b ust. 1 tj. w terminie 30 dni od ich powołania na tę funkcję. Zgłoszenie starych ABI, może natomiast nastąpić w terminie dłuższym, tj. najpóźniej do 30 czerwca 2015 r. 1 Paweł Fajgielski, Administrator bezpieczeństwa informacji geneza, stan obecny i perspektywy zmian Dodatek Monitora Prawniczego nr 9/2004. Dotychczasowi Administratorzy Bezpieczeństwa Informacji mogą pełnić swoją funkcję najpóźniej do 30 czerwca 2015 r. Po trzecie, należy podkreślić, że zakres zadań, które powinni spełniać nowi i starzy ABI jest taki sam i określony został przepisami znowelizowanej uodo. Okoliczność, że dotychczasowi ABI mogą zostać zgłoszeni do rejestracji w GIODO do 30 czerwca 2015 r., jest bez znaczenia. Również więc oni powinni począwszy od 1 stycznia 2015 r. realizować zadania określone przede wszystkim w art. 36a ust. 2 znowelizowanej uodo. Wyjątkiem jest wykonywanie sprawdzenia, o których mowa w art. 19b ust. 2. W przepisie tym mowa bowiem jest o możliwości zwrócenia się przez Generalnego Inspektora do Administratora Bezpieczeństwa Informacji wpisanego do rejestru. Znacznie większe kontrowersje interpretacyjne wywołuje natomiast ocena, czy w okresie przejściowym istnieje obowiązek prowadzenia przez ABI rejestru zbiorów danych. Zwróćmy w związku z tym uwagę, że w praktyce oznaczałoby to dublowanie prowadzenia rejestrów tych samych zbiorów przez Generalnego Inspektora oraz ABI-ego (w ramach struktury administratora danych). Wydaje się w związku z tym, że argumenty celowościowe przemawiają za przyjęciem wykładni, zgodnie z którą obowiązek ten aktualizuję się dopiero po zarejestrowaniu ABI-ego. Powołanie i sposób pełnienia funkcji ABI Sposób sformułowania ustawowych wymogów, które ma spełnić Administrator Bezpieczeństwa Informacji, przesądza o tym, że funkcję tę może spełniać tylko konkretna osoba fizyczna. ABI-im nie może więc być jednostka organizacyjna. Nowym rozwiązaniem jest umożliwienie Administratorowi Bezpieczeństwa Informacji powołania swoich zastępców, którzy muszą spełniać takie wymogi formalne jak ABI (art. 36a ust. 6). Wprowadzenie regulacji tego rodzaju każe wysnuć wniosek, że w obecnym stanie prawnym jeden administrator danych może powołać tylko jednego Administratora Bezpieczeństwa Informacji. Brak jest więc np. możliwości powołania kilku ABI dla poszczególnych zbiorów danych osobowych. WAŻNE Podobnie jak w dotychczasowym stanie prawnym, również po nowelizacji brak jest przeszkód, aby Administrator Bezpieczeństwa Informacji sprawował swoją funkcję na podstawie innej podstawy prawnej niż umowa o pracę (np. na podstawie cywilnoprawnej umowy zlecenia). 145

7 Jak już kilkakrotnie wspomniano powyżej, jednym z podstawowych celów nowelizacji było zwiększenie znaczenia kontroli funkcjonalnej, realizowanej przez Administratorów Bezpieczeństwa Informacji (m.in. zadania ustawowe dotyczące uproszczonej kontroli oraz uproszczonej rejestracji). Z tych przyczyn w ustawie wprowadzono szczególne instrumenty, które mają umożliwić ABI-im prawidłowe wykonywanie tych zadań. W pierwszej kolejności wymienić należy obowiązek administratora danych zapewnienia ABI-emu odpowiednich środków, jak też organizacyjnej odrębności pozwalającej na niezależne wykonywanie przez niego określonych w ustawie zadań (art. 36a ust. 8). PRZYKŁAD Poprzez odpowiednie środki należy rozumieć personel, pomieszczenia, sprzęt, a także inne zasoby niezbędne do wykonywania zadań przez ABI. W pojęciu tym mieści się również zapewnienie utrzymania odpowiedniego poziomu wiedzy zawodowej ABI. Z powyższym obowiązkiem ściśle związany jest wymóg, aby Administrator Bezpieczeństwa Informacji podlegał bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych (art. 36a ust. 7). Jak się przyjmuje, takie usytuowanie ABI-ego pozwala mu na efektywniejszą realizację zadań w zakresie ochrony danych osobowych, między innymi z uwagi na możliwość podejmowania działań władczych w stosunku do osób, które znajdują się niżej w strukturze danego podmiotu. Chodzi również o to, aby Administrator Bezpieczeństwa Informacji wykonywał swoje zadania niezależnie i nie otrzymywał żadnych poleceń dotyczących pełnienia swojej funkcji. Gwarancją należytego wykonywania zadań przez ABI jest również wymóg, aby administrator danych mógł mu powierzyć wykonywanie innych jeszcze niż zadania z zakresu ochrony danych osobowych obowiązków tylko wówczas, jeżeli nie naruszy to prawidłowego wykonywania tych zadań (art. 36a ust. 4). UWAGA Wymóg ten należy rozumieć w ten sposób, że administrator danych powinien zagwarantować, że inne obowiązki (zawodowe) ABI-ego będą zgodne z zadaniami tej osoby jako Administratora Bezpieczeństwa Informacji i nie będą skutkowały konfliktem interesów. Odpowiedzialność administratora danych W świetle powyższych przepisów warto poczynić kilka uwag o charakterze ogólnym. Po pierwsze, że sposób sformułowania powyższych obowiązków ustawowych pozwala na przyjęcie, że niewykonanie przez administratora danych jego obowiązków zapewnienia odpowiednich warunków wykonywania zadań przez ABI rodzić może jego odpowiedzialność administracyjną. ABI powinien podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych Należy w związku z tym przyjąć, że Generalny Inspektor może wydawać, na podstawie art. 18 uodo, decyzje nakazujące przywrócenie stanu zgodnego z prawem. Może to zrobić między innymi poprzez wskazanie, jakiego rodzaju działania powinny zostać podjęte przez administratora danych. Z taką sytuacją mielibyśmy do czynienia właśnie np. w przypadku naruszenia obowiązków określonych w art. 36a ust. 8. Po drugie, należy przyjąć, że ustawa dopuszcza pełnienie funkcji ABI w różnych wariantach. W szczególności osobie takiej może być powierzone określone stanowisko pracy, dodatkowe zadanie, czy też wyznaczona funkcja (niezależna od ewentualnego pozostawania w stosunku pracy z administratorem danych). Za dopuszczalne należy również przyjąć pełnienie roli Administratora Bezpieczeństwa Informacji w różnych jednostkach organizacyjnych. Należy jednak pamiętać, że w każdym z tych przypadków koniecznie jest spełnienie wyżej wymienionych wymogów. Wydaje się w związku z tym, że w pewnych sytuacjach trudne mogłoby być łączenie roli ABI z zajmowaniem stanowisk, które w ramach wykonywania przez niego zadań jako Administratora Bezpieczeństwa Informacji miałyby podlegać jego kontroli, np. z uwagi na konflikt interesów. WAŻNE Nowe przepisy niewątpliwie będą wymagać zweryfikowania zasad dopuszczalnego outsourcingu ABI, szczególnie mając na względzie konieczność spełnienia warunku bezpośredniej podległości kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Nowe zadania ABI-ego po nowelizacji ustawy Nowe zadania Administratorów Bezpieczeństwa Informacji określone zostały w art. 19b ust. 1 (działania zewnętrzne) oraz 36a ust. 2 pkt 1 (działania wewnętrzne) znowelizowanej ustawy. W pierwszym przypadku chodzi o dokonywanie przez ABI, na żądanie Generalnego Inspektora Ochrony Danych Osobowych, sprawdzenia u administratora danych zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (uproszczona kontrola). Po dokonaniu sprawdzenia Administrator Bezpieczeństwa Informacji przedstawia, za pośrednictwem administratora danych, sprawozdanie obejmujące badanie zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Elementy sprawozdania wskazane są w art. 36c znowelizowa- 146

8 NOWELIZACJA USTAWY nej ustawy. Obowiązek wykonywania tych zadań aktualizuje się od chwili zgłoszenia ABI do rejestracji u Generalnego Inspektora Ochrony Danych Osobowych. W drugiej grupie sytuacji mieszczą się natomiast różne zadania, które ABI powinien wykonać w ramach struktury administratora danych. Obowiązek ich wykonywania aktualizuje się zarówno w stosunku do nowych, jak i starych ABI, od chwili wejścia w życie nowelizacji, tj. 1 stycznia 2015 r. Bez znaczenia jest więc, czy dokonane zostało już zgłoszenie Administratora Bezpieczeństwa Informacji do rejestracji. Zakres zadań wewnętrznych ABI W grupie zadań wewnętrznych ABI-ego mieszczą się dwa podstawowe rodzaje działań. Do pierwszej grupy zadań wewnętrznych zaliczyć należy zapewnienie przestrzegania przepisów o ochronie danych osobowych (art. 36a ust. 2 pkt 1). Chodzi tu o różnego rodzaju działania o charakterze wykonawczym, kontrolnym oraz opiniodawczym 1. W ustawie wskazano w związku z tym na takie czynności, jak: a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, b) nadzorowanie opracowania i aktualizowania dokumentacji przetwarzania i ochrony danych osobowych oraz przestrzeganie zasad w niej określonych, c) zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. UWAGA Zakres zadań ABI wykracza poza problematykę zabezpieczenia danych osobowych i dotyczy również np. weryfikacji podstaw prawnych przetwarzania danych przez administratora. Realizacji tego zadania służyć mają m.in. okresowe sprawdzenia (audyty) zgodności przetwarzania z przepisami o ochronie danych osobowych. Należy również pamiętać, że wyliczenie zadań w art. 36a ust. 2 pkt 1 nie ma charakteru zamkniętego, Administratorzy Bezpieczeństwa Informacji mogą i powinni wykonywać inne jeszcze zadania (np. będąc punktem kontaktowym w przypadku zgłaszanych skarg przez podmioty danych czy działając jako pełnomocnicy administratora danych w trakcie kontroli wykonywanych przez inspektorów Generalnego Inspektora Ochrony Danych Osobowych). Drugim, niewystępującym dotychczas w ustawie, rodzajem wewnętrznych zadań ABI jest obowiązek prowadzenia rejestru zbiorów danych przetwarzanych przez administratora danych (art. 36a ust. 2 pkt 2 uodo). Rejestr ten powinien być jawny. Uszczegółowienie obu wyżej opisanych działań wewnętrznych ma nastąpić w rozporządzeniu wykonawczym, wydanym na podstawie art. 36a ust. 9. Do zadań zewnętrznych ABI należy m.in. sprawdzanie, na żądanie GIODO, zgodności przetwarzania danych osobowych u ADO z przepisami Obowiązek rejestracji ABI W przypadku wyboru modelu zarządzania ochroną danych osobowych poprzez powołanie Administratora Bezpieczeństwa Informacji administrator danych jest zobowiązany do zgłoszenia go do rejestracji 2. Zgłoszenie to, z wyjątkiem starego ABI, powinno nastąpić w terminie 30 dni od jego powołania (art. 46b ust. 1). W ustawie wprowadzono również 14-dniowy obowiązek aktualizacyjny, dotyczący informacji objętych pierwotnym zgłoszeniem (art. 46b ust. 5). Dokonanie zgłoszenia ABI do rejestracji ma trojakiego rodzaju znaczenie prawne. Po pierwsze, możliwość zażądania przez Generalnego Inspektora przeprowadzenia kontroli uproszczonej aktualizuje się dopiero po zgłoszeniu ABI do rejestracji (art. 19b ust. 1). Po drugie, o ile sam obowiązek powołania ABI ma charakter fakultatywny, o tyle już po podjęciu takiej decyzji przez administratora danych nie ma on swobody i powinien dokonać zgłoszenia ABI. Jego niewykonanie będzie skutkowało odpowiedzialnością administracyjną, należy natomiast przyjąć, że administrator nie ponosi wówczas odpowiedzialności karnej. W ramach nowelizacji nie zmieniono bowiem dotychczasowego art. 53 uodo, który przewiduje sankcję karną za niewykonanie zgłoszenia rejestracyjnego (ale w zakresie zbiorów danych, a nie ABI). Po trzecie, zgłoszenie ABI do rejestracji jest warunkiem skorzystania przez administratora danych zbiorów ze zwolnienia z obowiązku rejestracji zbiorów danych osobowych na podstawie art. 43 ust. 1a (uproszczona rejestracja). Uprawnienia kontrolne GIODO wobec ABI Zgłoszenie ABI do rejestracji skutkuje zwolnieniem administratora danych z obowiązku rejestracji zwykłych zbiorów danych. Szczególnego znaczenia nabiera w związku z tym regulacja dotycząca wykreślania ABI. Znowelizowana ustawa różnicuje w tym zakresie dwie grupy sytuacji. Do pierwszej zalicza się przypadki wykreślenia Administratora Bezpieczeństwa Informacji z rejestru wskutek powiadomienia o jego odwołaniu albo jego śmierci (art. 46d ust. 1). Należy przyjąć, że jeżeli równocześnie zostanie powołany nowy ABI, w stosunku do którego administrator danych 1 Bogusława Pilc, dodatek Monitor Prawniczy nr 7/ Szerzej na temat obowiązku zgłoszenia ABI do rejestracji zob. J. Byrski w niniejszym numerze Rejestracja zbiorów danych osobowych po nowelizacji. 147

9 Zgłoszenie powołania nowego ABI do Generalnego Inspektora powinno nastąpić w ciągu 30 dni od daty jego powołania wykona nowe zgłoszenie, to wówczas zachowuje ono możliwość skorzystania z ustawowego wyłączenia (uproszczona rejestracja). Bardziej skomplikowana jest sytuacja, w której Generalny Inspektor dokona wykreślenia ABI-ego z urzędu. Tego rodzaju regulacja niewątpliwie stanowi wyraz nadania Generalnemu Inspektorowi uprawnień kontrolnych wobec ABI 1. Zgodnie z wyraźnymi przepisami w tym względzie do administratora danych będącego adresatem decyzji o wykreśleniu nie stosuje się zwolnienia z obowiązku rejestracji zbiorów danych (art. 46d ust. 3). W przypadku ponownego zgłoszenia do rejestracji Administratora Bezpieczeństwa Informacji wykreślonego na podstawie decyzji Generalnego Inspektora zwolnienie z obowiązku rejestracji zbioru stosuje się dopiero po wpisaniu zgłoszonego Administratora Bezpieczeństwa Informacji do rejestru ABI (art. 46e ust. 2), z uwagi na niespełnienie określonych w znowelizowanej uodo warunków pełnienia tej funkcji lub niewykonywanie przez niego ustawowych zadań (art. 46d ust. 2 pkt 1 i 2). Odpowiedzialność ABI Nowe przepisy nie wprowadzają bezpośrednich zmian w zakresie zasad odpowiedzialności prawnej Administratorów Bezpieczeństwa Informacji w tym znaczeniu, że nie wprowadzają nowych lub nie modyfikują dotychczasowych przepisów, które taką możliwość przewidują. Z drugiej strony poszerzył się zakres zadań, do których realizacji został zobowiązany Administrator Bezpieczeń- stwa Informacji. Bez wątpienia może mieć to wpływ na ocenę, czy ponosi on odpowiedzialność za ich niewykonanie. WAŻNE Przepisy ustawy o ochronie danych osobowych odnoszą się do odpowiedzialności porządkowej (dyscyplinarnej) lub karnej ABI-ego, w żadnym przypadku nie ponosi on natomiast odpowiedzialności administracyjnej. Zgodnie z art. 17 ust. 2 uodo, jeżeli w wyniku przeprowadzonej kontroli, inspektor stwierdzi naruszenie przepisów o ochronie danych osobowych, to wówczas może żądać wszczęcia odpowiedniego postępowania (np. przez pracodawcę) przeciwko osobom winnym dopuszczenia do uchybień. Generalny Inspektor może też żądać poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach. Drugim z rodzajów odpowiedzialności, określonych w ustawie o ochronie danych osobowych, a który może być podstawą odpowiedzialności Administratora Bezpieczeństwa Informacji, jest odpowiedzialność karna. W przypadku ABI-ego, szczególne znaczenie mają dwa przepisy. Po pierwsze, art. 51 ustawy o ochronie danych osobowych, w którym spenalizowano sytuację udostępnienia przez osobę obowiązaną do ochrony danych osobowych (a więc również ABI-ego), udostępnienie lub umożliwienie dostępu do danych osobom nieupoważnionym. Po drugie, art. 54a ustawy o ochronie danych osobowych, zgodnie z którym odpowiadać karnie może również Administrator Bezpieczeństwa Informacji, o ile udaremni lub utrudni inspektorowi wykonanie czynności kontrolnej. Wydaje się w tym kontekście, że ABI nie ponosi na podstawie tego przepisu odpowiedzialności za niewykonanie tzw. uproszczonej kontroli, a więc sprawdzenia, którego ewentualnie zażąda Generalny Inspektor Ochrony Danych Osobowych. 1 Odnośnie do możliwości weryfikacji wymogów formalnych ABI na etapie zgłoszenia zob. Paweł Tobiczyk w niniejszym numerze Odpowiednia wiedza z ochrony danych nowy wymóg. 148

10 NOWELIZACJA USTAWY Rejestracja ABI w GIODO pytania o trzecią drogę Nowelizacja ustawy o ochronie danych osobowych miała ułatwić pracę instytucjom, które zdecydują się zarejestrować swojego Administratora Bezpieczeństwa Informacji w GIODO. Dzięki temu miały być one zwolnione z obowiązku zgłaszania zbiorów danych osobowych do rejestracji. Praktyczne zastosowanie tego ułatwienia budzi jednak pewne wątpliwości. Zgodnie z art. 46b ust. 1 ustawy o ochronie danych osobowych administrator danych jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi powołanie ( ) Administratora Bezpieczeństwa Informacji ( ABI ). Obowiązek ten należy zrealizować w terminie 30 dni od dnia jego powołania. Analogiczny obowiązek dotyczy faktu odwołania ABI, o czym administrator danych ma również obowiązek poinformować Generalnego Inspektora Ochrony Danych Osobowych, także w terminie 30 dni od dnia jego odwołania. Obowiązek zgłoszeniowy potwierdza również przepis przejściowy (art. 35 ustawy z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej). Daje on administratorom danych czas do 30 czerwca 2015 r. na zgłoszenie do rejestru GIODO tych ABI, którzy wyznaczeni zostali na podstawie art. 36 ust. 3 ustawy, w dotychczasowym jej brzmieniu. ABI od zgłoszenia czy zarejestrowania Wydawać by się mogło, że każdy wyznaczony przez administratora danych ABI bez względu na to, czy powołany w oparciu o (uchylony) art. 36 ust. 3 ustawy, czy też o (nowy) art. 36a ust. 1 wymaga, pod rządami nowej regulacji, bezwzględnego zarejestrowania w publicznym rejestrze GIODO. Taki na pierwszy rzut oka oczywisty wniosek nie usuwa jednak wątpliwości z tym związanych. Mając na uwadze obowiązek rejestracyjny i formalne rozdzielenie dwóch, a nawet trzech momentów (jednego związanego z powołaniem ABI, drugiego z jego zgłoszeniem do rejestru, wreszcie trzeciego z jego zarejestrowaniem DAMIAN KARWALA radca prawny, współpracownik Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska w tym rejestrze), pojawiają się bowiem pytania o istotnym znaczeniu również dla praktyki. Przykładowo powstaje pytanie, czy osoba powołana na stanowisko Administratora Bezpieczeństwa Informacji staje się ABI w rozumieniu ustawy z momentem jej powołania, czy dopiero z momentem zgłoszenia tego faktu do GIODO (co z reguły będzie następować po pewnym czasie, biorąc pod uwagę fakt, że sama ustawa daje na to 30 dni), czy może z chwilą zarejestrowania w rejestrze. W tym kontekście wątpliwości może budzić sam charakter czynności (aktu) rejestracji ABI w rejestrze publicznym. Kolejne pytanie związane jest z odmiennym traktowaniem tych ABI, którzy powoływani mają być przez administratorów danych (a tylko tacy ABI wymagają zgłoszenia do GIODO), oraz ABI, którzy powoływani są i będą przez tzw. procesorów danych. Nie powinno ulegać raczej wątpliwości, że ci ostatni ABI nie wymagają zgłoszenia do Generalnego Inspektora Ochrony Danych Osobowych. ABI powołany, ale niezgłoszony do GIODO Istotne w aspekcie praktycznym wydaje się również pytanie o dopuszczalność na gruncie nowych przepisów powołania przez administratora danych Administratora Bezpieczeństwa Informacji, który jednak nie zostanie w ogóle zgłoszony do rejestru GIODO. W tym kontekście należy przede wszystkim zauważyć, że ustawa wyraźnie rozróżnia dwie sytuacje (i jak się wydaje, instytucje), tzn. Administratora Bezpieczeństwa Informacji oraz Administratora Bezpieczeństwa Informacji wpisanego do rejestru, o którym mowa 149

11 w art. 46c. Tylko bowiem w stosunku do ABI wpisanego do rejestru GIODO może zwrócić się o dokonanie sprawdzenia, o którym mowa w art. 19b ust. 1 ustawy. Dodatkowo co w tym zakresie wydaje się kluczowe ustawa wprowadza wyłączenie spod obowiązku rejestracji zbiorów danych osobowych do takiego administratora danych, który powołał ABI oraz zgłosił go GIODO do rejestracji (art. 43 ust. 1a uodo). Wydaje się, że obowiązek rejestracji ABI należy rozpatrywać wyłącznie w kontekście obowiązku rejestracyjnego zbiorów danych osobowych. Postawić można zatem pytanie czy administrator danych nie powinien mieć pozostawionego wyboru: może nie powoływać ABI w ogóle, nie chcąc w szczególności korzystać ze zwolnienia z obowiązku rejestracji zbiorów danych; może powołać ABI i zgłosić go do rejestru, chcąc skorzystać z tego zwolnienia; może wreszcie powołać ABI, lecz nie zgłaszać go do rejestru GIODO, nie chcąc korzystać ze zwolnienia z rejestracji. UWAGA Powołanie Administratora Bezpieczeństwa Informacji bez jego rejestracji w GIODO wydaje się tym bardziej uzasadnione, że administrator danych nie chcąc korzystać z przywileju zwolnienia, a z drugiej strony nie akceptując sytuacji przewidzianej w art. 19b ustawy zamierza wyznaczyć ABI, aby wzmocnić poziom ochrony danych wewnątrz organizacji. Takie rozumienie obowiązku rejestracji ABI w rejestrze GIODO wydaje się odpowiadać również założeniom ustawodawcy wprowadzającego do ustawy tę nową konstrukcję prawną. W uzasadnieniu do ustawy nowelizującej wskazano bowiem, że system rejestracji Administratorów Bezpieczeństwa Informacji ma w prosty sposób zapewnić kontrolę, czy administrator danych faktycznie spełnił warunki niezbędne do zwolnienia go z obowiązku rejestracyjnego, na podstawie projektowanego art. 43 ust. 1a. Jednocześnie, tak jak system rejestracji zbiorów danych osobowych, przez jawność danych zawartych w rejestrze, będzie spełniał, zgodnie z przepisami dyrektywy, postulat transparentności operacji przetwarzania danych osobowych (druk sejmowy nr 2606, s ). Powołanie ABI a większa ochrona danych W związku z jednoznacznym brzmieniem art. 46b ust. 1 ustawy dopuszczalność powołania Administratora Bezpieczeństwa Informacji, lecz niezgłoszenie go do rejestru GIODO, zależeć będzie w głównej mierze od podejścia Generalnego Inspektora. Liczne argumenty, w szczególności te związane z dążeniem do podwyższenia poziomu ochrony danych (poza argumentem o charakterze systemowym i celowościowym), przemawiają jednak za dopuszczalnością tego rodzaju Wydaje się, że administrator danych powinien mieć pozostawiony wybór, czy powołać lub nie powołać ABI praktyki. Nie powinno bowiem ulegać wątpliwości, że dla zwiększenia poziomu ochrony danych korzystniejszym rozwiązaniem będzie wyznaczenie ABI (tym bardziej wyposażonego w nowe kompetencje i uprawnienia) niż jego niewyznaczenie. Sam brak zarejestrowania Administratora Bezpieczeństwa Informacji w rejestrze GIODO nie będzie skutkował obniżeniem tego poziomu czy też naruszeniem np. zasady transparentności. Administrator Danych Osobowych, decydując się bowiem na tego rodzaju rozwiązanie, będzie nadal zobligowany do rejestracji zbiorów danych, czym postulat transparentności (w tym rozumieniu) będzie realizował. Argumenty te dodatkowo wzmacnia wprowadzone w ustawie rozróżnienie na ABI wyznaczanych przez administratorów danych (którzy wymagają rejestracji) oraz ABI wyznaczanych przez podmioty przetwarzające dane na zlecenie (którzy rejestracji nie wymagają), co powoduje w szczególności pytania o charakter prawny tej instytucji. Podejście GIODO do nowych rozwiązań Pewnych wskazówek co do możliwego podejścia Generalnego Inspektora Ochrony Danych Osobowych do kwestii praktycznego stosowania nowych instytucji prawnych, w tym rejestracji Administratora Bezpieczeństwa Informacji, dostarczają dokumenty podsumowujące konsultacje i prace nad nowelizacją ustawy o ochronie danych osobowych. PRZYKŁAD W tabeli zawierającej stanowiska i uwagi do projektu nowelizacji z 10 września 2012 r. GIODO wskazał (co, jak się wydaje, można odnosić szerzej, jako wyraz liberalnego podejścia organu), że przedsiębiorca nie ma obowiązku stosowania się do nowego systemu i może pozostać przy obecnie obowiązujących rozwiązaniach w zakresie dopełniania obowiązku rejestracyjnego. Możliwość wyboru optymalnego rozwiązania będzie dla przedsiębiorcy bardziej korzystnym rozwiązaniem niż obowiązujące unormowania (s ). Liberalne stanowisko GIODO przedstawił również w zestawieniu uwag zgłoszonych w ramach uzgodnień międzyresortowych i konsultacji społecznych projektu ustawy o ułatwieniu wykonywania działalności gospodarczej z 4 grudnia 2013 r. Stwierdził tam, że przewidywane zmiany mają pozwolić przedsiębiorcy optymalizować stosowane rozwiązania w zakresie wypełniania obowiązków wynikających z przepisów o ochronie danych osobowych (s. 26)

12 NOWELIZACJA USTAWY Rejestracja zbiorów danych osobowych po nowelizacji Nowelizacja ustawy o ochronie danych osobowych wprowadza dwie nowe grupy zwolnień administratora danych z obowiązku zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Jednym z nich jest prowadzenie zbioru bez użycia systemu informatycznego. Drugim powołanie i zgłoszenie GIODO ABI. Obowiązek rejestracji zbiorów danych osobowych jest jednym z elementów prewencyjnej ochrony danych osobowych. Odbywa się ona poprzez wstępną kontrolę zgodności z prawem przetwarzania danych zawartych w zgłaszanym zbiorze. Jawność rejestru zbiorów ma też służyć zapewnieniu większej transparentności w sferze przetwarzania danych osobowych. Dzięki temu osoby, których dane dotyczą, mają dostęp do informacji o zbiorze danych, w którym ich dane osobowe są przetwarzane. Zarówno przed nowelizacją z 7 listopada 2014 r. ustawy o ochronie danych osobowych, jak i po jej wejściu w życie te założenia mają zostać utrzymane. Na mocy znowelizowanej ustawy o ochronie danych osobwych ciężar prewencyjnej kontroli zgodności przetwarzania danych z prawem w wybranych przypadkach ma zostać przeniesiony z Generalnego Inspektora Ochrony Danych Osobowych na powołanego przez Administratora Danych Osobowych Administratora Bezpieczeństwa Informacji. Nowe zwolnienia z obowiązku rejestracji Ustawa z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej 1 w art. 9 dokonała nowelizacji ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych 2. Obok zmian dotyczących nowych zadań Generalnego Inspektora Ochrony Danych Osobowych, pozycji prawnej Administratora 1 Ustawa z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, zwana dalej nowelizacją. 2 Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.), zwana dalej też uodo. DR JAN BYRSKI adwokat, wspólnik w Traple Konarski Podrecki i Wspólnicy, adiunkt w Katedrze Prawa Cywilnego i Gospodarczego Uniwersytetu Ekonomicznego w Krakowie. Bezpieczeństwa Informacji (ABI) oraz ułatwień w przekazywaniu danych osobowych do państw trzecich, nowelizacja wprowadziła zwolnienia z obowiązku zgłoszenia zbiorów danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Pojawiały się głosy, że realizacja obowiązku zgłaszania do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbiorów danych, a następnie aktualizowanie informacji w nich zawartych, stanowi znaczne obciążenie dla Administratorów Danych Osobowych (w tym przedsiębiorców) 3. W związku z tym w nowelizacji wprowadzono dwie grupy zwolnień z obowiązku zgłoszenia zbioru danych Generalnemu Inspektorowi Ochrony Danych Osobowych do rejestracji. Zbiory prowadzone w formie tradycyjnej Nowelizacja wprowadziła art. 43 ust. 1 pkt 12 ustawy o ochronie danych osobowych, który przewiduje zwolnienie w odniesieniu do zbiorów danych, które nie są prowadzone z wykorzystaniem systemów informatycznych. Zwolnienie to nie odnosi się do zbiorów danych zawierających dane szczególnie chronione (określone w art. 27 ust. 1 ustawy o ochronie danych osobowych 4 ). 3 Uzasadnienie do projektu nowelizacji, s. 19, gov.pl/sejm7.nsf/druk.xsp?nr= Art. 27 ust. 1 uodo stanowi, że: Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym

13 Takie rozwiązanie jest zgodne z dyrektywą 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. 1 Pozwala ona na zwolnienie z obowiązku rejestracji wszystkich zbiorów (bez względu m.in. na kategorię danych), do prowadzenia których nie wykorzystuje się systemów informatycznych (art. 18 ust. 5 dyrektywy 95/46/WE). Dzięki temu zmniejszy się obciążenie administracyjne tych administratorów danych, którzy nie mogą skorzystać ze zwolnienia z obowiązku rejestracji zbioru, bo nie powołali Administratora Bezpieczeństwa Informacji. Obowiązkowi rejestracji będą wciąż podlegały zbiory, do prowadzenia których nie wykorzystuje się systemu informatycznego (prowadzone w tzw. formie tradycyjnej w kartotekach, skorowidzach, wykazach i w innych zbiorach ewidencyjnych), jeżeli będą w nich przetwarzane dane szczególnie chronione. Obowiązek rejestracji zbiorów zawierających tę szczególną kategorię danych zasadnie zostaje utrzymany. Dzięki temu możliwe jest dokonanie wstępnej kontroli (prior checking) już na etapie rejestracji zbioru przez Generalnego Inspektora Ochrony Danych Osobowych. UWAGA Jeżeli jeden zbiór danych jest przetwarzany w dwóch postaciach w tradycyjnej i w systemie informatycznym to administrator danych nie będzie mógł skorzystać ze zwolnienia. Odnosi się ono bowiem wyłącznie do zbiorów tradycyjnych. Podejście Generalnego Inspektora Wciąż nie jest jasne, czy w przypadku zgłoszenia zbioru danych prowadzonego w dwóch postaciach Generalnego Inspektora Ochrony Danych Osobowych powinien wydać decyzję o odmowie rejestracji zbioru danych, czy też pomimo zwolnienia zarejestrować zbiór danych. W dotychczasowej praktyce zdarzało się, że Generalny Inspektor rejestrował zbiory danych, nawet w przypadku występowania zwolnień z obowiązku rejestracji przewidzianych w art. 43 ust. 1 pkt 1 11 ustawy o ochronie danych osobowych. Wydaje się więc, że także w odniesieniu do zwolnienia z art. 43 ust. 1 pkt 12 ustawy o ochronie danych osobowych takie zbiory będą rejestrowane. Wynikało to z wykładni art. 44 ustawy o ochronie danych osobowych. Nie przywidywał on wprost możliwości odmowy rejestracji zbioru danych w przypadku wystąpienia wyjątku z obowiązku rejestracji. De lege ferenda należy postulować zmianę art. 44 ustawy o ochronie danych osobowych poprzez wprowadzenie dodatkowej przesłanki do wydania decyzji o odmowie rejestracji zbioru danych. 1 Dyrektywa Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L 281 z , str. 31, z późn. zm.), zwana dalej dyrektywą 95/46/WE. Jeśli w zbiorze prowadzonym w wersji tradycyjnej (papierowej) będą dane wrażliwe, trzeba będzie go zarejestrować Może nią być np. wystąpienie któregokolwiek zwolnienia z obowiązku rejestracji przewidzianego w art. 43 ust. 1 pkt 1 12 ustawy o ochronie danych osobowych albo wyjątku z art. 43 ust. 1a ustawy o ochronie danych osobowych. Rejestracja zbiorów po zgłoszeniu ABI Nowelizacja dodała w art. 43 ustawy o ochronie danych osobowych ustęp 1a. Wprowadza on nowe, kompleksowe zwolnienie z obowiązku zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbiorów danych (które nie zawierają danych wrażliwych) prowadzonych przez Administratorów Danych Osobowych, którzy powołali i zgłosili Generalnemu Inspektorowi Danych Osobowych Administratora Bezpieczeństwa Informacji. Z tego powodu niezbędna okazała się zmiana art. 40 ustawy o ochronie danych osobowych, aby explicite wskazać, że obowiązek zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi nie dotyczy przypadków, o których mowa w art. 43 ust. 1 i 1a ustawy o ochronie danych osobowych. Przepisy rozdziału 6 ustawy o ochronie danych osobowych dotyczące obowiązku rejestracji zbiorów danych stanowią implementację przepisów dyrektywy 95/46/WE, zamieszczonych w rozdziale II sekcji IX zatytułowanej Zawiadomienie. Dyrektywa 95/46/WE w tej części reguluje instytucję tzw. notyfikacji, tj. nałożonego na Administratora Danych Osobowych obowiązku powiadamiania organu nadzorczego o zamierzonych operacjach przetwarzania danych osobowych. WAŻNE Na gruncie dyrektywy 95/46/WE niedopuszczalne jest zrezygnowanie przez państwo członkowskie z obowiązku notyfikacji. Możliwe jest jednak jego uproszczenie bądź zwolnienie z tego wymogu w zakresie wyznaczonym dyrektywą 95/46WE. Obowiązek powiadamiania wprowadza art. 18 ust. 1 dyrektywy 95/46/WE, natomiast art. 18 ust. 2 określa przypadki, w których administrator danych może być zwolniony z tego obowiązku. W szczególności przepis ten dopuszcza, aby państwa członkowskie uprościły obowiązek notyfikacyjny lub zwolniły z niego Administratora Danych Osobowych, jeżeli wyznaczy on urzędnika ds. ochrony danych osobowych (data protection official). Musi on jednak spełnić dwa warunki: 14 12

14 NOWELIZACJA USTAWY 1) zapewnienia w sposób niezależny przestrzegania krajowych przepisów o ochronie danych osobowych (opartych na dyrektywie 95/46/WE) oraz 2) prowadzenia rejestru operacji związanych z przetwarzaniem danych osobowych dokonywanych przez administratora danych, zawierającego takie same elementy jak rejestr ogólnokrajowy prowadzony przez państwowy organ ds. ochrony danych osobowych (tzw. uproszczona rejestracja). Jest to jedyne przewidziane w dyrektywie 95/46/WE zwolnienie o charakterze kompleksowym. Inne zwolnienia dotyczą określonych kategorii danych (art. 18 ust. 4) lub też zależą od kryteriów wpływu na prawa i wolności podmiotu danych (art. 18 ust. 2 tiret pierwsze) czy dostępności danych osobowych (art. 18 ust. 3). Polski ustawodawca do czasu nowelizacji ustawy o ochronie danych osobowych nie skorzystał z możliwości uregulowania instytucji urzędnika ds. ochrony danych osobowych. Przewidziany dotychczas w ustawie o ochronie danych osobowych ABI nie spełniał warunków uznania go za urzędnika ds. ochrony danych osobowych w rozumieniu dyrektywy 95/46/WE. Ustawa nie gwarantowała mu bowiem niezależności. Zbyt wąsko określała jego zadania w odniesieniu do uregulowań dyrektywy 95/46/WE w tym zakresie, jak również nie przyznawała kompetencji w zakresie uproszczonej rejestracji 1. Wprowadzono zatem w art. 43 ust. 1a ustawy o ochronie danych osobowych kompleksowe zwolnienie z obowiązku rejestracyjnego wobec administratora danych, który powołał i zgłosił do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych Administratora Bezpieczeństwa Informacji, z zastrzeżeniem art. 46e ust. 2 ustawy o ochronie danych osobowych. Artykuł ten stanowi, że do Administratora Danych Osobowych, który ponownie zgłosił do rejestracji Administratora Bezpieczeństwa Informacji, zwolnienie z obowiązku rejestracji zbioru danych osobowych określone w art. 43 ust. 1a ustawy o ochronie danych osobowych stosuje się po wpisaniu zgłoszonego Administratora Bezpieczeństwa Informacji do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych. WAŻNE Zwolnienie z obowiązku rejestracyjnego po powołaniu i zgłoszeniu ABI nie dotyczy zbiorów zawierających dane osobowe wymienione w art. 27 ust. 1 uodo. W ramach rejestracji uregulowanej w ustawie o ochronie danych osobowych wykonywany jest bowiem obowiązek kontroli wstępnej Generalnego Inspektora (prior checking) przetwarzania tych danych osobowych. Status i zadania ABI po zwolnieniu z rejestracji Ze względu na powyższe wymogi prawa unijnego w zakresie dopuszczalności kompleksowego zwolnienia Ad- 1 Do 1 stycznia 2015 r. w ustawie o ochronie danych osobowych znajdował się tylko jeden przepis dotyczący Administratora Bezpieczeństwa Informacji (art. 36 ust. 3 uodo), uchylony nowelizacją. Jednym z zadań ABI jest prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych ministratorów Danych Osobowych z obowiązku rejestracji zbiorów danych wprowadzone zostały nowe przepisy dotyczące statusu i zadań Administratora Bezpieczeństwa Informacji. Zapewnią one zachowanie standardów wyznaczonych dyrektywą 95/46/WE, tj.: niezależność w wykonywaniu zadań (art. 36a ust. 7 ustawy o ochronie danych osobowych), obowiązek zapewnienia stosowania w jednostce organizacyjnej przepisów o ochronie danych osobowych, w szczególności przez przyznanie kompetencji do kontroli wewnętrznej w zakresie przestrzegania tych przepisów (art. 36a ust. 2 pkt 1 ustawy o ochronie danych osobowych), a także prowadzenie jawnego rejestru zbiorów danych (art. 36a ust. 2 pkt 2). Jawny rejestr zbiorów danych osobowych W myśl art. 36a ust. 2 pkt 2 ustawy o ochronie danych osobowych do zadań Administratora Bezpieczeństwa Informacji należy prowadzenie rejestru zbiorów danych przetwarzanych przez Administratora Danych Osobowych, zawierającego nazwę zbioru danych oraz informacje, o których mowa w art. 41 ust. 1 pkt 2 4a i 7 ustawy o ochronie danych osobowych. Rejestr zbiorów danych powinien, oprócz nazwy zbioru danych, zawierać następujące informacje: oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania (pkt 2), cel przetwarzania danych (pkt 3), opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych (pkt 3a), sposób zbierania oraz udostępniania danych (pkt 4) oraz informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego (pkt 7). W myśl art. 36a ust. 3 ustawy o ochronie danych osobowych rejestr, o którym mowa w ust. 2 pkt 2, jest jawny. Przepis art. 42 ust. 2 stosuje się odpowiednio. Pozostaje więc do rozstrzygnięcia obowiązek (zadanie) Administratora Bezpieczeństwa Informacji, aby rejestr zbiorów danych Osobowych przetwarzanych przez Administratora Danych Osobowych był jawny. Z jednej strony, żeby zapewnić jawność rejestru zbiorów danych, nie wystarczy, że rejestr będzie dopiero jawny, 14 13

15 jeżeli jakakolwiek osoba bez konieczności wykazywania interesu prawnego lub faktycznego 1 zwróci się do Administratora Bezpieczeństwa Informacji o ujawnienie takiego rejestru, np. w siedzibie Administratora Danych osobowych. Wydaje się, że należy skorzystać z wykształconego rozumienia prowadzenia jawnego rejestru, które na podstawie art. 42 ust. 1 ustawy o ochronie danych osobowych rozumiane jest w praktyce przez Generalnego Inspektora jako prowadzenie rejestru w postaci elektronicznej z możliwością dostępu do niego przez każdą osobę poprzez Internet. Artykuł 42 ust. 2 ustawy o ochronie danych osobowych stanowiący, iż każdy ma prawo przeglądać rejestr, stosuje się odpowiednio, a więc ustawodawca wskazuje, że instytucję publicznego (jawnego) charakteru rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych, a obecnie przez powołanego i zgłoszonego Administratora Bezpieczeństwa Informacji, należy utożsamiać. Z drugiej strony, przed uruchomieniem platformy e-giodo dostęp do danych zawartych w rejestrze ZDO (Zbiorów Danych Osobowych), które zgodnie z art. 42 ustawy o ochronie danych osobowych mają charakter publiczny, realizowany był przez Generalnego Inspektora wyłącznie w siedzibie Biura Generalnego Inspektora Ochrony Danych Osobowych z wydzielonych terminali dostępowych 2. W konsekwencji wymóg jawności rejestru realizowany był wyłącznie w siedzibie Generalnego Inspektora Ochrony Danych Osobowych. Obecnie może więc być także realizowany w siedzibie administratora danych przez Administratora Bezpieczeństwa Informacji. Wypada mieć nadzieję, że w rozporządzeniu z art. 36a ust. 9 ustawy o ochronie danych osobowych ta kwestia zostanie rozstrzygnięta. UWAGA Sposób prowadzenia rejestru zbiorów danych, o którym mowa w art. 36a ust. 2 pkt 2 uodo, uwzględniając konieczność zapewnienia prawidłowości realizacji zadań Administratora Bezpieczeństwa Informacji oraz niezależności i organizacyjnej odrębności w wykonywaniu przez niego zadań, zostaną określone w rozporządzeniu ministra właściwego do spraw administracji publicznej, wydanego na podstawie art. 36a ust. 9 ustawy o ochronie danych oso bowych. Outsourcing zadań administratora (ABI) Z uzasadnienia projektu nowelizacji wynika, że projektowane zmiany nie zakazują outsourcingu zadań Administratora Bezpieczeństwa Informacji przez administratora danych. Dopuszczono także możliwość powołania zastęp- Nowelizacja ustawy o ochronie danych osobowych nie zakazuje outsourcingu zadań Administratora Bezpieczeństwa Informacji ców ABI-ego, co ma znaczenie w sytuacjach, gdy Administrator Bezpieczeństwa Informacji przejściowo nie może realizować swoich zadań 3. Pojęcie outsourcingu pochodzi od neologizmu utworzonego z angielskich wyrazów outside resource using, oznaczającego wykorzystanie zasobów zewnętrznych 4. W przypadku outsourcingu zadań i innych obowiązków Administratora Bezpieczeństwa Informacji będziemy mieli do czynienia z sytuacją powołania ABI-ego spoza struktury organizacyjnej administratora danych. Tym niemniej art. 36a ust. 7 ustawy o ochronie danych oso bowych wymaga, aby Administrator Bezpieczeństwa Informacji podlegał bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Natomiast w myśl art. 36a ust. 8 ustawy o ochronie danych oso bowych administrator danych zapewnia środki i organizacyjną odrębność Administratora Bezpieczeństwa Informacji niezbędne do niezależnego wykonywania przez niego zadań, o których mowa w art. 36a ust. 4 ustawy o ochronie danych osobowych. Artykuł 36a ust. 8 uodo stanowi wyłącznie o obowiązku zapewnienia środków i organizacyjnej odrębności niezbędnej do niezależnego wykonywania przez Administratora Bezpieczeństwa Informacji zadań, o których mowa w art. 36a ust. 2 ustawy o ochronie danych osobowych, nie wspominając o innych obowiązkach z art. 36a ust. 4 ustawy o ochronie danych osobowych. W konsekwencji takiej redakcji art. 36a ust. 8 uodo mogą pojawić się dwie możliwe wykładnie. Pierwsza, w myśl której, jedynie w zakresie zadań z art. 36a ust. 2 uodo administrator danych zobowiązany jest zapewnić Administratorowi Bezpieczeństwa Informacji środki i organizacyjną odrębność, natomiast w przypadku powierzenia wykonywania innych obowiązków już takiego obowiązku nie ma. Druga, zgodnie z którą, także w zakresie powierzenia wykonywania innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w art. 36a ust. 2 ustawy o ochronie danych osobowych, administrator danych obowiązany jest zapewnić ABI-emu środki i organizacyjną odrębność niezbędne do niezależnego wykonywania powierzonych mu innych obowiązków. Wydaje się, że słuszna jest druga wykładnia, gdyż także w przypadku powierzenia przez administratora danych 1 A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2006, s A. Kaczmarek, Elektroniczna Platforma Komunikacji z Generalnym Inspektorem Ochrony Danych Osobowych (e-giodo), s. 282, [w:] Ochrona danych osobowych. Aktualne problemy i nowe wyzwania, G. Sibiga, X. Konarski (red.), Wolters Kluwer Uzasadnienie, s R. Juchno, R.W. Kaszubski: Outsourcing w działalności bankowej, Glosa 2001, nr 6, s. 5; J. Byrski, Tajemnica prawnie chroniona w działalności bankowej, C.H. Beck 2010, s. 167; M. Trocki: Outsourcing: metoda restrukturyzacji działalności gospodarczej, Warszawa 2001, s. 13; M. Radło Offshoring i outsourcing. Implikacje dla gospodarki i przedsiębiorstw, Warszawa

16 NOWELIZACJA USTAWY wykonywania innych obowiązków ABI powinien mieć zapewnioną organizacyjną odrębność i niezależność od administratora danych czy też innych podmiotów, co powinien zapewnić administrator danych. Powołanie ABI w modelu outsourcingu Należy zastanowić się, jak powinno wyglądać powołanie Administratora Bezpieczeństwa Informacji w modelu outsourcingu zadań. Innymi słowy, co powinno być tytułem prawnym jego powołania w takim modelu. Czy zwykłe powołanie jako akt wewnętrzny administratora danych (wyznaczenie ABI) lub część stosunku prawnego (np. umowy o świadczenie usług) łączącego administratora danych z konkretną osobą fizyczną spoza struktury organizacyjnej? Czy też umowa powierzenia przetwarzania danych osobowych, jeżeli Administratorem Bezpieczeństwa Informacji ma być przedsiębiorca-osoba fizyczna? Wydaje się, że podstawą prawną powołania ABI-ego nie powinna być umowa powierzenia przetwarzania danych osobowych, o której mowa w art. 31 ustawy o ochronie danych osobowych. Umowa ta została przewidziana dla wykonywania operacji na danych osobowych (przetwarzania danych osobowych). Nie można jej wykorzystać dla powołania Administratora Bezpieczeństwa Informacji, który zapewnia: przestrzeganie przepisów o ochronie danych osobowych, nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 ustawy o ochronie danych osobowych i zapewnienia zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych 1. Konstrukcja umowy, o której mowa w art. 31 ust. 1 ustawy o ochronie danych osobowych i obowiązek przewidziany w art. 31 ust. 3 uodo nie przystają do instytucji outsourcingu zadań Administratora Bezpieczeństwa Informacji. Jej podstawą może być nienazwana umowa lub akt wewnętrzny powołania Administratora Bezpieczeństwa Informacji. Stanowią one również podstawę do przetwarzania przez Administratora Bezpieczeństwa Informacji danych osobowych w imieniu administratora danych. Nie jest wymagane w tym przypadku dodatkowe upoważnienie do przetwarzania danych. Multioutsourcing zadań administratora (ABI) Nie istnieje w przepisach ustawy o ochronie danych osobowych zakaz pełnienia jednocześnie funkcji Administratora Bezpieczeństwa Informacji dla wielu administratorów danych (tzw. multioutsourcing zadań ABI). 1 Podobnie J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2007, s Dla konkretnego Administratora Danych Osobowych może być powołany tylko jeden Administrator Bezpieczeństwa Informacji Jednak w każdym przypadku administrator danych, który powołał ABI, powinien zapewnić jego odrębność i niezależność. PRZYKŁAD Multioutsourcing zadań ABI może mieć miejsce np. w grupach kapitałowych, gdzie dla każdego administratora danych (spółki z grupy kapitałowej) zostanie powołany ten sam Administrator Bezpieczeństwa Informacji. Jeden administrator danych kilku ABI Należy się także zastanowić, czy od 1 stycznia 2015 r. będzie możliwość powołania wielu Administratorów Bezpieczeństwa Informacji przez jednego administratora danych. W literaturze przedmiotu jest to sporna kwestia. Niektórzy przedstawiciele doktryny opowiadają się za językową wykładnią przepisów i koniecznością ustanowienia jako Administratora Bezpieczeństwa Informacji jednej osoby 2. Inni opowiadają się natomiast za możliwością utworzenia wewnętrznej struktury podległej ABI-emu, twierdząc że sformułowanie zawarte w komentowanym przepisie nie wyklucza ( ) możliwości powoływania więcej niż jednego Administratora Bezpieczeństwa Informacji, a w praktyce wyznaczenie kilku osób jako pełniących tę funkcję może okazać się rozwiązaniem zasadnym ( ) 3. Poprzez wprowadzenie instytucji zastępców ABI rozstrzygnięto, że Administrator Bezpieczeństwa Informacji dla konkretnego administratora danych może być tylko jeden. ADO może natomiast powołać jednego albo kilku zastępców ABI. Wskazane jest, aby zakres zadań poszczególnych zastępców był określony precyzyjnie, tak aby nie dochodziło między nimi do sporów kompetencyjnych (zarówno pozytywnych, jak i negatywnych). Gdy administrator danych nie powoła ABI Czy od 1 stycznia 2015 r. ze względu na wykreślenie art. 36 ust. 3 uodo administrator danych będący osobą prawną lub jednostką organizacyjną niebędącą osobą prawną ma obowiązek powołania Administratora Bezpieczeństwa Informacji? 2 P. Barta i P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, wyd. C.H. Beck, Warszawa 2009, s J. Barta, P. Fajgielski, R. Markiewicz, Komentarz do art. 36 ustawy o ochronie danych osobowych, program LexPrestige, wyd. Wolters Kluwer

17 Po pierwsze, explicite z art. 36a ust. 1 uodo wynika, że administrator danych może powołać ABI, a więc nie jest to imperatywne sformułowanie tak jak do 1 stycznia 2015 r. ( ) administrator danych wyznacza Administratora Bezpieczeństwa Informacji ( ). Po drugie, art. 36b ustawy o ochronie danych osobowych przewiduje, że w przypadku niepowołania Administratora Bezpieczeństwa Informacji zadania określone w art. 36a ust. 2 pkt 1 uodo, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a uodo, wykonuje administrator danych. Istnieje więc możliwość niepowoływania ABI niezależnie od statusu prawnego samego administratora danych. WAŻNE W przypadku niepowołania Administratora Bezpieczeństwa Informacji administrator danych, nawet w przypadku prowadzenia jawnego rejestru zbiorów danych przetwarzanych przez niego, nie będzie korzystał ze zwolnienia z obowiązku zgłoszenia zbiorów danych do rejestracji Generalnemu Inspektorowi, na podstawie art. 43 ust. 1a ustawy o ochronie danych osobowych. Taka wykładnia nowo uchwalonych przepisów jest też zgodna z dyrektywą 95/46/WE. Administrator danych będący jednostką organizacyjną lub osobą prawną może więc samodzielnie wykonywać zadania ABI z art. 36a ust. 2 pkt 1 uodo. Najważniejsze zmiany po nowelizacji 1) Zwolnienie z obowiązku rejestracji zbiorów danych osobowych W nowelizacji wprowadzono dwie nowe grupy zwolnień Administratora Danych Osobowych z obowiązku zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Po pierwsze, wprowadzono nowy art. 43 ust. 1 pkt 12 ustawy o ochronie danych osobowych przewidujący zwolnienie w odniesieniu do zbiorów danych, które nie są prowadzone z wykorzystaniem systemów informatycznych. Wyjątkiem są zbiory zawierające dane osobowe szczególnie chronione wrażliwe (określone w art. 27 ust. 1 ustawy o ochronie danych osobowych). Po drugie, nowelizacja dodała w art. 43 ustawy o ochronie danych osobowych ust. 1a. Wprowadza on kompleksowe zwolnienie z obowiązku zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbiorów danych, w których nie będą przetwarzane dane osobowe określone w art. 27 ust. 1 ustawy o ochronie danych osobowych, prowadzonych przez Administratorów Danych Osobowych, którzy powołali i zgłosili Administratora Bezpieczeństwa Informacji Generalnemu Inspektorowi Ochrony Danych Osobowych. 2) Status i zadania Administratora Bezpieczeństwa Informacji Ze względu na wymogi prawa unijnego w zakresie dopuszczalności kompleksowego zwolnienia Administratorów Administrator danych, który powoła Administratora Bezpieczeństwa Informacji i zgłosi go GIODO będzie zwolniony z obowiązku rejestracji zbiorów danych Danych Osobowych z obowiązku rejestracji zbiorów danych wprowadzone zostały nowe przepisy dotyczące statusu i zadań Administratora Bezpieczeństwa Informacji. Zapewnią one zachowanie standardów wyznaczonych dyrektywą 95/46/WE. Wprowadzono: niezależność i odrębność Administratorów Bezpieczeństwa Informacji w wykonywaniu zadań, obowiązek zapewnienia stosowania w jednostce organizacyjnej przepisów o ochronie danych osobowych, w szczególności przez przyznanie kompetencji do kontroli wewnętrznej w zakresie przestrzegania tych przepisów, a także obowiązek prowadzenia przez Administratora Bezpieczeństwa Informacji jawnego rejestru zbiorów danych przetwarzanych przez Administratora Danych Osobowych. 3) Zastępcy Administratora Bezpieczeństwa Informacji Nowelizacja nie zakazuje outsourcingu przez administratora danych zadań Administratora Bezpieczeństwa Informacji. Dopuszczono także możliwość powołania przez administratora danych zastępców Administratora Bezpieczeństwa Informacji. Poprzez wprowadzenie instytucji zastępców Administratora Bezpieczeństwa Informacji zostało rozstrzygnięte, że Administrator Bezpieczeństwa Informacji dla konkretnego administratora danych może być tylko jeden. Administrator Danych Osobowych może zaś powołać jednego albo kilku zastępców Administratora Bezpieczeństwa Informacji. 4) Outsourcing zadań Administratora Bezpieczeństwa Informacji Rozważania dotyczące możliwości outsourcingu zadań Administratora Bezpieczeństwa Informacji przez Administratora Danych Osobowych należy przenieść odpowiednio na outsourcing zadań ABI przez podmiot, któremu powierzono przetwarzanie danych osobowych. Dopuścić należy możliwość pełnienia jednocześnie funkcji Administratora Bezpieczeństwa Informacji dla wielu administratorów danych zwłaszcza administratorów danych w jednej grupie kapitałowej w modelu outsourcingu zadań. Warunkiem jest, aby w każdym przypadku Administratorowi Bezpieczeństwa Informacji (niezależnemu przedsiębiorcy) zapewnione były środki i organizacyjna odrębność przez każdego Administratora Danych Osobowych, który go powołał

18 NOWELIZACJA USTAWY Administrator danych może realizować zadania ABI W orzeczeniu z 21 lutego 2014 r. Naczelny Sąd Administracyjny (sygn. I OSK 2445/12) stwierdził, że ADO może realizować obowiązki ABI tylko wtedy, gdy jest osobą fizyczną. Na gruncie znowelizowanej ustawy o ochronie danych osobowych to rozstrzygnięcie przestaje być aktualne 1. Czy Administrator Danych Osobowych niebędący osobą fizyczną (np. spółka) ma obowiązek wyznaczenia Administratora Bezpieczeństwa Informacji w świetle nowelizacji ustawy o ochronie danych osobowych? W wyroku z 21 lutego 2014 r. (sygn. I OSK 2445/12), Naczelny Sąd Administracyjny (dalej również jako NSA) rozstrzygnął szczególną kontrowersję, która występowała na gruncie ustawy o ochronie danych osobowych. Spór dotyczył tego czy istnieje obowiązek wyznaczenia Administratora Bezpieczeństwa Informacji, gdy Administratorem Danych Osobowych jest osobą prawną lub jednostką organizacyjną niebędąca osobą prawną. Naczelny Sąd Administracyjny stwierdził, że ze względu na konstrukcję osób prawnych Administrator Danych Osobowych będący osobą prawną ze swej istoty nie może samodzielnie wykonywać obowiązków Administratora Bezpieczeństwa Informacji. Naczelny Sąd Administracyjny w wyroku z 21 lutego 2014 r. uznał, że: Administrator Danych Osobowych, który nie wyznaczył Administratora Bezpieczeństwa Informacji, nie może twierdzić, iż z mocy prawa wykonuje w takim przypadku obowiązki Administratora Bezpieczeństwa Informacji samodzielnie. Zdaniem NSA ABI to osoba fizyczna Orzeczenie przesądziło o tym, że Administrator Danych Osobowych może wykonywać obowiązki Administratora Bezpieczeństwa Informacji tylko wtedy, gdy jest osobą fizyczną. MICHAŁ BIENIAS aplikant radcowski przy Okręgowej Izbie Radców Prawnych w Warszawie, prawnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy. W pozostałych wypadkach Administrator Danych osobowych jest zmuszony do wyznaczenia Administratora Bezpieczeństwa Informacji. Wynika to z twierdzenia, że Administrator Bezpieczeństwa Informacji powinien być osobą fizyczną, co zostało dodatkowo zaakcentowane przez nowe przepisy. Znowelizowana ustawa o ochronie danych osobowych wymienia wymogi, które musi spełnić Administrator Bezpieczeństwa Informacji, a które nie mogłyby zostać spełnione przez podmiot niebędący osobą fizyczną 2. Chodzi m.in. o: wymóg pełni praw publicznych, odpowiedniej wiedzy z ochrony danych osobowych, niekaralności za przestępstwo umyślne. Taki argument mógłby skłaniać do tezy o aktualności orzeczenia Naczelnego Sądu Administracyjnego i obowiązku wyznaczenia Administratora Bezpieczeństwa Informacji przez Administratorów Danych Osobowych niebędących osobami fizycznymi. Zadania ABI może pełnić ADO Znowelizowana ustawa o ochronie danych osobowych przewiduje w art. 36b że: W przypadku niepowołania Administratora Bezpieczeństwa Informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych. 1 Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst.jedn. Dz. U. z 2014 r., poz. 1182, ze zm). 2 P. Fajgielski. Administrator bezpieczenstwa informacji geneza, stan obecny i perspektywy zmian dodatek MoP 9/2014, MoP 2014, Nr 9, str

19 Natomiast wątpliwości w tym zakresie rozstrzyga dodany art. 36a ust. 1 ustawy o ochronie danych osobowych, który jednoznacznie wskazuje na uprawnienie powołania Administratora Bezpieczeństwa Informacji: Administrator danych może powołać Administratora Bezpieczeństwa Informacji. Do 1 stycznia 2015 r., przepis odnoszący się do instytucji Administratora Bezpieczeństwa Informacji (uchylony art. 36 ust. 3) stanowił, że Administrator Danych Osobowych wyznacza Administratora Bezpieczeństwa Informacji. Było to interpretowane przez Generalnego Inspektora Ochrony Danych Osobowych jako obowiązek takiego wyznaczenia. Partykuła może użyta w art. 36a ust. 1 ustawy o ochronie danych osobowych powinna wpłynąć na zmianę dotychczasowej interpretacji. GIODO: Powołanie ABI jest fakultatywne Na posiedzeniu Komisji Nadzwyczajnej do spraw związanych z ograniczaniem biurokracji, Generalny Inspektor Ochrony Danych Osobowych wyraźnie zauważył, że powołanie Administratora Bezpieczeństwa Informacji po nowelizacji ustawy o ochronie danych osobowych jest fakultatywne. Stwierdził on w szczególności, że pojawia się wiele mitów, że po nowelizacji ustawy o ochronie danych osobowych powołanie Administratora Bezpieczeństwa Informacji będzie obowiązkowe. Tak naprawdę to dzisiaj jest przymus. Natomiast nowy przepis brzmi, że Administrator Danych Osobowych może powołać Administratora Bezpieczeństwa Informacji. W związku z tym jeżeli ktoś chce w ten sposób zarządzać danymi to może to robić. Jeżeli jednak chce powołać Administratora Bezpieczeństwa Informacji, co da mu pewne plusy wynikające z dalszych przepisów, to tak proponowany jest kształt tej instytucji w Polsce. 1 ADO nie będzie sporządzał sprawozdania Z art. 36b ustawy o ochronie danych osobowych wynika, że wszystkie zadania Administratora Bezpieczeństwa Informacji z art. 36a ust. 2 pkt 1 ustawy o ochronie danych osobowych z wyłączeniem sporządzania sprawozdań, wykonuje Administrator Danych Osobowych. W przypadku braku wyłączenia od obowiązku sporządzania sprawozdań, Administrator Danych Osobowych, który przejął zadania Administratora Bezpieczeństwa Informa- Po nowelizacji ustawy o ochronie danych osobowych Administrator Danych Osobowych będzie miał możliwość, a nie obowiązek wyznaczenia Administratora Bezpieczeństwa Informacji cji, byłby zobowiązany do sporządzania sprawozdań dla samego siebie. Powyższa zmiana oznacza, że istota konstrukcji osób prawnych, czy też jednostek organizacyjnych, wbrew temu co w swoim uzasadnieniu przedstawił Naczelny Sąd Administracyjny, nie powinna uniemożliwiać wykonywania zadań Administratora Bezpieczeństwa Informacji tego rodzaju podmiotom prawa. Osoba prawna, czy też jednostka organizacyjna (jako Administrator Danych Osobowych) może samodzielnie wykonywać zadania Administratora Bezpieczeństwa Informacji w szczególności przez osobę bądź osoby pełniące funkcję organów tego podmiotu (uprawnionych do reprezentowania). Przy czym osoba sprawująca czynności związane z ochroną danych osobowych powinna mieć je wpisane w zakres swoich obowiązków. PRZYKŁAD Administrator Danych Osobowych może zorganizować proces ochrony danych osobowych w ten sposób, że jeden z członków zarządu będzie kierował działem zajmującym się bezpieczeństwem informacji, w tym ochroną danych (ale nie będzie formalnie Administratorem Bezpieczeństwa Informacji). Mając na uwadze powyższe rozważania, należy zauważyć, że ustawa o ochronie danych osobowych po nowelizacji przewiduje dwa całkowicie odrębne sposoby zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora danych: delegowanie tych kompetencji przez Administratora Danych Osobowych na osobę fizyczną (powołanie Administratora Bezpieczeństwa Informacji), samodzielne wykonywanie przez Administratora Danych Osobowych czynności związanych z zapewnieniem przestrzegania przepisów o ochronie danych osobowych (przy czym podmiot taki powinien mieć swobodę w podjęciu decyzji w jaki sposób, w szczególności poprzez kogo, będzie te ustawowe obowiązki realizował). 1 Komisja Nadzwyczajna do spraw związanych z ograniczaniem biurokracji. Rozpatrzenie rządowego projektu ustawy o ułatwieniu wykonywania działalności gospodarczej (druk nr 2606) kontynuacja, itv Sejm transmisje archiwalne, godz.: 15:28. Transmisja dostępna pod adresem: nsf/transmisje_arch.xsp?unid=b0cd539b48815e1fc1257d56003f18c5 Ostatni dostęp:

20 NOWELIZACJA USTAWY Rola ABI w okresie przejściowym (do 30 czerwca 2015 r.) Dotychczasowi Administratorzy Bezpieczeństwa Informacji (ABI) pełnią swoją funkcję w znaczeniu nadanym przez nowelizację ustawy o ochronie danych osobowych mimo niezgłoszenia ich do rejestru Generanego Inspektora Ochrony Danych Osobowych. Taki stan potrwa do 30 czerwca 2015 r. Ustawa z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, nowelizująca ustawę o ochronie danych osobowych zawiera przepisy przejściowe, które określają sytuację prawną Administratora Bezpieczeństwa Informacji od 1 stycznia 2015 r. do 30 czerwca 2015 r. Warunki wykonywania funkcji Administratora Bezpieczeństwa Informacji w tym czasie są inne niż te obowiązujące do końca 2014 roku. Administrator bezpieczeństwa po nowelizacji Zgodnie z art. 35 ustawy o ułatwieniu wykonywania działalności gospodarczej: Administrator Bezpieczeństwa Informacji wyznaczony na podstawie art. 36 ust. 3 ustawy zmienianej w art. 9, w brzmieniu dotychczasowym, pełni funkcję Administratora Bezpieczeństwa Informacji w rozumieniu art. 36a ust. 1 ustawy zmienianej w art. 9, w brzmieniu nadanym niniejszą ustawą, do czasu zgłoszenia go do rejestru, o którym mowa w art. 46c ustawy zmienianej w art. 9, w brzmieniu nadanym niniejszą ustawą, nie dłużej jednak niż do 30 czerwca Dodany do ustawy art. 36a określa nowe obowiązki, pozycję w strukturze organizacyjnej oraz wymogi, które muszą zostać spełnione przez ABI. Z cytowanego przepisu wynika, że Administrator Bezpieczeństwa Informacji będzie wykonywał nowe obowiązki nadane mu znowelizowaną ustawą o ochronie danych osobowych, mimo że nie został zgłoszony do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych. WAŻNE Od 1 stycznia 2015 r. do 30 czerwca 2015 r. do zadań ABI będzie należało m.in. zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych czy też sprawdzenie zgodności przetwarzania danych z przepisami prawa, mimo niezgłoszenia ABI do rejestru. Jednak dotychczasowi Administratorzy Bezpieczeństwa Informacji zostaną wyposażeni w nowe uprawnienia i obowiązki jedynie do czasu zgłoszenia ich do rejestru Generalnego Inspektora Ochrony Danych Osobowych lub do 30 czerwca 2015 r. Czy wraz ze zgłoszeniem ABI do rejestru katalog jego obowiązków zostanie rozszerzony o dodatkowy obowiązek zwany sprawdzeniem na zlecenie GIODO (art. 19b ust. 1)? Czy GIODO może zwrócić się w tej sprawie do ABI już w okresie przejściowym? Zgodnie z art. 19b ust. 1: Generalny Inspektor może zwrócić się do Administratora Bezpieczeństwa Informacji wpisanego do rejestru, o którym mowa w art. 46c, o dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia. Artykuł 36a ust. 2 pkt 1 lit. a ustawy stanowi o obowiązku sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Ustawodawca użył w art. 19b ust. 1 ustawy sformułowania, że sprawdzenia może dokonać jedynie ABI wpisany do rejestru. Taki zapis pozwala na interpretację, że do 30 czerwca 2015 r. Administrator Bezpieczeństwa Informacji wykonuje jedynie obowiązki określone przez art. 36a ust. 1, a obowiązek sprawdzenia na zlecenie Generalnego Inspektora Ochrony Danych Osobowych zostanie nałożony na niego dopiero z chwilą wpisania go do rejestru. Ostateczne zdanie w tej kwestii będzie należało jednak do GIODO. ABI niezgłoszony do rejestracji Generalnemu Inspektorowi W razie niezgłoszenia Administratora Bezpieczeństwa Informacji do rejestru, od 1 lipca 2015 r., dotychczasowi Administratorzy Bezpieczeństwa Informacji zostaną pozbawieni uprawnień i obowiązków wynikających z ustawy o ochronie danych osobowych. Wynika to z brzmienia art. 35 ustawy deregulacyjnej oraz z faktu wykreślenia z ustawy o ochronie danych 14 19

21 osobowych art. 36 ust. 3, który jest obecnie podstawą prawną powołania Administratora Bezpieczeństwa Informacji. Na podstawie tego przepisu Administrator Bezpieczeństwa Informacji nadzoruje przestrzeganie zasad ochrony danych osobowych, o ile to zadanie nie jest samodzielnie wykonywane przez administratora danych. Wykreślenie tego przepisu sprawia, że Administratorzy Bezpieczeństwa Informacji, którzy przed 30 czerwca 2015 r. nie zostaną zarejestrowani u Generalnego Inspektora Ochrony Danych Osobowych, z upływem tego terminu przestaną pełnić swoją funkcję. Dotychczasowi Administratorzy Bezpieczeństwa Informacji będą mogli wykonywać inne dotychczasowe obowiązki wynikające ze stosunków umownych łączących ich z administratorami danych. Nie będą jednak formalnie Administratorami Bezpieczeństwa Informacji. W wielu przypadkach zadania Administratora Bezpieczeństwa Informacji są jednymi z wielu obowiązków (np. gdy funkcję ABI pełni kierownik działu IT, administrator sieci lub inny powołany do tego pracownik). UWAGA Kwestia określenia roli takich byłych ABI, a także ponowne powołanie na tę funkcję, będzie należała do pracodawcy (administratora danych). Wymagania dotyczące ABI Warto zwrócić także uwagę na braki w przepisach przejściowych regulujących zmianę sytuacji prawnej Administratora Bezpieczeństwa Informacji. Od 1 stycznia 2015 r. dotychczasowi Administratorzy Bezpieczeństwa Informacji zostaną poddani dodatkowym wymaganiom: posiadania pełnej zdolności do czynności prawnych oraz pełni praw publicznych, posiadania odpowiedniej wiedzy w zakresie ochrony danych osobowych oraz niekaralności za przestępstwa umyślne. Dodatkowo ABI powinni podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Z pewnością nie wszystkie osoby pełniące aktualnie funkcje ABI spełniają powyższe wymagania. W przepisach przejściowych brakuje regulacji dotyczącej zmiany w tym zakresie 1. Okres przejściowy powinien przygotować Administratora Bezpieczeństwa Informacji do zachodzących zmian, tak jak zagwarantowano to, określając czas na zgłoszenie ABI do rejestru Generalnego Inspektora Ochrony Danych Osobowych (do 30 czerwca 2015 r.). Wydaje się jednak, że dopuszczalne powinno być wykonywanie funkcji ABI w okresie przejściowym przez osoby, które 1 stycznia 2015 r. nie spełniają wymogów nałożonych przez art. 36a znowelizowanej ustawy. Ostateczne zdanie należy do Generalnego Inspektora Nie można wykluczyć, że interpretacja Generalnego Inspektora Ochrony Danych Osobowych może prowadzić do innych wniosków, tj. uniemożliwić wykonywania funkcji ABI już w okresie przejściowym. Warto zauważyć, że gdy zgłoszony do rejestru Administrator Bezpieczeństwa Informacji przestanie spełniać jeden z wymogów (np. utraci atrybut niezależności organizacyjnej), Generalny Inspektor Ochrony Danych Osobowych wydaje decyzję o wykreśleniu go z rejestru. Od 1 stycznia 2015 r. Generalny Inspektor Ochrony Danych Osobowych nie może usankcjonować braku wypełnienia wymogów poprzez wykreślenie ABI z rejestru, gdyż taki rejestr nie jest jeszcze prowadzony. W konsekwencji Generalny Inspektor Ochrony Danych Osobowych może zinterpretować niniejszy przepis w ten sposób, że ABI, którzy np. nie posiadają odpowiedniej wiedzy z ochrony danych osobowych, od 1 stycznia 2015 r. przestaną pełnić swoją funkcję ex lege. Dopuszczalność funkcjonowania ABI niespełniających wymogów z art. 36a ust. 1 ustawy w okresie przejściowym zależeć będzie w głównej mierze od podejścia Generalnego Inspektora Ochrony Danych Osobowych. Mając na uwadze komentarze przedstawione powyżej, rekomendowane będzie rozważenie w okresie przejściowym: 1) zgłoszenia ABI do rejestru GIODO, 2) rozszerzenia/zmiany zakresu obowiązków ABI wpisanych do umowy o pracę lub umowy cywilnoprawnej łączącej ABI z administratorem danych, 3) oceny pozycji ABI w strukturze organizacyjnej oraz spełniania przez niego wymogów wynikających ze znowelizowanych przepisów (oceny najlepiej dokonać już przed rozpoczęciem okresu przejściowego). Jednocześnie z brzmienia art. 35 ustawy deregulacyjnej nie powinno wyprowadzać się wniosku o obowiązku pozostawania na stanowisku ABI przez okres przejściowy. Administrator danych powinien mieć w tym zakresie dowolność, tzn. może odwołać ABI ze stanowiska już z dniem 1 stycznia 2015 roku. Michał Bienias aplikant radcowski przy Okręgowej Izbie Radców Prawnych w Warszawie, prawnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy 1 Podobnie P. Fajgielski. Administrator bezpieczeństwa informacji geneza, stan obecny i perspektywy zmian dodatek MoP 9/2014, MoP 2014, Nr 9, str

22 NOWELIZACJA USTAWY Przyczyna odwołania ABI a sytuacja prawna ADO Jeśli administrator danych będzie chciał wykreślenia ABI z rejestru prowadzonego przez GIODO, będzie musiał podać we wniosku przyczynę jego odwołania. Już teraz budzi to wiele wątpliwości, gdyż znowelizowana ustawa nie wskazuje, czy ADO ma pełną swobodę w zakresie odwołania ABI. Nałożony na administratora danych obowiązek wskazania Generalnemu Inspektorowi przyczyny odwołania Administratora Bezpieczeństwa Informacji wynika z brzmienia art. 46b ust. 3 ustawy. Zgodnie z tym przepisem zgłoszenie odwołania ABI powinno zawierać poza danymi, o których mowa w art. 46b ust. 2 pkt 1 i pkt 2 lit. a i b także datę i przyczynę odwołania. Zgłoszenie Generalnemu Inspektorowi tego faktu powinno nastąpić w terminie 30 dni od dnia odwołania. W przypadku otrzymania takiej informacji Generalny Inspektor wykreśla ABI z rejestru Administratorów Bezpieczeństwa Informacji (w drodze czynności materialno-technicznej) art. 46d ust. 1 ustawy. Przyczyna odwołania Wymóg wskazywania przyczyny odwołania może rodzić wiele wątpliwości interpretacyjnych. Zwłaszcza że wykładnia przepisów ustawy nie przesądza jednoznacznie, czy ADO ma pełną swobodę decyzyjną w zakresie odwoływania ABI, czy też przyczyny odwołania podlegają ocenie GIODO. Nie jest też jasne, na ile precyzyjnie należy w zgłoszeniu określić przyczynę odwołania oraz czy wymaga ona uzasadnienia. Niejasności te mają znaczenie w ocenie, czy przyczyna odwołania ABI wskazana przez administratora danych w zgłoszeniu może mieć wpływ na jego sytuację prawną. Regulacja dotycząca wykreślenia ABI z rejestru Administratorów Bezpieczeństwa Informacji nie uprawnia GIODO do wydania decyzji odmownej w tym przedmiocie. Znowelizowana ustawa nie przewiduje bowiem w tym zakresie rozwiązania analogicznego do art. 44 ustawy, który określa sytuacje, gdy Generalny Inspektor wydaje decyzję o odmowie rejestracji zbioru danych. PAWEŁ TOBICZYK aplikant adwokacki, doktorant w Katedrze Prawa Własności Intelektualnej Uniwersytetu Jagiellońskiego, pracownik departamentu Technologie Media Telekomunikacja w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy Przy założeniu, że ADO ma swobodę przy powoływaniu ABI, odwołanie ABI z dowolnego powodu i poinformowanie o tym fakcie Generalnego Inspektora w przewidzianym ustawowo terminie powinno skutkować wykreśleniem ABI z rejestru na podstawie art. 46d ust. 1 ustawy (a zatem bez wydania stosownej decyzji administracyjnej przez organ). Administrator danych powinien mieć więc zasadniczo swobodę podejmowania decyzji w zakresie odwoływania ABI. Taki wniosek prowadziłby jednak do konkluzji, że ustawowy wymóg określenia przyczyny odwołania ABI w kierowanym do organu zgłoszeniu byłby prawnie nieistotny. Biorąc pod uwagę domniemaną racjonalność ustawodawcy, rodzi to pewne wątpliwości. Rodzaj przyczyny Czy istnieją racje do nałożenia obowiązku podawania przyczyny odwołania ABI na administratora danych? Czy w pewnych przypadkach wskazanie konkretnej przyczyny rodzić może określone skutki dla administratora? Wskazać można przede wszystkim wątpliwość związaną ze wskazaniem przez administratora danych jako przyczyny odwołania ABI braku spełniania przez niego warunków określonych w art. 36a ust. 5 ustawy. Chodzi o wymóg posiadania pełnej zdolności do czynności prawnych oraz korzystania z pełni praw publicznych, posiadania odpowiedniej wiedzy w zakresie ochrony danych osobowych oraz braku karalności za umyślne przestępstwo. Wątpliwość może budzić również podanie jako przyczyny niewykonywanie przez ABI zadań określonych w art. 36a ust. 2 ustawy. W tym przypadku chodzi o wymóg konieczności za

23 pewnienia przestrzegania przepisów o ochronie danych osobowych oraz prowadzenia jawnego rejestru zbiorów danych przetwarzanych przez administratora danych. Wykreślenie ABI Okoliczności te stanowią bowiem przesłanki wykreślenia ABI z rejestru przez Generalnego Inspektora w drodze decyzji administracyjnej wydanej z urzędu (art. 46d ust. 2 pkt 1 i pkt 2). Powstaje zatem pytanie: czy w takiej sytuacji tj. np. gdy administrator danych wskaże w zgłoszeniu jako przyczynę odwołania ABI fakt, że został on skazany za przestępstwo umyślne Generalny Inspektor powinien go wykreślić z rejestru w drodze czynności materialno-technicznej (art. 46d ust. 1)? Czy też powinien wydać ADO z urzędu decyzję o wykreśleniu ABI (art. 46d ust. 2)? Wykreślenie ABI na podstawie art. 46d ust. 2 rodzi określone konsekwencje dla administratora danych. Zgodnie z art. 46d ust. 3 do ADO będącego adresatem takiej decyzji administracyjnej nie stosuje się art. 43 ust. 1a, a więc przepisu dotyczącego zwolnienia z obowiązku rejestracji zbiorów danych w przypadku powołania ABI i zgłoszenia go GIODO do rejestracji. Ponowne wpisanie do rejestru ABI, który został wykreślony na podstawie decyzji z art. 46d ust. 2, wymaga wydania odrębnej decyzji administracyjnej. W takim przypadku zwolnienie z obowiązku rejestracji zbioru, które zostało określone w art. 43 ust. 1a, stosuje się dopiero po ponownym wpisaniu zgłoszonego ABI do rejestru (art. 46e ust. 2 ustawy), a nie od momentu zgłoszenia go do rejestracji. Na gruncie znowelizowanych przepisów nie można jednoznacznie przesądzić, jaką decyzję powinien w takiej sytuacji podjąć organ. Każde z zaproponowanych rozstrzygnięć rodzi bowiem pewne wątpliwości. Zgodnie z pierwszą interpretacją w każdym przypadku, gdy ADO odwoła ABI (bez znaczenia, z jakiego powodu) i poinformuje o tym generalnego inspektora w terminie 30 dni, organ powinien wykreślić go na podstawie art. 46d ust. 1. Odwołanie ABI i poinformowanie o tym GIODO pozwoli więc ADO w każdym przypadku uchronić się przed konsekwencjami wynikającymi z wykreślenia ABI na podstawie art. 46d ust. 2. Administrator danych osobowych mógłby więc np. zgłosić ponownie wykreślonego ABI bez konieczności uzyskania stosownej decyzji administracyjnej, mimo że ten nie realizował ustawowych zadań, co było podstawą odwołania. Co więcej, zastosowania nie znalazłby w tym przypadku art. 46d ust. 3. Administrator danych w dalszym ciągu mógłby więc korzystać ze zwolnienia od obowiązku rejestracji zbiorów. Warunkiem skorzystania z tego przywileju byłoby jedynie kumulatywne spełnienie dwóch przesłanek, tj. odwołania ABI oraz poinformowania GIODO o tym fakcie. W sytuacji gdyby administrator danych odwołał ABI, ale informacja o tym nie zostałaby przekazana generalnemu inspektorowi, wydanie decyzji przez organ byłoby możliwe. Kluczowe dla administratora danych byłoby więc, aby w przypadku gdy zaistnieje jedna z przesłanek określonych w art. 46d ust. 2 pkt 1 lub 2 odwołać ABI oraz poinformować o tym Generalnego Inspektora przed wydaniem decyzji z urzędu o wykreśleniu ABI. Przyjęcie takiej wykładni podważa zasadność wprowadzenia wymogu wskazywania przyczyny odwołania ABI w formularzu zgłoszenia. Fakt, że GIODO dowie się na tym etapie, że zaistniały przesłanki wykreślenia ABI z urzędu, nie mógłby bowiem być podstawą wydania przez niego decyzji administracyjnej. Kontrola przekazanego organowi zgłoszenia byłaby więc w tym zakresie bezprzedmiotowa. Weryfikacja przyczyny Przyjęcie drugiej interpretacji również rodzi istotne wątpliwości. GIODO otrzymując zgłoszenie, w którym przyczyną odwołania ABI jest np. fakt, że ABI został skazany za przestępstwo umyślne, powinien zweryfikować autentyczność tej informacji i dopiero po jej potwierdzeniu wydać decyzję o wykreśleniu. Wydanie decyzji wyłącznie w oparciu o przekazane przez administratora informacje mogłoby bowiem prowadzić do naruszenia praw ABI. Ani ustawa, ani też projekt rozporządzenia wykonawczego w sprawie wzorów zgłoszeń powołania, zmiany informacji objętych zgłoszeniem i odwołania Administratora Bezpieczeństwa Informacji (projekt z 20 listopada 2014 r.) nie zawierają żadnych wskazówek odnośnie do wymaganej szczegółowości wskazywanej przyczyny ani też nie wymagają uzasadnienia decyzji (dołączenia odpowiednich dowodów) w tym zakresie. Wątpliwości budzić może sytuacja, gdy administrator danych wskaże jako przyczynę odwołania brak realizacji zadań przez ABI, bez określenia, na czym dokładnie te zaniechania polegają (czy mieszczą się w katalogu zadań ustawowych ABI). Organ także w tym przypadku powinien zweryfikować, czy zachodzą podstawy wydania decyzji z urzędu. Przekazane informacje mogłyby być więc raczej wyłącznie podstawą wszczęcia procedury wyjaśniającej (kontrolnej) przez GIODO, w celu zweryfikowania, czy zaistniała jedna z ustawowych przesłanek wskazanych w art. 46d ust. 2 pkt 1 lub 2 ustawy. W przypadku pozytywnego wniosku organ powinien wydać decyzję administracyjną o wykreśleniu ABI. W przeciwnym razie wykreślenie powinno nastąpić w drodze czynności materialno-technicznej. Istnieje ryzyko, że ADO nie będą skłonni wskazywać w zgłoszeniu prawdziwej przyczyny odwołania (gdyby była nią jedna z przesłanek wskazanych w art. 46d ust. 2 pkt 1 lub 2), chcąc w ten sposób uniknąć konsekwencji związanych z wykreśleniem ABI na podstawie decyzji organu. W świetle nowych przepisów trudno jest udzielić jednoznacznej odpowiedzi na pytanie, jakie mogą być skutki wskazania przez administratora danych określonej przyczyny odwołania ABI. Kluczowe znaczenie w tym kontekście będzie miała praktyka GIODO. Konsekwencje podejścia organu do tej kwestii mogą mieć istotne znaczenie dla administratorów danych

24 NOWELIZACJA USTAWY Odpowiednia wiedza z ochrony danych nowy wymóg Nowelizacja ustawy o ochronie danych osobowych wprowadziła wymóg posiadania przez Administratora Bezpieczeństwa Informacji odpowiedniej wiedzy w zakresie ochrony danych osobowych. Pojawia się jednak pytanie, w jaki sposób należy weryfikować spełnienie tego wymagania. Jakie mogą być konsekwencje braku posiadania odpowiedniej wiedzy? Zgodnie z art. 36a ust. 5 ustawy o ochronie danych osobowych Administratorem Bezpieczeństwa Informacji może być osoba, która: ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, posiada odpowiednią wiedzę w zakresie ochrony danych osobowych, nie była karana za umyślne przestępstwo. Odpowiednia wiedza czyli jaka? Przesłanki określone w art. 36a ust. 5 pkt 1 oraz pkt 3 ustawy nie budzą w zasadzie problemów interpretacyjnych. Przepisy prawa w sposób precyzyjny wskazują bowiem, kiedy osoba fizyczna nabywa lub traci pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, a także w jakim przypadku jest traktowana jako karana za umyślne przestępstwo. Nie jest natomiast jednoznaczne, w jaki sposób należy rozumieć przesłankę określoną w art. 36a ust. 5 pkt 2 ustawy, tj. posiadanie odpowiedniej wiedzy w zakresie ochrony danych osobowych. Ustawodawca nie wprowadził bowiem do ustawy definicji legalnej tego terminu. Trudno zatem wskazać, jaki poziom wiedzy jest w świetle tego przepisu odpowiedni oraz kto powinien dokonywać oceny, czy powołany przez Administratora Danych Osobowych Administrator Bezpieczeństwa Informacji wymóg ten spełnia. Wydaje się, że zasadniczo osoba powołana do pełnienia funkcji ABI-ego powinna posiadać taką wiedzę, która pozwoli jej realizować nałożone na nią w drodze ustawy zadania. Chodzi w szczególności o obowiązki wskazane w art. 36a ust. 2 ustawy o ochronie danych osobowych oraz wymagania związane z dokonywaniem sprawdzenia, o którym mowa w art. 19b ustawy. Dodatkową wskazówką interpretacyjną dla wymogu odpowiedniej wiedzy może być regulacja zawarta w art. 37 projektu rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych). Zgodnie z nim przy wyznaczeniu inspektora ochrony danych (odpowiednik ABI-ego) należy wziąć pod uwagę m.in. wymóg posiadania wiedzy specjalistycznej z zakresu prawa ochrony danych. W przepisie tym wskazano, że niezbędny poziom wiedzy specjalistycznej ustala się w szczególności zgodnie z prowadzonym przetwarzaniem danych oraz ochroną wymaganą dla danych osobowych przetwarzanych przez administratora lub podmiot przetwarzający. Wymagania zależne od okoliczności Wydaje się, że poziom wymaganej od Administratora Bezpieczeństwa Informacji wiedzy powinien być określany w każdym konkretnym przypadku. Biorąc bowiem pod uwagę, że zakres wiedzy koniecznej do prawidłowego sprawowania funkcji Administratora Bezpieczeństwa Informacji jest w dużej mierze zależny od zakresu oraz metod przetwarzania danych przez Administratora Danych Osobowych, wyznaczenie sztywnych kryteriów oceny nie wydaje się w tym zakresie niezbędne, a nawet zasadne. PRZYKŁAD Odmienne wymagania powinny być stawiane i tym samym inny wymagany poziom wiedzy z zakresu ochrony danych osobowych w stosunku do ABI-ego powołanego przez administratora, który prowadzi jednoosobową działalność gospodarczą i przetwarza wyłącznie niewielki zakres danych swoich kontrahentów. Inne zaś w odniesieniu do osoby, która ma sprawować tę funkcję w banku przetwarzającym dane osobowe klientów (w tym również tzw. dane wrażliwe określone w art. 27 ustawy) za pośrednictwem rozbudowanych rozwiązań informatycznych, pozwalających dodatkowo na przepływ danych pomiędzy poszczególnymi systemami. Poziom odpowiedniej wiedzy należy oceniać pod kątem zdolności Administratora Bezpieczeństwa Informacji do 14 23

25 wypełnienia nałożonych na niego przez ustawodawcę obowiązków. Każdorazowo trzeba brać pod uwagę: zakres i kategorie danych przetwarzanych przez administratora, środki wykorzystywane do przetwarzania przez niego danych oraz inne mające znaczenie okoliczności. Ocena wymogu odpowiedniej wiedzy ABI Brak ostrych kryteriów odnoszących się do wymogu odpowiedniego poziomu wiedzy Administratora Bezpieczeństwa Informacji może powodować praktyczne trudności w ocenie, czy przesłanka ta jest w konkretnym przypadku spełniona. Tym bardziej że jak się wydaje, to Administrator Danych Osobowych powinien dokonywać wstępnej oceny w tym zakresie. Zgodnie bowiem z art. 46b ust. 2 ustawy o ochronie danych osobowych, zgłoszenie powołania Administratora Bezpieczeństwa Informacji do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych powinno zawierać m.in. oświadczenie administratora danych o spełnianiu przez niego warunków określonych w art. 36a ust. 5 ustawy o ochronie danych osobowych, a więc m.in. przesłanki odpowiedniej wiedzy. Zatem ocena, czy osoba powołana do pełnienia funkcji Administratora Bezpieczeństwa Informacji spełnia ten wymóg, spoczywa w pierwszej kolejności na administratorze danych. Jest on ponadto zobowiązany poświadczyć tę okoliczność w formularzu zgłoszeniowym przekazywanym organowi w celu rejestracji Administratora Bezpieczeństwa Informacji. Obowiązek taki wynika z projektu rozporządzenia wykonawczego w sprawie wzorów zgłoszeń powołania, zmiany informacji objętych zgłoszeniem i odwołania Administratora Bezpieczeństwa Informacji z 20 listopada 2014 r. Weryfikacja wniosku o rejestrację ABI Nie jest jasne, jakie uprawnienia w zakresie weryfikacji wniosku o rejestrację Administratora Bezpieczeństwa Informacji ma Generalny Inspektor Ochrony Danych Osobowych. Jak się wydaje, organ może weryfikować złożony przez Administratora Danych Osobowych wniosek pod kątem ewentualnych wad formalnych. W tym zakresie uprawnienia Generalnego Inspektora Ochrony Danych Osobowych powinny być bowiem takie same jak w przypadku procedury rejestracji zbiorów danych osobowych. Zarówno bowiem rejestracja zbioru, jak i rejestracja Administratora Bezpieczeństwa Informacji dokonywane są w drodze czynności materialno-technicznej organu po przeprowadzeniu postępowania administracyjnego wszczętego na wniosek. Taki pogląd w odniesieniu do postępowania w sprawie rejestracji zbiorów jest prezentowany przez Generalnego Inspektora Ochrony Danych Osobowych oraz doktrynę. Wniosek o dokonanie rejestracji ABI-ego (podobnie jak w przypadku rejestracji zbioru) powinien być traktowany jako podanie w rozumieniu art. 63 Kodeksu postępowania administracyjnego (KPA). W związku z tym ocena wniosku pod kątem braków formalnych powinna w obu przypadkach przebiegać na podstawie zawartej w ustawie regulacji (art. 64 KPA). Weryfikacja odpowiedniej wiedzy ABI Wątpliwości budzi zakres uprawnienia Generalnego Inspektora do weryfikowania, czy Administrator Bezpieczeństwa Informacji posiada odpowiednią wiedzę w zakresie ochrony danych osobowych. Uprawienie organu do dokonywania oceny, czy wymóg ten został przez ABI-ego zrealizowany, wyprowadzić można z art. 46d ust. 2 pkt 1 ustawy o ochronie danych osobowych. Regulacja ta przewiduje, że Generalny Inspektor Ochrony Danych Osobowych wydaje administratorowi danych decyzję o wykreśleniu ABI-ego z rejestru Administratorów Bezpieczeństwa Informacji m.in. w sytuacji, gdy ABI nie spełnia warunków określonych w art. 36a ust. 5 ustawy o ochronie danych oosbowych, a więc także wtedy, gdy nie posiada odpowiedniej wiedzy z zakresu ochrony danych osobowych. Wynika z tego, że Generalny Inspektor może sprawdzić np. w ramach dokonanej u administratora kontroli zgodności przestrzegania przetwarzania danych z przepisami o ochronie danych osobowych (art. 12 pkt 1 ustawy) czy wymóg odpowiedniej wiedzy został przez ABI-ego spełniony. UWAGA Uprawnienie GIODO do sprawdzenia, czy Administrator Bezpieczeństwa Informacji posiada odpowiednią wiedzę, przysługuje organowi na podstawie art. 46 ust. 2 pkt 1 ustawy wyłącznie wtedy, gdy ABI znajduje się już w rejestrze (a więc po uprzednim dokonaniu wpisu przez organ). Wątpliwość budzi natomiast, czy uprawnienie organu do weryfikowania spełnienia przez Administratora Bezpieczeństwa Informacji przesłanek z art. 36a ust. 5 ustawy o ochronie danych osobowych przysługuje mu także w ramach postępowania rejestracyjnego, a więc przed wpisaniem ABI-ego do rejestru. Możliwość taka nie wynika wprost z przepisów ustawy. Regulacja dotycząca rejestracji Administratorów Bezpieczeństwa Informacji nie przewiduje bowiem rozwiązania analogicznego do przepisu art. 44 ustawy o ochronie danych osobowych, w którym wskazano przesłanki stanowiące podstawę do wydania przez Generalnego Inspektora Ochrony Danych Osobowych w wyniku weryfikacji treści wniosku rejestracyjnego dotyczącego zgłoszenia zbioru danych decyzji administracyjnej odmawiającej rejestracji konkretnego zbioru

26 NOWELIZACJA USTAWY Ponieważ procedura postępowania w obu przypadkach jest taka sama, należałoby zatem a contrario przyjąć biorąc pod uwagę domniemaną racjonalność ustawodawcy że w odniesieniu do wniosku o rejestrację Administratora Bezpieczeństwa Informacji uprawnienie takie organowi nie przysługuje. Taka konkluzja rodzi jednak istotne wątpliwości. Jeżeli bowiem Generalny Inspektor nie miałby uprawnienia do wydania w pewnych przypadkach decyzji odmownej odnośnie rejestracji powołanego ABI-ego, to w przypadku gdy zgłoszenie nie zawiera braków formalnych, organ byłby de facto zobowiązany wpisać ABI-ego do rejestru. Odmowa rejestracji ABI przez GIODO Jak się wydaje, organ, który ma wątpliwość co do rzetelności oświadczeń składanych przez administratora w zgłoszeniu (np. co do posiadania przez ABI-ego odpowiedniej wiedzy), miałby wprawdzie prawo żądać wyjaśnień. Jednak nawet po stwierdzeniu, że powołany ABI nie spełnia ustawowych wymogów, nie mógłby odmówić jego rejestracji. W konsekwencji w takim przypadku Generalny Inspektor Danych Osobowych powinien wpisać ABI do rejestru (przy założeniu, że wniosek spełnia wszystkie wymogi formalne), po czym, w trybie przewidzianym w art. 46d ust. 2, wykreślić go w drodze decyzji administracyjnej (na podstawie przesłanki określonej w art. 46d ust. 2 pkt 1 ustawy. Wniosek taki jest trudny do zaakceptowania. Dlatego należy rozważyć, czy Generalny Inspektor Ochrony Danych Osobowych nie powinien mieć jednak możliwości odmowy rejestracji w pewnych przypadkach. Zgodnie z przyjętym w orzecznictwie poglądem odmowa dokonania czynności materialno-technicznej powinna być dokonana w drodze decyzji. Jest to bowiem negatywne rozstrzygnięcie w sprawie administracyjnej, o której załatwienie zwróciła się strona mająca w tym interes prawny. Jak zauważono, taka forma załatwienia sprawy, umożliwiająca instancyjną i pozainstancyjną kontrolę zgodności rozstrzygnięcia z prawem, w najlepszy sposób chroni zarówno interes społeczny, jak i interes indywidualny strony (por. wyrok Naczelnego Sądu Administracyjnego z 25 lutego 1983 r., sygn. akt II SA 2083/82 oraz wyrok Naczelnego Sądu Administracyjnego z 26 maja 2009 r., sygn. akt I OSK 761/08). Podstawa prawna odmowy rejestracji ABI Podstawę prawną wydania decyzji administracyjnej można wywieść jedynie z powszechnie obowiązujących przepisów prawa materialnego. Decyzja wydana bez podstawy prawnej jest wadliwa, co skutkuje jej nieważnością. Zasadą jest zatem, że organ administracji publicznej wydaje decyzję tylko wówczas, gdy jego kompetencja do jej decyzji została określona w przepisie prawa materialnego. Wątpliwości budzi więc ocena, czy art. 36a ust. 5 ustawy może być odpowiednią podstawą prawną do wydania decyzji odmownej przez Generalnego Inspektora. W tym zakresie wskazać należy prawomocny wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 11 czerwca 2012 r. (sygn. akt II SA/WA 762/12). Rozpatrywana przez sąd sprawa dotyczyła skargi wniesionej przez asystenta sędziego w sądzie okręgowym, który zgłosił chęć przystąpienia do egzaminu sędziowskiego. Prezes sądu apelacyjnego nie zgodził się na dopuszczenie go do egzaminu w związku z niespełnieniem przez niego przesłanki wymaganego czasu zatrudnienia na stanowisku asystenta sędziego (z art. 66 ust. 4 i ust. 6 ustawy o Krajowej Szkole Sądownictwa i Prokuratury). Skarżący wniósł odwołanie na odmowę umieszczenia go na liście osób dopuszczonych do egzaminu sędziowskiego do Ministerstwa Sprawiedliwości. Uznał bowiem, że odmowa powinna być traktowana jako decyzja administracyjna. Spełnia ona bowiem wszystkie wymogi decyzji administracyjnej określone w art. 107 KPA w tym zawiera podstawę prawną jej wydania, którą w tym przypadku jest art. 66 ust. 4 i ust. 6 ustawy. Argumentację tę podzielił Wojewódzki Sąd Administracyjny, potwierdzając tym samym, że podstawą wydania decyzji może być przepis prawny określający jedynie przesłanki dokonania przez organ czynności materialno-technicznej (nieuprawniający natomiast organu wprost do odmowy dokonania czynności w drodze wydania decyzji administracyjnej). Przyjęcie takiej wykładni przepisów dokonanej w tej sprawie przez WSA prowadziłoby do wniosku, że także art. 36a ust. 5 ustawy o ochronie danych osobowych może stanowić samoistną podstawę wydania przez Generalnego Inspektora decyzji odmownej w przedmiocie wpisu Administratora Bezpieczeństwa Informacji do rejestru. WAŻNE Powołanie do sprawowania funkcji ABI-ego osoby nieposiadającej odpowiedniej wiedzy może rodzić negatywne konsekwencje dla administratora danych: Taka sytuacja może skutkować wydaniem przez Generalnego Inspektora decyzji o wykreśleniu ABI-ego z rejestru Administratorów Bezpieczeństwa Informacji na podstawie art. 46d ust. 2 pkt 1 ustawy uprawnienie takie przysługuje jednak organowi dopiero w wypadku stwierdzenia braku odpowiedniej wiedzy już po dokonaniu wpisu ABI-ego do rejestru, np. w wyniku kontroli przeprowadzonej u administratora danych. Wydaje się, że mimo iż obecna regulacja nie zawiera wyraźnej podstawy prawnej uprawniającej Generalnego Inspektora do wydania decyzji odmownej w zakresie rejestracji ABI-ego jeszcze przed dokonaniem wpisu do rejestru (tj. na etapie rozpatrywania wniosku o rejestrację), to ogólne przepisy postępowania administracyjnego dopuszczają taką możliwość. Nie jest przy tym jasne, dlaczego ustawodawca nie zdecydował się na wprowadzenie do znowelizowanej ustawy rozwiązania analogicznego do regulacji w art. 44 ustawy, co usunęłoby niejasności interpretacyjne w tym zakresie. Paweł Tobiczyk aplikant adwokacki 14 25

27 Odpowiedzialność ABI po nowelizacji ustawy Nowelizacja ustawy o ochronie danych osobowych rozszerza odpowiedzialność Administratora Bezpieczeństwa Informacji za prawidłowe wykonywanie zadań. Generalny Inspektor Ochrony Danych Osobowych zostanie wyposażony w nowy środek wykreślenie ABI z rejestru. Odpowiedzialność ABI po nowelizacji Nowelizacja ustawy o ochronie danych osobowych 1 wpływa na dotychczasowe regulacje odnoszące się do odpowiedzialności Administratora Bezpieczeństwa Informacji. Na gruncie dotychczasowych przepisów Administrator Bezpieczeństwa Informacji za wykonywanie swoich zadań, tj. nadzorowanie przestrzegania zasad ochrony danych osobowych, ponosi odpowiedzialność: pracowniczą (jeżeli jest pracownikiem administratora danych), kontraktową (np. przy outsourcingu), karną (art. 51 ustawy o ochronie danych osobowych). WAŻNE Po nowelizacji zakres odpowiedzialności ABI rozszerzy się o uprawnienie Generalnego Inspektora Ochrony Danych Osobowych do wykreślenia ABI z rejestru prowadzonego przez GIODO. Wykreślenie ABI z rejestru GIODO Od 1 stycznia 2015 r. Generalny Inspektor Ochrony Danych Osobowych zostanie wyposażony w środek pozwalający na pozbawienie Administratora Bezpieczeństwa Informacji możliwości wykonywania swojej funkcji. Zgodnie z art. 46d. ust. 2 ustawy o ochronie danych osobowych: Generalny Inspektor z urzędu wydaje administratorowi danych decyzję o wykreśleniu Administratora 1 Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz ze zm.). MICHAŁ BIENIAS aplikant radcowski przy Okręgowej Izbie Radców Prawnych w Warszawie, prawnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy Bezpieczeństwa Informacji z rejestru Administratorów Bezpieczeństwa Informacji, jeżeli: Administrator Bezpieczeństwa Informacji nie spełnia warunków określonych w art. 36a ust. 4 lub 6, Administrator Bezpieczeństwa Informacji nie wykonuje zadań określonych w art. 36a ust. 2, administrator danych nie powiadomił o odwołaniu Administratora Bezpieczeństwa Informacji. Sformułowanie użyte w powyższym przepisie: Generalny Inspektor z urzędu wydaje administratorowi danych decyzję sprawia, że do zakresu kompetencji GIODO będzie należało wydanie tzw. decyzji związanej w tym zakresie. Oznacza to, że przy wydawaniu decyzji organ będzie ściśle związany przepisami prawa, które jednoznacznie obligują go do takiego, a nie innego rozstrzygnięcia sprawy. Zadaniem Generalnego Inspektora Ochrony Danych Osobowych będzie jedynie sprawdzenie, czy została spełniona przesłanka wydania decyzji, tj.: ABI nie wypełnia wymogów niezbędnych do wykonywania swojej funkcji: pełnej zdolności do czynności prawnych oraz korzystania z pełni praw publicznych, posiadania odpowiedniej wiedzy w zakresie ochrony danych osobowych, niekaralności za umyślne przestępstwo; ABI nie podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych; ABI nie wykonuje zadań określonych w art. 36a ust. 2 ustawy o ochronie danych osobowych (np. sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowania w tym zakresie sprawozdania dla administratora danych); administrator danych nie powiadomił o odwołaniu Administratora Bezpieczeństwa Informacji

28 NOWELIZACJA USTAWY UWAGA Po nowelizacji zaniedbanie wykonywania zadań przez Administratora Bezpieczeństwa Informacji może powodować dla niego szczególne ryzyko w postaci utraty funkcji (art. 46d ust. 2 pkt 2). Obowiązki ABI zostały sformułowane w bardzo ogólny sposób, co utrudnia określenie granicy ich prawidłowego wykonania. Czy gdyby Administrator Bezpieczeństwa Informacji nie przeprowadził odpowiedniego szkolenia lub nie udostępnił materiałów na temat ochrony danych osobowych osobom upoważnionym do przetwarzania danych (obowiązek z art. 36a ust. 2 pkt 1 c), to zostałaby spełniona przesłanka do wykreślenia ABI? Generalny Inspektor Ochrony Danych Osobowych będzie musiał ocenić też, czy nieaktualna dokumentacja ochrony danych osobowych może pociągać za sobą wykreślenie Administratora Bezpieczeństwa Informacji z rejestru (jego obowiązkiem jest nadzorowanie jej aktualizowania art. 36a ust. 2 pkt 1b). Co więcej, wydaje się, że nawet nieudostępnianie informacji o zbiorach prowadzonych przez administratora danych (w myśl zasady jawności; art. 36a ust. 2 pkt 2) może prowadzić do zarzutów o niewykonywanie zadań, a w konsekwencji do decyzji o wykreśleniu z rejestru. Decyzja Generalnego Inspektora Ochrony Danych Osobowych będzie mogła zostać wydana niezależnie od tego, czy administrator danych jest zadowolony z tego, jak Administrator Bezpieczeństwa Informacji wykonuje swoje zadania. GIODO ponownie wpisuje Administratora Bezpieczeństwa Informacji do rejestru, jeżeli usunięty został powód jego wykreślenia (np. została zmieniona jego pozycja w strukturze organizacyjnej spółki lub powrócił do wykonywania zadań ustawowych; jest to decyzja związana). Wykreślenie ABI ze względu na niewykonanie przez niego ustawowych zadań (wbrew woli administratora danych) stwarza dla administratora problemy praktyczne związane z brakiem zwolnienia z rejestracji zbiorów danych. Niewykonanie obowiązku sprawdzenia na zlecenie GIODO Warto zwrócić uwagę na szczególny wypadek, kiedy GIODO jak się wydaje nie będzie uprawniony do zastosowania omawianego środka. Generalny Inspektor nie powinien bowiem wykreślić Administratora Bezpieczeństwa Informacji w sytuacji, w której nie wykona on obowiązku z art. 19b (dokonanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych na żądanie GIODO). Jak zauważono w uzasadnieniu do ustawy o ułatwieniu wykonywania działalności gospodarczej: sprawdzenie, o którym mowa w art. 16a ustawy o ochronie danych osobowych (w chwili obecnej art. 19b) i sprawdzenie z art. 36a ust. 2 pkt 1 lit. a, to dwie różne instytucje prawne. Generalny Inspektor wykreśli ABI z rejestru administratorów, jeśli nie będzie wykonywał swoich ustawowych obowiązków W pierwszym przypadku Administrator Bezpieczeństwa Informacji dokonuje sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych u administratora danych, który go powołał, na zlecenie Generalnego Inspektora Ochrony Danych Osobowych. W konsekwencji sprawozdanie z takiego sprawdzenia jest przedstawiane za pośrednictwem administratora danych, do Generalnego Inspektora Ochrony Danych Osobowych. W drugim przypadku (art. 36a ust. 2 pkt 1 lit. a) sprawdzenie przeprowadzone przez ABI ma charakter kontroli wewnętrznej u administratora danych, a zatem powstałe w jego wyniku sprawozdanie jest dokumentem wewnętrznym administratora danych 1. Przepis regulujący wykreślenie Administratora Bezpieczństwa Informacji z rejestru odnosi się jedynie do tego drugiego przypadku. W związku z tym niewykonanie sprawdzenia na zlecenie Generalnego Inspektora Ochrony Danych Osobowych nie może być podstawą do wykreślenia Administratora Bezpieczeństwa Informacji z rejestru. Takie rozwiązanie przyjęte przez ustawodawcę może budzić wątpliwości. W szczególności z racji tego, że nawet niedopatrzenia mniejszej wagi w wykonaniu obowiązków ABI mogą być rozumiane jako podstawy do wykreślenia z rejestru. Odpowiedzialność karna ABI po nowelizacji Nowelizacja ustawy nie przewiduje żadnych zmian w przepisach karnych. Niemniej jednak uregulowanie nowych obowiązków ABI może wpływać na zakres odpowiedzialności karnej. Odpowiedzialność karna z art. 51 ustawy o ochronie danych osobowych zachodzi, gdy zostaną spełnione łącznie dwie przesłanki: osoba administrująca zbiorem danych lub obowiązana do ochrony danych osobowych udostępnia lub umożliwia dostęp do danych osobom nieupoważnionym. Wykonywanie obowiązków ABI wynikających ze znowelizowanej ustawy (np. nadzorowanie opracowania i aktualizowania dokumentacji ochrony danych) można uznać za 1 Uzasadnienie ustawy o ułatwieniu wykonywania działalności gospodarczej dostępne pod adresem: dokument pdf Ostatni dostęp:

29 przejaw obowiązku ochrony danych osobowych, o którym mówi pierwsza przesłanka. Dlatego w razie zaistnienia drugiej przesłanki ABI może ponosić odpowiedzialność z art. 51 ustawy. Odpowiedzialność karna ABI za utrudnianie kontroli Wiele wątpliwości wywołuje kwestia, czy podmiotem przestępstwa z art. 54a ustawy, czyli udaremniania lub utrudniania inspektorowi wykonania czynności kontrolnej, może być Administrator Bezpieczeństwa Informacji, który nie podporządkował się żądaniu GIODO o przeprowadzenie tzw. sprawdzenia (art. 19b). Sprawdzenie dokonywane przez Administratora Bezpieczeństwa Informacji mogłoby zostać uznane za część inspekcji GIODO. Rozpoczynałoby się ono w momencie zwrócenia się Generalnego Inspektora Ochrony Danych Osobowych do ABI o dokonanie sprawdzenia, a kończyło wraz z przedstawieniem sprawozdania lub protokołu kontroli (gdyby następstwem sprawdzenia ABI była inspekcja GIODO). Wskazywać może na to wykładnia systemowa, gdyż instytucja sprawdzenia jest umieszczona w ustawie w tym samym rozdziale co przepisy o kontroli Generalnego Inspektora. Zgodnie z art. 54a ustawy: Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Przesłanką odpowiedzialności karnej w powyższym przepisie jest udaremnienie lub utrudnienie wykonania czynności kontrolnej. Niewykonanie sprawdzenia nie sprzeciwia się zrealizowaniu kontroli samodzielnie przez Generalnego Inspektora Ochrony Danych Osobowych. Mając to na uwadze, trudno mówić o spełnieniu przesłanki: udaremniania. Znamię utrudniania polega natomiast na stworzeniu lub doprowadzeniu do powstania sytuacji, gdy wykonanie czynności kontrolnej napotyka przeszkody, które w istotny sposób wpływają na przeprowadzaną czynność, ograniczając jej efektywność 1. Do realizacji dochodzi wówczas, gdy sprawca wpłynął swoim zachowaniem na przeprowadzaną kontrolę. Ten wpływ przejawiać się może na przykład w konieczności użycia do jej przeprowadzenia środków nadzwyczajnych lub w istotnym wydłużeniu czasu przeprowadzanej kontroli 2. Przeciwko powyższej interpretacji może świadczyć jednak zamknięty katalog uprawnień inspektora przewidziany w art. 14 ustawy (tzw. czynności kontrolnych). Rzutuje on na wykładnię art. 54a ustawy, gdyż wszelkiego rodzaju zachowania penalizowane jako zakłócenie kontroli godzić muszą w wykonanie wymienionych w art. 14 uprawnień inspektora ochrony danych osobowych 3. 1 A. Barczak-Oplustil [w:] Kodeks karny. Część szczególna. Komentarz. T. II, pod red. A. Zolla, Warszawa 2008, str Takiej wykładni art. 225 KK dokonał A. Zoll [w:] Kodeks karny. Część szczególna. T. 2, pod red. A. Zolla, Kraków 1999, str A. Błachnio-Parzych, op. cit., MoP 2011, Nr 3, str Czy za brak sprawozdania z przestrzegania zasad ochrony danych osobowych na żądanie GIODO grozi odpowiedzialność karna rozstrzygnie to sąd UWAGA Niewykonanie sprawdzenia na żądanie GIODO przez Administratora Bezpieczeństwa Informacji może zostać potraktowane jako przeszkoda, która ogranicza efektywność czynności kontrolnych podejmowanych przez inspektora. Przestępstwo z art. 54a ustawy może być bowiem popełnione także przez zaniechanie, tj. przez bierne zachowanie osoby mającej prawny, szczególny obowiązek określonego zachowania (w tym wypadku Administratora Bezpieczeństwa Informacji). Wśród tych uprawnień trudno szukać żądania inspektora do przeprowadzenia przez ABI sprawdzenia. Taka interpretacja art. 54a ustawy będzie świadczyć o braku odpowiedzialności karnej ABI za zaniechanie dokonania sprawdzenia. Ostateczne zdanie w tej kwestii będzie należało do sądów. Dotychczasowa praktyka Generalnego Inspektora Mając na uwadze zmiany zachodzące w ustawie o ochronie danych osobowych warto pamiętać, że w 2013 roku GIODO zawiadomił organy ścigania o popełnieniu przestępstwa tylko w 16 wypadkach. Niemniej jednak w sprawozdaniach Generalnego Inspektora Ochrony Danych Osobowych trudno szukać przykładów postępowań karnych, które toczyły się przeciwko Administratorowi Bezpieczeństwa Informacji. W większości wypadków na podstawie powyższych przepisów do odpowiedzialności pociągani są administratorzy danych lub inni pracownicy administratora danych 4. ABI w zdecydowanej większości przypadków są dobrze przeszkoleni i nie zaniedbują obowiązków związanych z ochroną danych osobowych. Jednakże zdecydowanie częściej będą oni ponosili odpowiedzialność opisaną w pierwszej części tekstu, tj. w postaci wykreślenia z rejestru. Wydaje się, że duże ryzyko odpowiedzialności za niewykonywanie obowiązków powoduje konieczność sumiennego realizowania ustawowych zadań przez Administratorów Bezpieczeństwa Informacji. 4 Sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych z 2013 roku, str. 67 dostępne pod adresem: Ostatni dostęp:

30 NOWELIZACJA USTAWY Nowe zasady przekazywania danych do państw trzecich Nowelizacja ustawy o ochronie danych osobowych wprowadza wiele zmian. Jedną z nich jest ułatwienie przekazywania danych do państw trzecich. Zgoda GIODO nie będzie już w każdym przypadku potrzebna, ale organ będzie wymagał zatwierdzenia wiążących reguł korporacyjnych, już wcześniej zatwierdzonych w innym państwie. Ułatwienie może być więc tylko pozorne. Ustawą z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (tzw. III pakiet deregulacyjny) dokonano kolejnej nowelizacji rozdziału 7 ustawy o ochronie danych osobowych, regulującego zasady przekazywania danych osobowych do państw trzecich (tzn. poza Europejski Obszar Gospodarczy). Przyjęte zmiany mają na celu dalsze zbliżenie regulacji krajowej do przepisów unijnych, obowiązujących w tym zakresie, w tym przepisów dyrektywy nr 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych 1. Zmiany powinny przyczynić się do usprawnienia ponadgranicznego przekazywania danych osobowych. Jednak w praktyce mogą spowodować też pewne problemy i wątpliwości. Wymóg zgody GIODO Nowe brzmienie nadano przepisowi art. 48 ustawy o ochronie danych osobowych, który po zmianie został wydzielony do odrębnej jednostki redakcyjnej art. 48 ust. 1. Zgodnie z nim: W przypadkach innych niż wymienione w art. 47 ust. 2 i 3 przekazanie danych osobowych do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, może nastąpić po uzyskaniu zgody Generalnego Inspektora, wydanej w drodze decyzji administracyjnej, pod warunkiem że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony 1 Dz.U. UE L nr 281, s. 31 z r., dalej również jako dyrektywa lub dyrektywa 95/46/WE. DAMIAN KARWALA radca prawny, współpracownik Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska prywatności oraz praw i wolności osoby, której dane dotyczą. Tym samym poprawiono dotychczasowe, błędne brzmienie przepisu, który odnosił się do przekazania danych osobowych do państwa trzeciego, które nie daje gwarancji ochrony danych osobowych przynajmniej takich, jakie obowiązują na terytorium Rzeczypospolitej Polskiej. W ten sposób znowelizowany przepis odpowiada pierwowzorowi unijnemu (art. 26 ust. 2 dyrektywy 95/46/WE), gdzie mowa jest o odpowiednim stopniu ochrony danych osobowych w państwie trzecim (a konkretnie o jego braku). Doprecyzowano również, że zgoda Generalnego Inspektora Ochrony Danych Osobowych, wydawana na podstawie art. 48 ust. 1 ustawy o ochronie danych osobowych, ma postać decyzji administracyjnej, co nie budziło wątpliwości. Zgodnie z uzasadnieniem do noweli nowe brzmienie art. 48 ust. 1 ustawy o ochronie danych osobowych pozwoli również na wykorzystanie przez Generalnego Inspektora Ochrony Danych Osobowych kryteriów zamieszczonych w art. 47 ust. 1a ustawy przy wydawaniu decyzji administracyjnej w przedmiocie dopuszczalności przekazania danych do państwa trzeciego (druk sejmowy nr 2606, s. 22). Wśród tych kryteriów ustawa wymienia m.in.: charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia danych. Wymóg zgody - wyjątki Jeśli administrator danych nie spełni jednej z przesłanek dopuszczalności transferu danych 14 29