Administrator Bezpieczeństwa Informacji ( aktualny stan prawny oraz propozycje przyszłych rozwiązań ) Administrator bezpieczeństwa informacji ( w skrócie zwany ABI ) jest instytucją wywodzącą się bezpośrednio z Dyrektywy 95/46WE z dnia 24 października 1995 roku w sprawie ochrony danych osobowych i swobodnego przepływu tych danych. Czy implementowany przepis z Dyrektywy stanowiący zapis w art. 36 ust. 3 ustawy o ochronie danych osobowych stanowi konstrukcję tej instytucji? Odpowiedz jest jednoznaczna nie. Konstrukcja zapisana w Dyrektywie wykazuje istotny związek powołania tej instytucji z obowiązkiem rejestracji zbiorów danych osobowych w organie nadzorczym. Państwa członkowskie UE mogą wprowadzić uproszczony sposób rejestracji zbiorów danych osobowych lub ustanowić zwolnienie z obowiązku zgłoszenia zbioru danych do rejestracji, jeżeli administrator danych powoła urzędnika do spraw ochrony danych osobowych, odpowiedzialnego między innymi za zapewnienie w niezależny sposób stosowania w podmiocie danego administratora przepisów ochrony danych osobowych. Urzędnik ten jest również odpowiedzialny za prowadzenie rejestru operacji przetwarzania danych. Zapis znajdujący się w motywie 49 preambuły Dyrektywy 95/46/WE brzmi następującą : w celu uniknięcia zbędnych formalności Państwa Członkowskie mogą wprowadzić zwolnienia z obowiązku zawiadamiania oraz uproszczenia procedury w przypadkach gdy mało prawdopodobne jest, aby przetwarzanie danych mogło niekorzystnie wpłynąć na prawa i wolności osób których dane dotyczą, jeżeli jest to zgodne ze środkiem podjętym przez Państwa Członkowskie określającym jego zakres. Państwa Członkowskie mogą również wprowadzić zwolnienia i uproszczenia w przypadku gdy osoba wyznaczona przez administratora zapewni, że przetwarzanie danych nie wpłynie niekorzystnie na prawa i wolności osób których dane dotyczą. Urzędnik odpowiedzialny za ochronę danych będący lub nie będący pracownikiem administratora danych, musi mieć możliwość wykonywania swoich czynności w sposób całkowicie niezależny. Powyżej przedstawione intencje znajdują swój wyraz w zapisach art. 18 Dyrektywy. Przyjęta w Dyrektywie konstrukcja urzędnika ochrony danych została wprowadzona w większości porządków prawnych Państw 1
Członkowskich UE. Rozwiązaniem modelowym może być przyjęta konstrukcja tego urzędnika w ustawodawstwie w Holandii. Według tego rozwiązania urzędnikiem ochrony danych może być osoba legitymująca się odpowiednią wiedzą i dająca rękojmie należytego wykonania tego zadania. Jednym z podstawowych nakazów wynikającym z tej ustawy jest zapewnienie powołanemu przez Administratora Danych Osobowych ( ADO ) urzędnikowi, odpowiedniej niezależnej pozycji. Ponadto powołany urzędnik do spraw ochrony danych nie może być, przy wykonywaniu swych funkcji, narażony na negatywne konsekwencje swoich działań. Godnym naśladowania jest niemieckie rozwiązanie pozycji urzędnika do spraw ochrony danych zawarte w ich ustawodawstwie ( Bundesdatenschutzgesetz ). Przepisami ustawy nałożony został na niektóre podmioty obowiązek ustanowienia urzędnika ochrony danych. Obowiązek ten dotyczy podmiotów które zbierają, przetwarzają lub wykorzystują dane osobowe w sposób zautomatyzowany. W przepisach ustawy niemieckiej dokonany został podział na podmioty prywatne i publiczne. Obowiązek ustanowienia urzędnika do spraw ochrony danych istnieje nawet wtedy, gdy podmiot ten przetwarza dane przy użyciu tradycyjnych metod w przypadku przetwarzania danych z udziałem więcej niż 20 osób. Pierwszoplanowym zadaniem urzędnika w niemieckim systemie prawnym jest podejmowanie działań zapewniających przestrzeganie przepisów o ochronie danych osobowych w działalności danego podmiotu. Kierując się zapisami Dyrektywy ustanowienie tego urzędnika skutkuje zwolnieniem ADO z obowiązku rejestracji zbiorów danych osobowych zawierających dane zwykłe. Przy przetwarzaniu danych zawierających dane wrażliwe ADO zwolniony został z obowiązku wypełnienia przed zarejestrowaniem zbioru dokonania tzw. uprzedniej kontroli. W rozwiązaniach niemieckich dopuszczono również niespotykany wśród Państw UE sposób korzystania z zewnętrznych usług urzędnika do spraw ochrony danych osobowych tzw. outsourcing. Podmioty publiczne jeżeli zamierzają korzystać z firm zewnętrznych przy powierzeniu wykonywania funkcji ochrony danych, muszą uzyskać zgodę organu ochrony danych. W polskiej ustawie ochrony danych stanowiącej implementację Dyrektywy umożliwiono powołanie funkcji administratora Bezpieczeństwa Informacji. We wręcz lakonicznych zapisach art. 36 2
ust. 3 zapisano : Administrator danych wyznacza administratora bezpieczeństwa informacji nadzorującego przestrzeganie zasad ochrony, o którym mowa w art.1, chyba że sam wykonuje te czynności. Ten zapis odnosi się do zapisu ust.1 tegoż artykułu w którym wymienione są obowiązki administratora danych osobowych w zakresie zapewnienia bezpieczeństwa ochrony przetwarzanym danym osobowym. Zamieszczenie regulacji w zakresie powołania przedmiotowego urzędnika w Rozdziale 5 Ustawy, dotyczącym zabezpieczenia danych osobowych, daję podstawę sądzić iż nie jest to konstrukcja tożsama z jej wzorem z Dyrektywy 95/46WE. W Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca1998 roku w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny opowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych w 3 uprawniono administratora danych do wyznaczenia osoby, zwaną administratorem bezpieczeństwa informacji która jest odpowiedzialna za bezpieczeństwo danych osobowych w systemie informatycznym. W szczególności osoba ta jest odpowiedzialna za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń. Zapisy te w wyraźny sposób ustalają że administratorem bezpieczeństwa informacji może być osoba fizyczna wyznaczona przez administratora danych. Jej zakres uprawnień też jest wskazany precyzyjnie a odnosi się tylko do zapewnienia bezpieczeństwa przetwarzanych danych w systemie informatycznym. Zapisy tych uprawnień nie są tożsame w żaden sposób z zapisami uprawnień urzędnika do spraw ochrony danych zawarte w art. 18 Dyrektywy 95/46WE. Według Dyrektywy podstawowym obowiązkiem tego urzędnika jest zapewnienie w niezależny sposób wewnętrznego stosowania przepisów prawa krajowego przyjętych na podstawie implementacji niniejszej Dyrektywy. W art. 14 tegoż Rozporządzenia wskazano również iż ABI jest odpowiedzialny za właściwy nadzór nad systemem informatycznym przetwarzającym dane osobowe. W doktrynie pojawiły się uwagi krytyczne do utworzenia takiej funkcji w przepisach rozporządzenia a nie aktu ustawowego. Między innymi z takiego powodu w nowelizacji ustawy o ochronie danych osobowych 3
dokonanej w 2004 roku wprowadzono w art. 36 w ustępie 3, dający możliwość wyznaczenia administratora bezpieczeństwa informacji, który będzie w jego imieniu wykonywał obowiązki zawarte w art. 36 ust. 1 tego przepisu. Dosyć nieczytelnym jest zapis w przedmiotowym przepisie który mówi iż ADO wyznacza administratora bezpieczeństwa informacji, chyba że sam wykonuje te czynności. Wydaje się być trafna teza podejmowana w doktrynie iż jeżeli nie nastąpiło przez ADO wyznaczenie ABI-ego i jeżeli nie ma oświadczenia ADO o jego wypełnianiu przepisami ustawy wyznaczonych obowiązków, to w tej sytuacji powinno nastąpić zakazanie przetwarzania danych osobowych. W orzecznictwie przypadek taki nie miał jeszcze zdarzenia ( zakazanie przetwarzania danych ). W stosowanej praktyce wyznaczania administratora bezpieczeństwa informacji nasuwa się wiele pytań i wątpliwości. Samo określenie wyznacza może budzić szereg niejasności. Interpretacja tej czynności w świetle jej roli jaką ma pełnić w podmiocie przetwarzającym dane sugeruje iż powinien to być ktoś z podległych ADO pracowników zatrudnionych na podstawie umowy o pracę czy na podstawie innego stosunku cywilno prawnego np. umowy zlecenia czy umowy o dzieło.w każdym przypadku winna to być osoba fizyczna. Nasuwa się, z tak pojętego interpretowania tego określenia wyznaczanie, wątpliwość, czy dosyć często w praktyce stosowany tzw. outsourcing jest w świetle prawa zasadny. Według autorów Komentarza P. Barta i P. Litwińskiego ( a także oficjalnej interpretacji GIODO ) nie ma przeszkód aby w praktyce stosować w tej formie wyznaczanie osoby sprawującej funkcje ABI ego. W praktyce dotyczy to osób prowadzących jednoosobową działalność gospodarczą. Według autorów wspomnianego Komentarza umowa wyznaczająca ABI-ego winna wskazywać imię i nazwisko osoby, która będzie wykonywała obowiązki administratora bezpieczeństwa informacji.jednak samo wyznaczenie nie stanowi podstawy prawnej nawiązania stosunku z danym podmiotem gospodarczym. Czyli winna być uprzednio zawarta umowa cywilno - prawna pomiędzy takimi stronami. Konstrukcja ta budzi szereg uzasadnionych wątpliwości. Wątpliwości te pogłębia jeszcze fakt gdyż przepisy ustawy tej sprawy nie regulują. Innym trudnym do wyjaśnienia problemem jest sytuacja gdy wielodziałowy światowy koncern nie 4
powołał administratora bezpieczeństwa informacji w swoim oddziale w Polsce. Spór ten pomiędzy GIODO a podmiotem prowadzącym swoją działalność w Polsce zawisł w sądzie administracyjnym. Świadczy to o niewątpliwie nieprecyzyjnym zapisie w przepisach art. 36 ust. 3 ustawy o ochronie danych osobowych dotyczącym wyznaczenia praz ADO, administratora bezpieczeństwa informacji. Należy również zwrócić uwagę iż w ustawie o działalności Centralnego Biura Antykorupcyjnego powołano urzędnika do spraw ochrony danych osobowych. Został nim pracownik Biura którego można odwołać tylko za zgodą Premiera. Szef CBA składa raz w roku sprawozdanie ze stanu ochrony danych osobowych dla Premiera RP, Generalnego Inspektora Ochrony Danych i Komisji Sejmowej. W ramach inicjatywy deregulacyjnej Minister Gospodarki z inicjatywy środowisk zrzeszających administratorów bezpieczeństwa informacji oraz w konsultacji z GIODO, podjął działania na rzecz nowelizacji ustawy o ochronie danych osobowych. Nowe propozycje zmierzają do takiej konstrukcji administratora bezpieczeństwa informacji aby wypełniała ona zapisy Dyrektywy 95/46WE. W proponowanych zapisach nowelizacji proponuje się możliwość powołania przez administratora danych osobowych administratora bezpieczeństwa informacji. Do nowych zadań administratora bezpieczeństwa informacji należy zapewnienie przestrzegania przepisów o ochronie danych osobowych oraz prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez danego administratora. Administrator bezpieczeństwa informacji musi między innymi posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych. Podlega on bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych osobowych. ADO jest zwolniony z rejestracji danych zwykłych w przypadku powołania ABI. Przepisy te stanowią prawidłową implementacje przepisów Dyrektywy 46/95 w ustawie ochrony danych osobowych. Prace legislacyjne przy tej nowelizacji mogą zakończyć się w niedługim okresie przed uchwaleniem przez Parlament Europejski i Radę Rozporządzenia regulującego ochronę danych osobowych jednolicie w całej Unii Europejskiej. 5
Jesteśmy w trakcie konsultacji projektu Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Nowe europejskie przepisy wprowadzają jednolite prawo w tym przedmiocie we wszystkich Państwach Członkowskich UE. Już w Preambule Rozporządzenia, w motywie 75 jest zawarta główna myśl i zasady powołania przez administratora danych, urzędnika do spraw ochrony danych osobowych. Zapis ten brzmi : Jeśli przetwarzanie odbywa się w sektorze publicznym lub jeśli przetwarzanie w sektorze gospodarczym prowadzi duże przedsiębiorstwo, lub jeśli główna działalność przedsiębiorstwa, niezależnie od jego wielkości, obejmuje operacje przetwarzania, które wymagają regularnego i systematycznego monitorowania, osoba trzecia powinna wspomagać administratora lub podmiot przetwarzający w monitorowaniu zgodności na poziomie wewnętrznym z niniejszym rozporządzeniem. Taki inspektor ochrony danych, który może być pracownikiem administratora danych, powinien być stanie niezależnie wykonywać swoje obowiązki i zadania. W przepisach rozporządzenia sekcja 4 jest poświęcona inspektorowi ochrony danych. W art. 35 nakreślono zasady wyznaczania urzędnika ochrony danych. Wyznaczony urzędnik ( inspektor) ochrony danych musi posiadać odpowiednie kwalifikacje zawodowe oraz wiedzę specjalistyczną z zakresu ochrony danych, praktykę i zdolności do wykonywania prawem mu przepisanych zadań. Inspektor musi mieć gwarancję, by inne jego obowiązki zawodowe były zgodne z zadaniami i obowiązkami wykonywania przez niego funkcji ochrony danych osobowych, a w szczególności by nie skutkowały one konfliktem interesów. W przepisach określono iż inspektor ochrony danych powinien być wyznaczany na co najmniej 2 lata z możliwością wyznaczenia go na kolejne kadencje. Zawarte są w tym przepisie ograniczenia w jego odwołaniu. Inspektora można odwołać w czasie trwania kadencji jedynie wtedy, gdy przestał spełniać warunki niezbędne do pełnienia przez niego obowiązków. Przepis również stwierdza iż inspektor ochrony danych może być zatrudniony przez administratora danych lub podmiot przetwarzający lub wykonywać swoje zadania na podstawie umowy o świadczenie usług. Nasuwa się, podobnie do sytuacji w aktualnym stanie prawa, pytanie czy musi to być osoba fizyczna. W sytuacji osoby 6
zatrudnionej u ADO to nie ma wątpliwości, a jeżeli to podmiot gospodarczy wykonujący tę usługę na podstawie umowy cywilnoprawnej? Czy zawsze będzie w Polsce obowiązywało rozwiązanie polegające na prowadzeniu działalności gospodarczej przez osobę fizyczną? Przymus że musi to być osoba fizyczna uzasadnia ponoszenie odpowiedzialności karnej za naruszenie przepisów ustawowych. A jeżeli odpowiedzialność karna będzie zastąpiona przez sankcje administracyjne to wymóg wyznaczenia do wypełniania tej funkcji tylko i wyłącznie przez osobę fizyczną nie wydaje się konieczny. Przepis ustępu 2 art.35 rozporządzenia w sposób jednoznaczny rozstrzyga ten spór gdyż narzuca obowiązek aby administrator lub podmiot przetwarzający informują organ nadzorczy oraz opinie publiczną o imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych. Można domniemywać iż w projekcie Rozporządzenia przewiduje się iż funkcje inspektora ochrony danych winna spełniać osoba fizyczna związana z administratorem danych umową cywilno - prawną. Dalsze przepisy nakładają na administratora danych obowiązek dopilnowania aby inspektor ochrony danych wykonywał swoje obowiązki i zadania niezależnie i nie otrzymywał żadnych poleceń dotyczących pełnienia swoich funkcji oraz aby podlegał bezpośrednio kierownictwu administratora lub podmiotu przetwarzającego. Podstawowe zadania inspektora ochrony danych przepisy rozporządzenia określają w sposób następujący : - informowanie administratora o jego obowiązkach wynikających z niniejszego rozporządzenia oraz dokumentowanie tej działalności i uzyskiwanych odpowiedzi ; - monitorowanie wykonania i stosowania polityk administratora w zakresie ochrony danych osobowych, w tym przydział obowiązków, szkolenie personelu zaangażowanego w operacje przetwarzania oraz powiązane kontrole ; - monitorowanie wykonania i stosowania przepisów rozporządzenia, w szczególności jeśli chodzi o wymogi uwzględnienia ochrony danych już w fazie projektowania, ochrony danych jako opcji domyślnej i bezpieczeństwa danych oraz informowania podmiotów danych, a także wniosków w ramach wykonywania praw przysługujących im na mocy rozporządzenia ; 7
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem oraz zasięganie opinii organu nadzorczego, z inicjatywy inspektora ochrony danych. Określone rozporządzeniem zadania inspektora ochrony dany w sposób jednoznaczny określają kierunkowo jego wykształcenie jako prawnicze oraz stawiają na wysokim poziomie jego wiedzę dotyczącą ochrony i przetwarzania danych osobowych. Przepisy rozporządzenia przewidują, iż w przypadku złamania przepisów dotyczących nie wskazania Urzędnika do spraw ochrony danych, nie zapewnienia mu warunków umożliwiających wykonywanie jego zadań ( art. 35, 36 i 37 Rozporządzenia ), instytucja nadzorująca może nałożyć karę w wysokości do 1000000EUR lub do 2% rocznego obrotu danego podmiotu. Konsultacje wśród Państw Członkowskich UE przebiegają z dużą aktywnością szczególnie w różnych środowiskach oddziaływania. Najwięcej wątpliwości i uwag odnosi się między innymi do obowiązku powoływania urzędnika do spraw ochrona danych. Wśród Państw Członkowskich pojawiają się stanowiska aby wyznaczanie inspektora ochrony danych było fakultatywne. Część podmiotów konsultujących uważa aby obowiązek wyznaczenia inspektora ochrony danych dotyczył tylko podmiotów publicznych. Według mojej opinii najwłaściwszym byłoby przyjęcie rozwiązania jakie jest stosowane w Niemczech. Według niemieckiego prawa o ochronie danych osobowych ( federalna ustawa z 27.1.1977) zasadą jest obowiązek wyznaczenia urzędnika ochrony danych przez podmioty, które przetwarzają dane osobowe w sposób zautomatyzowany. Podmioty publiczne mają obowiązek wyznaczenia tego urzędnika a podmioty prywatne także wtedy gdy przetwarzanie danych odbywa się przy wykorzystaniu środków tradycyjnych przetwarzania z udziałem więcej niż 20 pracowników ( P. Barta, P. Litwiński Komentarz Ustawa O ochronie danych osobowych ). Andrzej Lewiński prawnik radca prawny Zastępca GIODO 8