IDEA URZĘDNIKA OCHRONY DANYCH NA TLE HISTORYCZNYM Andrzej Lewiński Zastępca Generalnego Inspektora Ochrony Danych Osobowych Warszawa, 22 października 2015 r. Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa kancelaria@giodo.gov.pl
Administrator Bezpieczeństwa Informacji (w skrócie zwany ABI) jest instytucją wywodzącą się bezpośrednio z dyrektywy 95/46WE z dnia 24 października 1995 roku w sprawie ochrony danych osobowych i swobodnego przepływu tych danych. -
Czy implementowany przepis z tej dyrektywy stanowiący zapis w art. 36 ust. 3 ustawy (poprzedniej treści) o ochronie danych osobowych stanowi konstrukcję prawną tej instytucji? Odpowiedz jest jednoznaczna nie. Konstrukcja zapisana w dyrektywie wykazuje istotny związek powołania tej instytucji z obowiązkiem rejestracji w organie nadzorczym, zbiorów danych osobowych.
Zapis znajdujący się w motywie 49 preambuły Dyrektywy brzmi następująco: w celu uniknięcia zbędnych formalności Państwa Członkowskie mogą wprowadzić zwolnienia z obowiązku zawiadamiania oraz uproszczenia procedury zawiadamiania w przypadkach gdy mało prawdopodobne jest, aby przetwarzanie danych mogło niekorzystnie wpłynąć na prawa i wolności osób których dane dotyczą, jeżeli jest to zgodne ze środkiem podjętym przez Państwa Członkowskie określającym jego zakres. Państwa Członkowskie mogą również wprowadzić zwolnienia i uproszczenia w przypadku gdy osoba wyznaczona przez administratora zapewni, że przetwarzanie danych nie wpłynie niekorzystnie na prawa i wolności osób których dane dotyczą. Urzędnik odpowiedzialny za ochronę danych będący lub nie będący pracownikiem administratora danych, musi mieć możliwość wykonywania swoich czynności w sposób całkowicie niezależny.
Powyżej przedstawione intencje znajdują swój wyraz w zapisach art. 18 Dyrektywy. Przyjęta w Dyrektywie konstrukcja urzędnika ochrony danych została wprowadzona w większości porządków prawnych Państw Członkowskich UE. Rozwiązaniem modelowym może być przyjęta konstrukcja tego urzędnika w ustawodawstwie w Holandii. Według tego rozwiązania urzędnikiem ochrony danych może być osoba legitymująca się odpowiednią wiedzą i dająca rękojmie należytego wykonania tego zadania. Jednym z podstawowych nakazów wynikającym z tej ustawy jest zapewnienie powołanemu przez ADO urzędnikowi, odpowiedniej niezależnej pozycji.
Ponadto powołany urzędnik do spraw ochrony danych nie może być, przy wykonywaniu swych funkcji, narażony na negatywne konsekwencje swoich działań.
Godnym naśladowania jest niemieckie rozwiązanie pozycji urzędnika do spraw ochrony danych zawarte w ich ustawodawstwie (Bundesdatenschutzgesetz). Przepisami ustawy nałożony został na większość podmiotów obowiązek ustanowienia urzędnika ochrony danych. Obowiązek ten dotyczy podmiotów które zbierają, przetwarzają lub wykorzystują dane osobowe w sposób zautomatyzowany. W przepisach ustawy niemieckiej dokonany został podział na podmioty prywatne i publiczne. Obowiązek ustanowienia urzędnika do spraw ochrony danych istnieje nawet wtedy, gdy podmiot ten przetwarza dane przy użyciu tradycyjnych metod, w przypadku przetwarzania danych z udziałem więcej niż 4 osób.
Pierwszoplanowym zadaniem urzędnika w niemieckim systemie prawnym jest podejmowanie działań zapewniających przestrzeganie przepisów o ochronie danych osobowych w działalności danego podmiotu. Kierując się zapisami Dyrektywy ustanowienie tego urzędnika skutkuje zwolnieniem ADO z obowiązku rejestracji zbiorów danych osobowych zawierających dane zwykłe. Przy przetwarzaniu danych zawierających dane wrażliwe ADO zwolniony został z obowiązku wypełnienia przed zarejestrowaniem zbioru dokonania tzw. uprzedniej kontroli.
W rozwiązaniach niemieckich dopuszczono również niespotykany wśród Państw Członkowskich UE sposób korzystania z zewnętrznych usług urzędnika do spraw ochrony danych osobowych tzw. outsourcing. Podmioty publiczne jeżeli zamierzają korzystać z firm zewnętrznych przy powierzeniu wykonywania funkcji ochrony danych, muszą uzyskać zgodę organu ochrony danych.
W Sprawozdaniu Grupy Roboczej art. 29 dyrektywy 95/46/WE (1227/05/FR) w sprawie obowiązku zgłaszania zbiorów do krajowego organu nadzoru, w sprawie lepszego stosowania zwolnień i uproszczonych procedur oraz w sprawie zadań urzędnika do spraw ochrony danych w Unii Europejskiej przyjętego 18 stycznia 2005 r. wskazano na istotną rolę powołanego urzędnika do spraw ochrony danych w procesie wdrażania dyrektywy. Uznane zostało iż powołani urzędnicy do spraw ochrony danych znacznie przyczynili się do znaczących sukcesów w tych państwach do wzrostu poziomu ochrony danych osobowych.
Zgodnie z ogólną zasadą dyrektywy o ochronie danych osobowych, obowiązek zgłaszania zbiorów do rejestracji przez organ nadzorczy jest obowiązkiem wszystkich administratorów danych. Od tej zasady dyrektywa przewidziała omawiane wyjątki. Dyrektywa, przewiduje jednak znaczne zwolnienia od obowiązku notyfikacji pewnych rodzajów zbiorów wprowadzane indywidualnie w znacznej części państw członkowskich. W przepisach dyrektywy, w punkcie 49 preambuły do dyrektywy, wskazano że państwa członkowskie mają możliwość zwolnienia administratorów danych z obowiązku zgłoszenia do rejestracji w celu uniknięcia nadmiernych formalności administracyjnych, o ile taki zbiór danych nie stanowi zagrożenia dla praw i wolności osób, których dane dotyczą.
Zdecydowana większość Państw Członkowskich wykorzystując odpowiednie przepisy Dyrektywy wprowadziły określone zwolnienia niektórych kategorii danych z obowiązku rejestracji. Przykładowo można wymienić zastosowanie takich rozwiązań jak wprowadzenie krótkich katalogów danych w ustawie implementującej w Austrii czy Polsce (przepisy art. 43 u.o.d.o.) do złożonych systemów odsyłających w Danii czy Finlandii oraz zastosowania długich list, przyjęte w ustawodawstwie uzupełniającym takich jak dekrety, rozporządzenia lub zarządzenia wydawane przez same organy do spraw ochrony danych w Holandii. Szwecji, Belgii czy Francji.
W Szwecji ustawodawstwo ochrony danych wprowadzone zostało już w 1973 r. Opierało się ono na systemie, w którym podmioty, które tworzyły lub używały skomputeryzowanych zbiorów danych osobowych mieli obowiązek zgłosić je do Rady Inspekcji Danych ( szwedzki organ nadzoru) w celu otrzymania licencji. W wielu też przypadkach wymagana była kontrola wstępna i wydawanie zezwoleń od Rady Inspekcji. Po wielu latach obowiązywania tego systemu, władze Szwecji uznały iż ci co podporządkowali się wymogom i dokonują zgłoszeń zbiorów są tymi co i tak wykazują najwyższy poziom ochrony danych. W nowelizacji przepisów przedstawionych przez rząd w 1998 r. ( czyli 25 lat funkcjonowania dotychczasowych przepisów) wprowadzono ogólną zasadę zniesienia rejestracji i licencji.
(SZWECJA C.D.) Rolę organu nadzoru sprowadzono między innymi do udzielania porad, szerokiej edukacji dotyczącej uwrażliwiania na stosowanie zasad ochrony danych. Dotyczyło to jednak tylko tej części zbiorów danych obejmujących tzw. dane zwykłe. Szwecja generalnie zwalnia z obowiązku zgłoszenia operacje przetwarzania danych, które nie stanowią zagrożenia dla osób, których dane dotyczą. Zgodnie z obowiązują w Szwecji ustawą, rząd lub organ przez niego wskazany (Rada Inspekcji Danych) mogą opracować przepis ( regulamin) dotyczący zwolnień od obowiązku zgłaszania operacji przetwarzania danych nie stanowiących zagrożenia dla osób, których dane dotyczą. Rząd upoważnił Radę Inspekcji do wydawania zarządzeń w sprawie zwolnień od obowiązku zgłaszania zbiorów nie stanowiących zagrożenia dla osób, których dane dotyczą. Rada Inspekcji takie przepisy zawarła w odpowiednich artykułach swojego statutu.
W wielu Państwach Członkowskich podjęto inicjatywy aby wyłączyć z obowiązku zgłaszania bieżącą działalność gospodarczą i inne działalności o ile zezwala na to dyrektywa.
(HOLANDIA) Holandia należy do takich państw które wprowadziły bardzo obszerny katalog zwolnień i znaczących uproszczeń procedur. Samo wprowadzanie zwolnień i uproszczenie procedur nie stanowiło jednak skutecznej formy na odformalizowanie i przejrzystość przetwarzania zbiorów danych Holenderskie prawo stanowiło (według stanu na rok 2005), że : administrator danych lub organizacja (sektorowa), do której on należy może wyznaczyć własnego urzędnika do spraw ochrony danych (odpowiedzialnego za ochronę prywatności, według terminologii holenderskiej).
(HOLANDIA C.D.) Według ustawy tego państwa zadania i uprawnienia nadane temu urzędnikowi dają mu pozycję niezależną w danym podmiocie w ramach pełnionej funkcji. Jak wynika to z tych przepisów ustawy nie może on otrzymywać żadnych poleceń od administratora danych, nie może ponosić ujemnych konsekwencji w związku z pełnioną funkcją. Już w pierwszym okresie powołanych zostało 165 urzędników odpowiedzialnych za ochronę prywatności w wielu sektorach w tym: bankach, towarzystwach ubezpieczeniowych, związkach zawodowych, instytucjach finansowych, szkołach, szpitalach, ministerstwach, samorządach, dużych i średnich przedsiębiorstwach.
(HOLANDIA C.D.) Wyznaczenie urzędnika do spraw ochrony danych oznacza, że holenderski organ ochrony danych będzie w ograniczonym stopniu zajmował się podmiotami, w których System ochrony danych osobowych działa prawidłowo. Jednym z ważnych dla systemu obowiązującego w Polsce jest wskazanie iż w przypadkach wyznaczenia urzędnika ochrony danych osobowych, holenderski organ ochrony danych osobowych będzie kierował wszystkie osoby zwracające się ze skargami na naruszenia ochrony danych jak i z interpretacjami prawnymi do wskazanych w tych podmiotach powołanych urzędników.
(FRANCJA) Również we Francji w nowej ustawie uchwalonej po analizie skuteczności dotychczas obowiązujących prawnych rozwiązań, wprowadzono zwolnienie od zgłaszania zbioru danych w tych podmiotach które powołały niezależnego wewnętrznego urzędnika ochrony danych z wyjątkiem przypadków, gdy określane w prawie szczególne dane ( ich przetwarzanie) są objęte kontrola wstępną prowadzoną przez organ nadzory który we Francji nosi nazwę, Krajowa Komisja Informatyki i Wolności ( CNIL).
(FRANCJA C.D.) Według przepisów ustawy francuskiej zakres uprawnień, zadania, niezależność i odpowiedzialność powołanego urzędnika muszą zapewniać taki poziom gwarancji aby mógł on zastępować poprzednie zgłoszenie określonych zbiorów danych do organu nadzorczego. Podstawowym celem tego przepisu ( nowego) jest stworzenie : sieci łączników z CNIL-em uzupełniających działanie organu powołanego do ochrony danych i zbudowania współpracy między CNIL a podmiotami, które powołały takich urzędników. W szczególności uznano iż powoływanie tych szczególnych urzędników stanowi znaczące wsparcie dla władz samorządowych.
Wiele niejasności wywoływać może sytuacja gdy DPO czyli dzisiejszy ABI będzie miał inne stanowisko niż ADO. W praktyce Państw Unijnych powszechnie się uważa iż fakt taki powinien być zgłaszany do organu nadzorczego. W Szwecji urzędnik ochrony danych czuwa w pełnej niezależności nad zagwarantowaniem, aby administrator przetwarzał dane osobowe w sposób legalny i prawidłowy, zgodnie z zasadami praktyk oraz sygnalizował ( wskazywał ) ADO wszystkie nieprawidłowości.
Grupa art. 29 w przedstawionym z 2005 r. Sprawozdaniu wspiera zajęte przez Komisję Europejską stanowisko wyrażone w sprawie wdrożenia dyrektywy o ochronie danych stanowiące: Komisja zaleca szersze stosowanie zwolnień, a w szczególności wykorzystania możliwości zawartych w art. 18 ust. 2 dyrektywy, czyli powoływania urzędnika ochrony danych osobowych. Odnosząc się to tego stanowiska Komisji, Grupa art. 29 : wzywa Państwa Członkowskie do wykorzystania stosowania zwolnień i uproszczeń przewidzianych w dyrektywie oraz, jeżeli jeszcze nie ma to miejsca, zaleca wyposażenie organów ochrony danych w uprawnienia konieczne do stosowania tych zwolnień.
Cytowany Raport Grupy art. 29 został opracowany na wniosek komisji Europejskiej zawarty w jej raporcie dotyczący wdrażania dyrektywy 95/46/WE z 2003 roku. Celem raportu jest działanie na rzecz lepszego zrozumienia roli i obowiązku zgłaszania zbiorów oraz roli urzędników ochrony danych w systemie ochrony danych istniejącym w Unii Europejskiej. Wytyczne Grupy art. 29 jak i stanowisko Komisji Europejskiej nie zostały one wdrożone przez polski organ nadzoru. Grupa Robocza art. 29 kierując się wytycznymi z Dokumentu Grupy Roboczej nr WP 106 opracowała i opublikowała w dokumencie nazwanym Vademecum Obowiązków w zakresie zgłaszania w wersji z dnia 3 lipca 2006 roku, podstawowe właściwości systemu zgłaszania w poszczególnych państwach w celu ułatwiania administratorom danych dostosowanie się do obowiązujących wymogów.
W polskiej ustawie ochrony danych (przed jej nowelizacją z 2014 r.) stanowiącej implementację dyrektywy 95/46/WE umożliwiono powołanie funkcji administratora bezpieczeństwa informacji. We wręcz lakonicznych zapisach art. 36 ust. 3 zapisano : Administrator danych wyznacza administratora bezpieczeństwa informacji nadzorującego przestrzeganie zasad ochrony, o którym mowa w art.1, chyba że sam wykonuje te czynności. Ten zapis odnosi się do zapisu ust.1 tegoż artykułu w którym wymienione są obowiązki administratora danych osobowych w zakresie zapewnienia bezpieczeństwa ochrony przetwarzanym danym osobowym. Zamieszczenie regulacji w zakresie powołania przedmiotowego stanowiska w Rozdziale 5 Ustawy, dotyczącym zabezpieczenia danych osobowych, daje podstawę sądzić iż nie jest to konstrukcja tożsama z jej wzorem z dyrektywy 95/46WE.
W Rozporządzeniu ( poprzednio obowiązującym) Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 roku w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny opowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych w 3 uprawniono administratora danych do wyznaczenia osoby, zwaną administratorem bezpieczeństwa informacji, która jest odpowiedzialna za bezpieczeństwo danych osobowych w systemie informatycznym. W szczególności osoba ta jest odpowiedzialna za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń.
Zapisy te w wyraźny sposób ustalają że administratorem bezpieczeństwa informacji może być osoba fizyczna wyznaczona przez administratora danych. Jej zakres uprawnień też jest wskazany precyzyjnie, a odnosi się tylko do zapewnienia bezpieczeństwa przetwarzanych danych w systemie informatycznym. Zapisy tych uprawnień nie są tożsame w żaden sposób z zapisami uprawnień urzędnika do spraw ochrony danych zawarte w art. 18 Dyrektywy 95/46WE. W art. 14 tegoż Rozporządzenia wskazano również iż ABI jest odpowiedzialny za właściwy nadzór nad systemem informatycznym przetwarzającym dane osobowe.
W doktrynie pojawiły się uwagi krytyczne do utworzenia takiej funkcji w przepisach rozporządzenia a nie aktu ustawowego. Między innymi z takiego powodu w nowelizacji ustawy o ochronie danych osobowych dokonanej w 2004 roku wprowadzono w art. 36 w ustępie 3 możliwość wyznaczenia administratora bezpieczeństwa informacji, który będzie w jego imieniu wykonywał obowiązki zawarte w art. 36 ust. 1 tego przepisu. Dosyć nieczytelnym był zapis w przedmiotowym przepisie który mówił, iż ADO wyznacza administratora bezpieczeństwa informacji, chyba że sam wykonuje te czynności. Wydaje się być trafna teza podejmowana w doktrynie (w tym czasie), iż jeżeli nie nastąpiło przez ADO wyznaczenie ABI-ego i jeżeli nie ma oświadczenia ADO o jego wypełnianiu przepisami ustawy wyznaczonych obowiązków, to w tej sytuacji powinno nastąpić zakazanie przetwarzania danych osobowych. W praktyce przypadek taki nie miał jednak miejsca (zakazanie przetwarzania danych).
Kształtowanie pozycji i statusu urzędnika ochrony danych w jakimś sensie wiąże się też z pozycją i statusem organu ochrony danych. W UE ukształtowanie tych organów jest zróżnicowane. W krajach europejskich wyróżniamy organy kolegialne i jednoosobowe. Znajdujemy organy mające status rzecznika czy organu administracji publicznej. W niektórych krajach łączy się zakres ochrony danych osobowych z prawem do wolności czy szeroko pojętym prawem do prywatności. Francja : Krajowa Komisja Informatyki i Wolności, Węgry: Komisarz ds. ochrony danych łączy ochronę danych osobowych i sferę udostępniania informacji interesu publicznego, Słowenia w 2006 r. funkcję organu pełnił Zastępca Rzecznika praw Człowieka, Wielka Brytania: Urząd Rzecznika ds. Informacji.
Dziękuję za uwagę!