Publikacja przygotowana przez Nowoczesną Firmę SA

OCHRONA DANYCH OSOBOWYCH 2015 przeszkoda czy ułatwienie

dla firm?

2

Od początku roku obowiązują nowe przepisy o ochronie danych osobowych. Zmiany dotyczą przede wszystkim funkcji Administratora Bezpieczeństwa Informacji. Czy ułatwią one życie przedsiębiorców czy przysporzą im tylko niepotrzebnych kosztów?

Nowelizacja ustawy o ochronie danych

osobowych w dużej mierze ma na celu osiągnięcie

wyższego poziomu egzekwowania obowiązków

przetwarzania danych przez firmy, przez co

nieco przewrotnie stanowi część nowelizacji

ustawy o ułatwieniu wykonywania działalności

gospodarczej z 7 listopada 2014 r.

Przedsiębiorcy, będący administratorami danych,

mają mało czasu na podjęcie decyzji odnośnie

sposobu spełnienia nowych obowiązków

wynikających z nowelizacji i na przygotowanie

się do zmian, tak aby nie przysporzyły im

niepotrzebnych kosztów.

3

ABI PRZEJMUJE FUNKCJĘ GIODO

Nowe przepisy dotyczą przede wszystkim funkcji

Administratora Bezpieczeństwa Informacji.

– W zbliżonym do zaproponowanego w projekcie

kształcie ABI funkcjonuje już u wielu dużych

przedsiębiorców, u mniejszych raczej jest to

rzadkość – wskazuje dr Bogdan Fischer, radca

prawny i partner Kancelarii Prawnej Chałas

i Wspólnicy, który brał udział w pracach

legislacyjnych przy nowelizacji ustawy o ochronie

danych osobowych.

Po zmianach przedsiębiorca będzie miał do

wyboru jedną z dwóch możliwości:

– Nowe przepisy zobowiążą administratora danych

do wdrożenia i samodzielnego nadzoru nad

ochroną danych lub wyznaczenia ABI i zgłoszenia

go do rejestru ABI prowadzonego przez GIODO.

Wówczas ABI będzie odpowiedzialny za wdrożenie

dokumentacji i składanie corocznych sprawozdań

do GIODO – tłumaczy dr Bogdan Fischer.

4

TEORETYCZNIE UŁATWIENIE, PRAKTYCZNIE PRESJA

Wyznaczenie i zarejestrowanie ABI, zwalnia

przedsiębiorcę z dotychczasowej konieczności

zgłaszania baz danych do GIODO, pod warunkiem,

że zbiór nie zawiera danych wrażliwych, co w teorii

ma ułatwić życie przedsiębiorcom. W praktyce

jednak jeśli ABI nie zostanie wyznaczony to na

mocy nowego przepisu ustawy – art. 36b, jego

obowiązki przejdą na administratora danych

osobowych, więc na reprezentację spółki bądź

podmiotu administracji publicznej.

– Taka konstrukcja przepisu zapewne nie jest

przypadkowa i ma stwarzać presję na prezesów

i dyrektorów, aby ABI był wyznaczany. To

jasny komunikat dla zarządów i dyrektorów:

„w porządku, wyznaczać ABI już nie musicie,

ale jeśli tego nie zrobicie, to sami za wszystko

odpowiadacie. Wybór należy do was”. A wybór dla

większości prezesów, zajętych innymi sprawami,

będzie dość prosty – mówi Przemysław Zegarek,

partner zarządzający Lex Artist.

5

PRZEDE WSZYSTKIM KONTROLA

Nowym obowiązkiem ABI wynikającym

z nowelizacji ustawy jest przede wszystkim,

wspomniane już wcześniej, sprawdzenie

zgodności przetwarzania danych osobowych

z przepisami o ochronie danych osobowych.

Częstotliwość oraz formę kontroli określało będzie

rozporządzenie wykonawcze, które jest aktualnie

w fazie projektowej.

– Tutaj jest najwięcej niewiadomych. Wciąż brak

jeszcze finalnej wersji rozporządzenia, które

określi, jak takie audyty będą miały wyglądać oraz

jak często będą realizowane. Nie do końca jest

także jasne czy sprawozdania z takich audytów

będą miały każdorazowo trafiać do GIODO, czy

też będą inspektorom udostępniane jedynie na

żądanie – tłumaczy Przemysław Zegarek.

Jak wynika z art. 19b ust. 1 GIODO może zwrócić

się z poleceniem wykonania kontroli przez ABI,

wskazując jego zakres i termin.

6

REJESTR ZBIORÓW DANYCH SPADA NA ABI

Kolejnym obowiązkiem ABI od nowego roku

jest także prowadzenie zbiorów danych

przetwarzanych przez administratora. Wyjątkiem

są bazy podlegające ustawowemu zwolnieniu

z rejestracji. Rejestr prowadzony przez ABI jest

jawy, w związku z czym każdy ma prawo do jego

przeglądania.

– W wewnętrznym rejestrze zbiorów danych

osobowych mają być uwzględnione wszystkie

zbiory z wyłączeniem zbiorów zwolnionych

z obowiązku rejestracji na podstawie art. 43 ust.

1 ustawy. Oznacza to, iż w rejestrze nie powinny

być ujawnione m.in. zbiory danych osobowych

przetwarzane w związku z zatrudnieniem, zbiory

danych osobowych przetwarzanych wyłącznie

w celu wystawienia faktury, rachunku, bądź w celu

prowadzenia sprawozdawczości finansowej –

wymienia Małgorzata Głuszek-Stopczyk, wspólnik

kancelarii Stopczyk & Mikulski Kancelaria Radców

Prawnych.

Jak dodaje ekspertka, szczegółowy tryb związany

z prowadzeniem zbioru danych zostanie

określony w Rozporządzeniu Ministra Cyfryzacji

i Informatyzacji w sprawie sposobu prowadzenia

przez administratora bezpieczeństwa informacji

rejestru zbiorów danych osobowych.

7

OCHRONA DANYCH W KRAJU IMPORTERA

Druga ważna zmiana wprowadzona przez

nowelizację ma na celu usprawnienie

przekazywania danych osobowych do krajów

spoza Europejskiego Obszaru Gospodarczego.

– Przed nowelizacją nie spełnienie określonych

przesłanek wskazanych w ustawie powodowało

konieczność wystąpienia do GIODO o odpowiednią

zgodę. W nowelizacji potwierdzono, że

odpowiednią ochronę u przedsiębiorców

w kraju trzecim (importera) zapewnia wprost

stosowanie standardowych klauzul umownych

zatwierdzonych przez Komisję Europejską

lub Wiążących reguł korporacyjnych (BCR) –

komentuje dr Bogdan Fischer.

Dodaje także, że w przypadku zastosowania

ogólnych zasad przetwarzania danych osobowych

obowiązujących w korporacji (wiążących reguł)

konieczne jest dodatkowo uzyskanie akceptacji

organu w jednym kraju EOG (GIODO). Przewidziana

jest możliwość przeprowadzenia konsultacji

z organami ochrony danych państw członkowskich

Europejskiego Obszaru Gospodarczego.

8

KTO MOŻE PEŁNIĆ FUNKCJĘ ABI?

Przed wprowadzeniem w życie nowelizacji ustawy

o ochronie danych osobowych nie było wskazań

odnośnie osób, które mogą zajmować stanowisko

ABI u administratora. Nowe przepisy wprowadzają

pierwsze wytyczne w tej kwestii.

Zgodnie z art. 36a ust. 5 ustawy, Administratorem

Bezpieczeństwa Informacji może być osoba,

która: ma pełną zdolność do czynności prawnych

oraz korzysta w pełni z praw publicznych,

posiada odpowiednią wiedzę w zakresie ochrony

danych osobowych i nie była karana za umyślne

przestępstwo.

Prawnicy zgodnie oceniają, że ustawodawca

pozostaje w tej kwestii mocno lakoniczny.

– Co oznacza „odpowiednia wiedza

w zakresie ochrony danych osobowych” –

trudno jednoznacznie stwierdzić. Przepis odsyła

do racjonalnej, zdroworozsądkowej oceny. Na

korzyść tak elastycznych przepisów przemawia

to, że nie ma konieczności zdawania specjalnych

testów czy egzaminów, co z pewnością przekładać

się będzie na finalny koszt pełnienia funkcji ABI –

podkreśla Przemysław Zegarek.

Dr Bogdan Fischer uważa natomiast, że wytyczne

są na tyle ogólne, że wątpliwości co do kompetencji

osób zajmujących to stanowisko będą ewentualnie

wyjaśniane w trakcie spraw przed GIODO lub

sądem. Jednocześnie trzeba podkreślić, że jak

dotąd nie stwarzało to jakichkolwiek problemów,

więc i po nowelizacji nie powinno.

9

OUTSOURCING – MOŻLIWY CZY NIE?

Przed nowelizacją outsourcing funkcji ABI był

akceptowany przez GIODO. Obecnie kwestię tę

reguluje art. 36a ust. 7 ustawy, który zakłada,

że administrator bezpieczeństwa danych

podlega bezpośrednio kierownikowi jednostki

organizacyjnej lub osobie fizycznej będącej

administratorem danych.

Przepisz ten jest w różny sposób interpretowany

przez ekspertów prawa ds. ochrony danych

osobowych.

Dr Bogdan Fischer jest zdania, że outsourcing ABI

jest nadal możliwy.

– Wciąż istnieją dwie możliwości tj. ABI, który jest

zatrudnionym pracownikiem administratora oraz

outsourcing. Jak wskazuje GIODO zewnętrzny ABI

może spełniać lepiej swoje funkcje ze względu na

większa niezależność i obiektywizm – mówi radca

prawny.

Taką samą opinię wyraził także Przemysław

Zegarek. Jak dodaje:

– Do tej pory GIODO wielokrotnie wypowiadał się

pozytywnie o outsourcingu funkcji ABI. Co więcej,

w niektórych krajach UE, zakazane jest pełnienie

funkcji ABI przez pracownika administratora

danych.

Inaczej uważa Małgorzata Głuszek-Stopczyk. Jej

zdaniem wykładnia literalna art. 36a ust. 7 ustawy

w praktyce wyłącza możliwość outsourcingu

funkcji ABI.

10

CZY NOWELIZACJA UŁATWI ŻYCIE PRZEDSIĘBIORCOM?

Ocena nowelizacji jest aktualnie trudna, ponieważ

wciąż nie ma wszystkich rozporządzeń, które mają

zdefiniować nową rolę ABI w organizacji.

– Z jednej strony zmiany dodadzą nowe

obowiązki: audyty kontrolne i prowadzenie

jawnych rejestrów zbiorów. Z drugiej strony każdy

ABI, który solidnie podchodzi do wykonywanych

przez siebie obowiązków i tak takie audyty

prowadzi. Prowadzi również rejestry zbiorów

danych osobowych. Tyle, że teraz te rejestry staną

się jawne – ocenia Przemysław Zegarek.

Dodaje również, że dzięki nowej procedurze

GIODO będzie mógł objąć kontrolami znacznie

większą ilość podmiotów i realizować kontrole

dopiero wtedy, kiedy będzie miał pewność, że

dana organizacja znacząco narusza obowiązujące

przepisy.

Zmiany mają pokreślić rolę ABI. Stwarzają także

możliwość samokontroli administratora, która

jest w określonych przypadkach alternatywą do

kontroli GIODO czy np. rezygnację wówczas ze

zbędnego rejestrowania zbiorów danych. Będzie

to korzystne głównie dla dużych przedsiębiorstw,

które powołali ABI już wcześniej w kształcie

podobnym do zaproponowanego w projekcie,

w związku z czym nie będą musieli ponosić

dodatkowych nakładów na jego funkcjonowanie

oraz na prowadzenie jawnego rejestru zbiorów

np. utrzymanie strony internetowej czy zakup

oprogramowania.

– Wydaje się, że te rozwiązania są mniej korzystne

(zwłaszcza ze względu na koszty) dla wielu

mniejszych przedsiębiorstw, u których, de facto,

nie funkcjonuje ABI w kształcie zbliżonym do

projektowanego. Racjonalne uksztaltowanie może

jednak także u tych mniejszych przedsiębiorców

przynieść określone korzyści – ocenia dr Bogdan

Fischer.

Grażyna Stefańska

Nowoczesna Firma SA

AUTOR OPRACOWANIA

redaktor portalu Nf.pl. Od początku kariery związana

z mediami biznesowymi. Jej teksty publikowane były

m.in. w “Gazecie Finansowej”, “Home&Market”, a także

na portalu PolishProperty.eu. Absolwentka Wydziału

Dziennikarstwa i Nauk Politycznych Uniwersytetu

Warszawskiego.

Nowoczesna Firma to platforma promocji i sprzedaży

usług wspierających prowadzenie biznesu. Świadczy

usługi marketingowe w relacjach B2B wykorzystując

strategie inbound i outbound marketingu. Nowoczesna

Firma SA jest właścicielem portalu wiedzy dla biznesu

nf.pl oraz specjalistycznych serwisów poradnikowych,

z których treści korzysta średnio 1,4 mln użytkowników

miesięcznie.

Organizuje blisko 100 wydarzeń biznesowych

rocznie, wydaje raporty branżowe, realizuje akcje

content marketingowe, prowadzi projekty badawcze.

Dociera do menedżerów i specjalistów w dużych

i średnich przedsiębiorstwach oraz właścicieli firm

(4 mln profili menedżerskich). Inspiruje ich do rozwoju

i profesjonalizacji działań.

Nowoczesna Firma SAul. Puławska 465,

02-844 Warszawa

Tel.: 22-314-14-00, Fax: 22-314-14-10

www.nf.pl