Znaczenie funkcji administratora bezpieczeństwa informacji (ABI), jako samodzielnego podmiotu funkcjonującego u administratorów danych w celu zapewnienia zgodności przetwarzania danych osobowych z przepisami, zostało istotnie zwiększone od dnia 1 stycznia 2015 roku w związku z wejściem w życie ustawy o ułatwieniu wykonywania działalności gospodarczej. W chwili wejścia w życie powyżej wymienionej ustawy, nie zostały jeszcze przyjęte wszystkie niezbędne przepisy wykonawcze dotyczące ABI.

W związku z powyższym, w ramach niniejszego artykułu chciałbym zwrócić Państwa uwagę na fakt, iż w dniach 25 maja oraz 29 maja 2015 roku w Dzienniku Ustaw RP zostały opublikowane rozporządzenia szczegółowo regulujące sposób wykonywania przez (ABI) jego niektórych nowych obowiązków, które polegają na:

  1. sprawdzaniu zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowaniu w tym zakresie sprawozdania dla administratora danych,
  2. nadzorowaniu opracowania i aktualizowania dokumentacji ochrony danych osobowych oraz przestrzegania zasad w niej określonych,
  3. prowadzeniu jawnego rejestru zbiorów danych przetwarzanych przez administratora danych.

W tej kwestii nie byłoby nic nadzwyczajnego, gdyby nie dwie okoliczności. Pierwsza odnosi się do faktu, że przez okres pięciu miesięcy od dnia zobowiązania ABI do wykonywania powyższych obowiązków (okres od wejścia w życie zmian do ustawy o ochronie danych osobowych), rozporządzenia te nie były wydane. Zatem do dnia 30 maja 2015 roku ABI wykonywał powyższej wymienione zadania niejako „w ciemno”. Można oczywiście zrozumieć naszego prawodawcę, iż materia ochrony danych osobowych nie jest zbyt łatwa do opanowania, nie mówiąc już o przygotowaniu stosownych rozporządzeń wykonawczych w tej materii, które będą miały wpływ na wszystkie podmioty przetwarzające dane osobowe. Jednakże – i tu się pojawia druga kwestia – rozporządzenia te weszły w życie po upływie jednego(!) dnia od ich ogłoszenia w Dzienniku Ustaw. Z jednej strony prawodawca opóźnił się 5 miesięcy z przyjęciem stosownych aktów, z drugiej strony uznał niejako, że nowa materia prawna nie wymaga czasu na zapoznanie się z nią. Niewątpliwie rozporządzenia te mają być analizowane i wdrażane przez działających u administratorów danych ABI, jednakże minimalny dwutygodniowy vacatio legis (tj. okres oczekiwania na wejście w życie aktu prawnego ogłoszonego w oficjalnym dzienniku urzędowym) powinien być w tym przypadku zastosowany.

Przechodząc do szczegółów, omawiane rozporządzenia to:

  1. rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015 r. poz. 719) – nazwijmy je rozporządzeniem o rejestrach ABI – oraz
  2. rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745) – nazwijmy je rozporządzeniem o obowiązkach ABI.

Pierwsze z tych rozporządzeń, jak sama nazwa wskazuje, reguluje sposób prowadzenia jawnego rejestru zbiorów danych osobowych przetwarzanych u administratorów danych, które powinny podlegać zgłoszeniu do Generalnego Inspektora Ochrony Danych Osobowych. ABI może prowadzić ten rejestr w postaci papierowej lub elektronicznej. Istotne jest, aby dostęp do tego rejestru był możliwy dla każdej zainteresowanej osoby. W związku z czym, ABI ma obowiązek udostępnić prowadzony rejestr do przeglądania w jeden ze sposobów wymienionych poniżej:

  1. na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru, lub
  2. na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora, lub
  3. przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych albo
  4. w siedzibie lub miejscu zamieszkania administratora danych w przypadku prowadzenia rejestru w formie papierowej.

Prawodawca pozostawia zatem administratorom bezpieczeństwa informacji, a w rzeczywistości administratorom danych, możliwość wyboru, na ile pojęcie „jawności” rejestru będzie realizowane przez ABI u danego administratora danych. Wydaje się bowiem, że punkt trzeci dotyczący możliwości dokonania wydruku rejestru zbiorów danych osobowych dla osoby zainteresowanej będzie dość istotnie zniechęcał potencjalne osoby zainteresowane do uzyskania informacji o zbiorach danych osobowych istniejących u administratora danych.

Prowadzenie samego rejestru zbiorów danych przez ABI nie powinno, jak się wydaje, sprawiać trudności. Ewentualne problemy mogą oczywiście pojawić się w praktyce stosowania rozporządzenia o rejestrach ABI. Sama zawartość rejestru zbiorów danych powinna być porównywalna z treścią dostępną na stronie internetowej GIODO w zakresie zarejestrowanych danych osobowych. Co do szczegółów odsyłam do samego rozporządzenia.

O wiele bardziej skomplikowane wydaje się być rozporządzenie o obowiązkach ABI. Rozwiązania przyjęte w tym rozporządzeniu, w szczególności dotyczące sposobu dokonywania sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz przygotowania sprawozdania nie należą niestety do łatwych. Rozporządzenie w sprawie obowiązków ABI reguluje również nadzorowanie i aktualizowanie dokumentacji ochrony danych osobowych oraz nadzorowanie przestrzegania zasad określonych w tej dokumentacji. W ramach niniejszego artykułu nie będę jednak opisywał szczegółów dotyczących sposobu realizacji powyższych obowiązków przez administratora bezpieczeństwa informacji.

W tym miejscu pragnę natomiast zwrócić uwagę na pewną wątpliwość interpretacyjną dotyczącą sposobu realizacji obowiązku dokonania sprawdzenia zgodności przetwarzania danych osobowych z przepisami ustawy, jeżeli u administratora danych nie zostanie wyznaczony ABI. Otóż zgodnie z ustawą o ochronie danych osobowych, administrator danych obowiązany jest samodzielnie dokonywać sprawdzenia zgodności przetwarzania danych z przepisami o ochronie danych, jeżeli nie powołał ABI. Ustawa stanowi również, że rozporządzenie o obowiązkach ABI określi, w jaki sposób sprawdzenie będzie wykonywane przez ABI. Natomiast samo rozporządzenia o obowiązkach ABI zostało tak skonstruowane, że odnosi się niejako tylko do sytuacji, w której został powołany ABI. Problem zatem polega na tym, czy administrator danych powinien wykonywać obowiązki ABI, które zostały nałożone na ten podmiot zgodnie z rozporządzeniem o obowiązkach ABI, czy też jest zwolniony ze stosowania tego rozporządzenia. Moim zdaniem administrator danych powinien uczynić zadość obowiązkom nałożonym na ABI, a dotyczącym w szczególności sprawdzenia sposobu przetwarzania danych osobowych zgodnie z wytycznymi rozporządzenia o obowiązkach ABI. Natomiast regulacje powyższego rozporządzenia, którymi administrator danych nie może zostać obciążony z uwagi na niestosowanie tych przepisów do niego (np. sprawdzenie na zlecenie GIODO, czy przygotowanie sprawozdania), nie wiążą go. Sądzę więc, że administrator danych powinien dokonywać u siebie sprawdzenia zgodności przetwarzania danych zarówno w trybie sprawdzenia planowanego, jak i doraźnego (po powzięciu wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionym podejrzeniu takiego naruszenia). Zatem, jak się wydaje, administrator danych powinien przygotowywać plan sprawdzeń zgodności przetwarzania danych i przyjmować ten plan u siebie.

Powyższa wątpliwość wskazuje na to, że korzystniejsze dla administratora danych jest powołanie ABI niż samodzielne realizowanie czynności nałożonych na ABI. Sposób wykonywania obowiązków ABI przez samego administratora danych budzi niestety wątpliwości, których prawodawca, jak się wydaje, nie przewidział. Na zakończenie pragnę nadmienić, że powyżej opisane obowiązki ABI zostały przyjęte przez ustawodawcę w ramach ustawy o ułatwieniu wykonywania działalności gospodarczej. Czy ustawa ta i akty wykonawcze ułatwiły wykonywanie działalności gospodarczej pozostawiam do rozstrzygnięcia Czytelnikowi.