Od dnia 1 stycznia 2015 roku zmienią się przepisy ustawy o ochronie danych osobowych regulujące instytucję Administratora Bezpieczeństwa Informacji. Dodane zostaną również regulacje dotyczące przekazywania danych osobowych do państw trzecich – czyli takich państw, które nie należą do Europejskiego Obszaru Gospodarczego (tj. kraje UE oraz Islandia, Lichtenstein i Norwegia). Co również istotne administratorzy danych nie będą zobowiązani do rejestracji zbiorów danych osobowych w przypadku powołania administratora bezpieczeństwa informacji i zgłoszenia administratora bezpieczeństwa informacji do GIODO.

W dniu 27 listopada 2014 roku została ogłoszona w Dzienniku Urzędowym Rzeczypospolitej Polskiej ustawa z dnia 7 listopada 2014 roku o ułatwieniu wykonywania działalności gospodarczej. Ustawa ta wprowadza zmiany w kilkudziesięciu aktualnie obowiązujących ustawach w tym m.in. w ustawie o ochronie danych osobowych. W ramach niniejszego artykułu chciałbym przedstawić zmiany, które będą dotyczyły instytucji administratora bezpieczeństwa informacji (ABI).

Stan do 31 grudnia 2014 roku

Zgodnie z aktualnie obowiązującym art. 36 ust. 3 ustawy o ochronie danych osobowych administrator danych wyznacza ABI, którego zadaniem jest nadzorowanie przestrzegania zasad ochrony danych osobowych u administratora danych. Zgodnie z najnowszą wykładnią art. 36 ust. 3 ustawy o ochronie danych osobowych przedstawioną przez Naczelny Sąd Administracyjny (wyrok z dnia 21 lutego 2014 roku, sygn. akt I OSK 2445/12), administrator danych niebędący osobą fizyczną obowiązany jest wyznaczyć administratora bezpieczeństwa informacji. Natomiast administrator danych będący osobą fizyczną winien albo wyznaczyć ABI albo wskazać w dokumentacji dotyczącej ochrony danych osobowych, iż samodzielnie wykonuje czynności związane z nadzorem przestrzegania zasad ochrony danych osobowych. Powyżej przedstawiony przepis jest jedynym postanowieniem dotyczącym administratora bezpieczeństwa informacji.

Stan od 1 stycznia 2015 roku

Po nowelizacji ustawy o ochronie danych osobowych przede wszystkim uchylony zostanie lakoniczny art. 36 ust. 3 ustawy, natomiast w jego miejsce zostaną wprowadzone art. 36a-36c, które w sposób szczegółowy regulują funkcję, jaką w strukturze administratora danych ma pełnić administrator bezpieczeństwa informacji. Przede wszystkim nowa regulacja przewiduje, iż do zadań administratora bezpieczeństwa informacji należy zapewnianie przestrzegania przepisów o ochronie danych osobowych oraz prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych (z wyjątkiem tych, które są zwolnione spod obowiązku rejestracji). W zakresie zapewnienia przestrzegania przepisów ustawy, ABI, obowiązany jest w szczególności do:

  1. sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
  2. opracowania sprawozdania dla administratora danych w zakresie zgodności przetwarzania danych osobowych w jego strukturze – nowy art. 36c przewiduje wymogi, które winno spełniać to sprawozdanie,
  3. nadzorowania opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych osobowych (w tym opisującej środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych) oraz przestrzegania zasad w niej określonych,
  4. zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Ustawa przewiduje, iż minister właściwy do spraw administracji publicznej w drodze odrębnego rozporządzenia doprecyzuje sposób prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych przetwarzanych u administratora danych oraz tryb i sposób realizacji zadań wymienionych w punktach od 1 do 3 powyżej.

Wprowadzane zmiany przewidują, iż administratorem bezpieczeństwa informacji może być osoba fizyczna, która ma pełną zdolność do czynności prawnych, korzysta z pełni praw publicznych, posiada odpowiednią wiedzę w zakresie ochrony danych osobowych oraz nie była karana za umyślne przestępstwo. Administrator bezpieczeństwa informacji podlegać ma bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Warto zauważyć, że administrator bezpieczeństwa informacji może wykonywać również inne obowiązki powierzone mu przez administratora danych, jeżeli nie naruszy to prawidłowego wykonywania jego zadań związanych z funkcją ABI.

Ustawa przewiduje, iż administrator danych może powołać zastępców administratora bezpieczeństwa informacji.

Okoliczność powołania lub odwołania administratora bezpieczeństwa informacji należy zgłosić Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO). Zgłaszać należy też zmiany informacji o ABI. Mocą nowych przepisów GIODO rozpocznie prowadzenie ogólnokrajowego jawnego rejestru administratorów bezpieczeństwa informacji. Jeżeli administrator danych powoła i zgłosi administratora bezpieczeństwa informacji, zostanie on mocą art. 43 ust. 1a ustawy zwolniony od obowiązku rejestracji w GIODO zbiorów danych osobowych – nie dotyczy to jednak zbiorów, w których przetwarzane są dane wrażliwe.

Podsumowanie

Zmiana dotycząca statusu administratora bezpieczeństwa informacji jest znaczna. Zgodnie z nowymi przepisami uzyska on ustawowe kompetencje związane z zapewnieniem należytego przestrzegania przepisów ustawy o ochronie danych osobowych u administratora danych, u którego działa. Dodatkowo nowe przepisy zobowiązują administratora danych do zapewnienia ABI niezależności w zakresie wykonywania przez niego obowiązków związanych z ochroną danych osobowych. Wprowadzona zmiana będzie miała moim zdaniem istotny wpływ powoływanie oraz podejmowanie się przez pracowników administratora danych funkcji administratora bezpieczeństwa informacji. To właśnie ABI będzie widniał w ogólnokrajowym rejestrze jako osoba odpowiedzialna za zapewnienie należytego przetwarzania danych osobowych u administratora danych.

Warto podkreślić, iż w przypadku niepowołania ABI, administrator danych wykonuje zadania administratora bezpieczeństwa informacji samodzielnie (nie przygotowuje on jednak sprawozdania w zakresie zgodności przetwarzania danych osobowych). Mając jednak na uwadze powołany wyrok Naczelnego Sądu Administracyjnego z dnia 21 lutego 2014 roku, administratorzy danych niebędący osobami fizycznymi będą zobowiązani do powołania administratora bezpieczeństwa informacji.