Nowelizacja ustawy o ochronie danych osobowych
FKA Fakty Komentarze Analiza
Fakty
Zwolnienie z obowiązku rejestracji zbiorów danych osobowych, przeniesienie ciężaru odpowiedzialności na Administratora Bezpieczeństwa Informacji. Jakie jeszcze zmiany wprowadziła nowelizacja ustawy o ochronie danych osobowych? Przedsiębiorca ma do wyboru dwa modele wewnętrznej regulacji ochrony danych osobowych.
Zmiany ustawy o ochronie danych osobowych weszły w życie 1 stycznia 2015r., wprowadzone ustawą o ułatwieniu wykonywania działalności gospodarczej z dnia 07 listopada 2014r. Zmieniona została procedura wyznaczania i rejestrowania Administratora Bezpieczeństwa Informacji (ABI) i zakres jego odpowiedzialności. Nowelizacją zmienione zostały także zasady rejestracji zbiorów danych osobowych w rejestrze zbiorów prowadzonym przez Generalnego Inspektora Danych Osobowych (GIODO) oraz nowe procedury przekazywania danych osobowych do państw nienależących do Europejskiego Obszaru Gospodarczego (państw trzecich).
Dotychczas odpowiedzialność za zgodność z prawem przetwarzania danych osobowych w firmie spoczywała w przeważającej mierze na samej firmie jako administratorze danych. Administrator danych mógł stworzyć stanowisko ABI w firmie i wyznaczyć na nie praktycznie dowolną osobę fizyczną. Powołanie ABI po nowelizacji pozostało fakultatywne, jednak stało się korzystniejsze dla administratora danych (czyli przedsiębiorstwa).
W przypadku wyznaczenia ABI, zbiory danych przetwarzanych przez administratora danych nie podlegają rejestracji. Wyznaczani po 1 stycznia 2015r. Administratorzy Bezpieczeństwa Informacji mają również odciążyć przedsiębiorców przejmując większość obowiązków określonych w ustawie o ochronie danych osobowych.
Nowe zadania ABI obejmują sprawdzanie na wezwanie GIODO czy administrator danych przetwarza dane osobowe zgodnie z przepisami ustawy o ochronie danych osobowych, a następnie przygotowywania sprawozdania z takiego sprawdzenia i przekazanie go GIODO za pośrednictwem administratora danych.
Do obowiązków ABI należy również prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz stosowane środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych (np. typ systemu operacyjnego, listę osób upoważnionych do przetwarzania danych, opis mechanizmów kontroli dostępu do tych danych, takich jak zmieniane co 30 dni hasła).
Osoba na stanowisku ABI powinna opracować taką dokumentację, a następnie dbać o przestrzeganie określonych w niej zasad i aktualizować ją w miarę potrzeby. ABI zobowiązany jest również do zapewniania, że osoby upoważnione do przetwarzania danych osobowych zapoznają się z przepisami o ochronie danych osobowych. Ustawa nie precyzuje w jaki sposób ABI ma wypełniać ten obowiązek. Przeprowadzanie szkoleń z zakresu ochrony danych osobowych dla osób upoważnionych do dostępu do danych wydaje się wystarczające.
W przypadku wyznaczenia ABI, zbiory danych (zarówno papierowe, jaki cyfrowe) zwolnione są z obowiązku rejestracji. W związku z tym na ABI spoczywa ciężar prowadzenia rejestru zbiorów danych przetwarzanych przez administratora danych (z wyjątkiem zbiorów wyłączonych z obowiązku rejestracji, np. zawierających dane niejawne). Rejestr zbiorów prowadzony przez ABI jest jawny.
Wyznaczenie ABI wiąże się z obowiązkiem rejestracyjnym po stronie administratora danych. Administrator danych musi zgłosić powołanie lub odwołanie ABI w ciągu 30 dni od jego powołania (lub odwołania) do rejestru ABI prowadzonego przez GIODO.
Zgłoszenie składa się do GIODO zgodnie z wzorem zawartym w rozporządzeniu Ministra Administracji i Cyfryzacji z 10.12.2014r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji. Po dokonaniu wpisu Biuro GIODO na żądanie ABI lub administratora danych może wydać zaświadczenie o zarejestrowaniu ABI.
Administratorzy Bezpieczeństwa Informacji powołani przed datą wejścia w życie nowych przepisów pełnią obowiązki od tej daty (od 01.01.2015r.) już w zakresie wskazanym w nowych przepisach. Należy pamiętać, że ABI powołani przed 01.01.2015r. podlegają rejestracji najpóźniej 30.06.2015r.
Komentarze
Przedsiębiorca ma pod rządami nowych przepisów pewną dowolność w kształtowaniu systemu ochrony danych osobowych w przedsiębiorstwie. Zmiany wprowadzają też nowe procedury przekazywania danych osobowych do podmiotów przyjmujących dane mających siedzibę w państwach trzecich.
Przed nowelizacją administrator danych wyznaczał osobę na stanowisko ABI niemal całkowicie dowolnie. Zmiany w przepisach wprowadzają szereg wymogów formalnych, które osoba fizyczna musi spełnić, by mogła wykonywać obowiązki ABI.
Przede wszystkim, musi to być osoba korzystająca z pełni praw publicznych i mająca pełną zdolność do czynności prawnych, niekarana za umyślne przestępstwo oraz podlegająca bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Ponadto musi posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych. Przedsiębiorcy zostaną więc zmuszeni do korzystania z usług podmiotów świadczących profesjonalne usługi z zakresu ochrony danych osobowych lub zainwestowania w szkolenia dla wyznaczonych już ABI.
Administrator danych (przedsiębiorca) ma pod rządami nowych przepisów pewną dowolność w kształtowaniu systemu ochrony danych osobowych w przedsiębiorstwie. Może on powołać zastępców ABI lub powierzyć ABI obowiązki nieprzewidziane w ustawie. Jednak w przypadku niepowołania ABI, wszystkie powyższe obowiązki (z wyłączeniem przygotowywania sprawozdania ze sprawdzenia) spoczywają na samym administratorze danych.
Istotnym ułatwieniem wprowadzonym nowelizacją jest częściowe zwolnienie administratorów danych z obowiązku rejestracji zbiorów danych osobowych.
Zbiory danych osobowych, które nie są prowadzone z wykorzystaniem systemów informatycznych („papierowe”) są całkowicie zwolnione z obowiązku rejestracji. Po wyznaczeniu i zarejestrowaniu ABI, zarówno zbiory danych „papierowe” jak i prowadzone z wykorzystaniem systemów informatycznych są zwolnione z obowiązku rejestracji.
Podsumowując: administrator danych będzie zobowiązany zgłosić zbiór do rejestru GIODO tylko wtedy, gdy przetwarza dane w systemie informatycznym i nie wyznaczył ABI. Jedynie zbiory papierowe oraz cyfrowe zawierające dane wrażliwe wciąż podlegają obowiązkowi rejestracji na dawnych zasadach.
Analiza
Przekazywanie danych osobowych do państw spoza Europejskiego Obszaru Gospodarczego zostało odformalizowane i zróżnicowane. Jak korzystać z nowych możliwości?
Po nowelizacji przedsiębiorcy mają do wyboru dwa modele wewnętrznej regulacji ochrony danych osobowych w przedsiębiorstwie: model z wyznaczonym ABI lub model bez ABI, w którym to na administratorze danych spoczywają wszystkie obowiązki. Zmiany wprowadzają też nowe procedury przekazywania danych osobowych do podmiotów przyjmujących dane mających siedzibę w państwach trzecich.
W rozumieniu ustawy o ochronie danych osobowych państwa trzecie to państwa nienależące do Europejskiego Obszaru Gospodarczego (EOG), czyli wszystkie poza państwami członkowskimi UE, Islandią, Norwegią i Liechtensteinem. Po nowelizacji przedsiębiorca z Polski może dokonać transferu danych poza EOG na trzy sposoby.
Według trybu standardowego, administrator danych musi wystąpić do GIODO z wnioskiem o zgodę na transfer danych do państwa trzeciego. Po otrzymaniu zgody GIODO w formie decyzji administracyjnej, może dokonać transferu danych. Decyzji pozytywnej należy spodziewać się, jeżeli podmiot przyjmujący zapewnia przynajmniej taki sam poziom ochrony danych osobowych jak przewidziano w przepisach ustawy o ochronie danych osobowych obowiązującej na terytorium Polski.
Zgoda GIODO na przekazanie danych osobowych do przetwarzania poza EOG nie jest wymagana, jeżeli administrator danych zawrze z podmiotem przyjmującym dane umowę zawierającą standardowe klauzule umowne ochrony danych osobowych (standard contractual clauses) w oryginalnej, niezmienionej wersji.
Klauzule znajdują się w Decyzjach Komisji Europejskiej (2001/497/WE; 2004/915/WE; 2010/87/UE). Kolejne decyzje zawierają pakiety klauzul umownych dla umów o przekazanie danych pomiędzy administratorami (2001/497/WE oraz 2004/915/WE) oraz administratorem i przetwarzającym (processor). Jeżeli administrator zechce zawrzeć z podmiotem przyjmującym umowę w jakikolwiek innym brzmieniu, będzie musiał uprzednio wystąpić do GIODO o zatwierdzenie takiej umowy transferowej i zgodę na transfer danych.
Zgodnie ze zmianami ustawy, przedsiębiorcy w ramach grupy korporacyjnej mogą przyjąć wewnętrzne prawnie wiążące reguły (lub polityki) ochrony danych osobowych (wiążące reguły korporacyjne – binding corporate rules) dla celów przekazywania danych osobowych przez administratora (lub podmiot przetwarzający) na rzecz innego administratora danych (lub podmiotu przetwarzającego) należącego do tej samej grupy.
Wiążące reguły korporacyjne podlegają uprzedniemu zatwierdzeniu przez GIODO w drodze decyzji administracyjnej. Po jednokrotnym zatwierdzeniu przez GIODO wiążących reguł korporacyjnych, podmioty mogą przekazywać sobie dane w ramach grupy. Ostatnie rozwiązanie jest wyjściem naprzeciw potrzebom rozbudowanych struktur korporacyjnych. Możliwość dokonywania transferów danych na podstawie zatwierdzonego dokumentu o charakterze regulaminu wewnętrznego ma zapobiec mnożeniu umów transferowych, a tym samym kosztów.