Czy pracodawca może przeprowadzić badanie trzeźwości pracownika?

badanie trzeźwości

Celem wpisu jest odpowiedź na pytanie, czy pracodawca może samodzielnie przeprowadzić badanie trzeźwości pracownika. W jakich warunkach jego zachowanie uznane będzie za zgodne z zasadą legalności, rzetelności, celowości i adekwatności celu, jakim jest zapewnienie bezpieczeństwa w miejscu pracy? Z uwagi na złożoność problematyki artykuł został podzielony na kilka segmentów:

  1. Analiza dopuszczalności przeprowadzenia badania trzeźwości pracownika na gruncie ustawy o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi;
  2. Trzeźwość pracownika w świetle orzecznictwa sądów powszechnych;
  3. „Za” i „przeciw” przeprowadzania samodzielnego badania trzeźwości przez pracodawcę. Uchybienia w badaniu przeprowadzanym przez pracodawcę;
  4. Ocena adekwatności przetwarzania danych osobowych pracownika.

 

Analiza dopuszczalności przeprowadzenia badania trzeźwości pracownika na gruncie ustawy o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi

Ustawa o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi (dalej: ustawa) nie przesądza wprost o tym, że pracodawca może samodzielnie przeprowadzić badanie trzeźwości pracownika za pomocą alkomatu. Nakłada jednak na pracodawcę obowiązek niedopuszczenia pracownika do pracy, jeżeli zachodzi uzasadnione podejrzenie, że stawił się do pracy w stanie po użyciu alkoholu albo spożywał go w pracy – nie jest więc konieczne, aby podejrzenie dotyczyło nietrzeźwości pracownika. Ustawa odróżnia bowiem pojęcie stanu nietrzeźwości (zawartość alkoholu w organizmie w wydychanym powietrzu wynosi powyżej 0,25 mg/1 dm3) i stanu po użyciu alkoholu (0,1-0,25 mg/1 dm3). Przyjmuje się więc, że na pracodawcę nałożony jest obowiązek niedopuszczenia pracownika do pracy, jeżeli ma uzasadnione przypuszczenie, że zatrudniony przyszedł do pracy co najmniej w tak rozumianym stanie po użyciu alkoholu[i] (a więc także gdy stawił się do pracy w stanie nietrzeźwości), ale również wtedy, gdy podejrzewa, że pracownik po prostu spożywał alkohol w pracy (a tym bardziej gdy był świadkiem spożywania alkoholu przez podwładnego) – już niezależnie od zawartości alkoholu w jego organizmie.

W przypadku takiego niedopuszczenia okoliczności stanowiące podstawę decyzji pracodawcy powinny być podane pracownikowi do wiadomości. Oczywistym jest, że regulacja wspomnianego obowiązku pracodawcy jest szczególnie ważna w przypadku zawodów, z którymi wiąże się ryzyko narażenia zdrowia i życia ludzkiego na niebezpieczeństwo, na przykład gdy praca polega na przewozie osób w ramach komunikacji miejskiej albo łączy się z udzielaniem świadczeń zdrowotnych w placówkach medycznych. Ustawa wymaga jednak odsunięcia pracownika w każdym przypadku, gdy podejrzenie spożycia alkoholu w pracy lub stawienia się do niej w stanie po jego użyciu jest uzasadnione. Należy bowiem pamiętać, że nietrzeźwy pracownik może również stanowić zagrożenie dla innych zatrudnionych, dla mienia pracodawcy czy też samego siebie. Do samego niedopuszczenia pracownika do pracy wystarczy więc zauważenie typowych oznak upojenia alkoholowego w jego zachowaniu czy też wyczucie od niego woni alkoholu. Ponieważ jednak kwestia tego, czy podejrzenie było uzasadnione, może być sporna, wyniki badań trzeźwości mogłyby okazać się pomocne przy rozwianiu ewentualnych wątpliwości.

 

Trzeźwość pracownika w świetle  orzecznictwa sądów powszechnych

Sąd Najwyższy stwierdził, że aby można było uznać, że pracownik pozostaje w dyspozycji pracodawcy, konieczna jest jego gotowość do pracy, którą automatycznie wyklucza jego nietrzeźwość. W praktyce więc pracodawcy uznają zazwyczaj spożywanie alkoholu w trakcie pracy lub przed jej rozpoczęciem za ciężkie naruszenie podstawowych obowiązków pracowniczych. Konsekwencją takiego naruszenia jest możliwość rozwiązania przez pracodawcę umowy o pracę bez wypowiedzenia z winy pracownika. Zgodnie z orzecznictwem sądów odpowiednie udowodnienie, że do takiego naruszenia doszło, należy do pracodawcy rozwiązującego umowę, co zresztą w konsekwencji zapewnia mu pewną ochronę przed zarzutami naruszenia przepisów kodeksu pracy ze strony pracowników. Zgodnie bowiem z regulacjami kodeksu pracownikowi, z którym rozwiązano umowę o pracę bez wypowiedzenia z naruszeniem przepisów o rozwiązywaniu umów o pracę, przysługuje roszczenie o przywrócenie do pracy na poprzednich warunkach albo o odszkodowanie. W przypadku, gdy pracodawca chce rozwiązać umowę bez wypowiedzenia czy też wyciągnąć wobec pracownika konsekwencje dyscyplinarne (na przykład zastosować karę pieniężną), przydatne dla pracodawcy okaże się oficjalne potwierdzenie przypuszczeń wynikami badań trzeźwości. Czy może on jednak przeprowadzić takie badania samodzielnie?

 

„Za” i „przeciw” przeprowadzania samodzielnego badania trzeźwości przez pracodawcę. Uchybienia w badaniu przeprowadzanym przez pracodawcę.

Nie ulega wątpliwości, że ustawa upoważnia pracodawcę do żądania przeprowadzenia badań przez uprawniony organ powołany do ochrony porządku publicznego (przede wszystkim przez Policję, ale także straże gminne). Art. 17 ust. 3 ustawy zapewnia też prawo do takiego żądania osobie przez pracodawcę upoważnionej (na przykład pracownikom ochrony zakładu pracy) i samemu pracownikowi podejrzewanemu o spożycie alkoholu.

Często przyjmuje się jednak, że pracodawca może także sam w takim uzasadnionym przypadku poddać pracownika badaniu alkomatem – pod warunkiem, że na taką kontrolę pracownik wyrazi zgodę. Gdy zaś pracownik jej nie wyrazi, pracodawcy pozostaje żądanie przeprowadzenia badania przez Policję. Można nieraz spotkać się z poglądem, że to właśnie ze względu na wspomniany brak możliwości zastosowania pewnego rodzaju przymusu zmieniono przepis art. 17 ust. 3 ustawy, według którego jeszcze przed lipcem 2011 r. przeprowadzenia takiego badania trzeźwości mógł żądać tylko i wyłącznie pracownik.

Pracownik jednak, mimo zmian w przepisach, zachował swoje uprawnienie. Możliwe jest bowiem wystąpienie sytuacji odwrotnej. Kiedy pracodawca uzna, że zachodzi uzasadnione prawdopodobieństwo, że pracownik spożywał alkohol, ten może zażądać przeprowadzenia kontroli trzeźwości przez Policję, aby obalić podejrzenia pracodawcy, a w konsekwencji nie stracić wynagrodzenia za dany dzień w pracy.

Warto jednak rozważyć zmiany w tym przepisie pod innym kątem. Przed nowelizacją przepis zobowiązywał pracodawcę do zapewnienia przeprowadzenia badania stanu trzeźwości pracownika na jego żądanie. Przepis nie wskazywał więc, kto ma tego badania dokonać. W poprzednim stanie prawnym wydawało się oczywiste, że może je przeprowadzić również sam pracodawca. Być może jest to przyczyna tego, że takie badanie jest wciąż często uważane za dopuszczalne. Aktualnie zaś wskazane w przepisie jest wprost, że to uprawniony organ ma dokonać kontroli trzeźwości. Przy założeniu racjonalności działań ustawodawcy można uznać, że uściślenie przepisu w tym zakresie nie jest przypadkowe i wyklucza dopuszczaną wcześniej możliwość samodzielnego przeprowadzenia badania przez pracodawcę.

Część doktryny (m.in. dr Marcin Wujczyk[ii]) stoi jednak na stanowisku, że wprowadzenie tej zmiany wcale takiej możliwości nie eliminuje (o ile pracownik wyraża na kontrolę zgodę), a jedynie dodatkowo wprost dopuszcza przeprowadzenie badania przez uprawnione organy. Można sobie przecież wyobrazić sytuację, w której pracodawca chciałby przeprowadzić samodzielną kontrolę, a nieufny pracownik zażądałby badania przeprowadzonego przez inną osobę czy lepszym urządzeniem albo przypadek, w którym pracodawca żądałby przeprowadzania badania przez organ tylko z tego powodu, że sam nie jest w posiadaniu alkomatu. Na korzyść wskazanego poglądu przemawia fakt, że nie istnieje też przepis zakazujący przeprowadzenia kontroli samodzielnie przez pracodawcę.

          Jak można zauważyć, ze względu na to, że kwestia samodzielnego przeprowadzenia kontroli przez pracodawcę nie jest uregulowana wprost w przepisach, nie jest ona jednoznacznie rozstrzygnięta, a opinie na jej temat są zróżnicowane. Niektórzy twierdzą, że nic nie stoi takiej kontroli na przeszkodzie, o ile pracownik wyrazi zgodę na badanie. Warto jednak zauważyć, że w orzecznictwie wskazuje się, że odmowa takiej zgody na wstępie stawia pracownika w gorszej pozycji[iii]. Automatycznie zakłada się, że jakby był trzeźwy, to poddałby się badaniu bez zawahania, natomiast nie udzielając zgody w pewnym sensie utwierdza pracodawcę w przekonaniu, że spożywał alkohol. Dodatkowo pracownik, będąc w stosunku podległości względem pracodawcy, zdaje się nie mieć w tej sytuacji rzeczywistego wyboru, czy podda się badaniu – ze względu na obawę o wyciągnięcie wobec niego negatywnych konsekwencji z powodu takiej odmowy.

W praktyce zdarza się, że pracodawcy przeprowadzają kontrole trzeźwości na losowo wybranym pracowniku, tłumacząc się tym, iż jest to jeden z efektywniejszych sposobów odstraszenia pracowników od spożywania alkoholu w pracy. Wydaje się, że wyrywkowe sprawdzanie pracowników pod kątem ich trzeźwości (w przypadku braku uzasadnionego prawdopodobieństwa spożycia alkoholu) jest niczym nieuzasadnione. Poza tym trzeba podkreślić, że takie działanie może się wiązać z naruszeniem ich dóbr osobistych. Nawet wśród zwolenników teorii, że pracodawca może przeprowadzać samodzielnie badania, można spotkać się z poglądem, że kiedy nie występuje uzasadnione prawdopodobieństwo spożycia alkoholu, lepiej kontroli nie przeprowadzać – trzeba się bowiem liczyć z tym, że pracownicy mogą takie działania podważać.

Warto zauważyć, że można spotkać się z poglądem, iż z uwagi na to, że przepisy ustawy nie przewidują wprost przeprowadzenia przez pracodawcę samodzielnej kontroli trzeźwości pracownika, warto uregulować tę kwestię w aktach wewnętrznych zakładu, takich jak na przykład regulamin pracy. Nie jest to oczywiście obligatoryjne, jednak w praktyce może wiele ułatwić. A ponieważ kodeks pracy wprowadza jedynie przykładowy katalog kwestii, które powinny się znaleźć w takim regulaminie, to nic nie stoi na przeszkodzie, aby uregulować w nim właśnie kwestię badań trzeźwości przeprowadzanych przez pracodawcę – oczywiście przy założeniu, że uznajemy je za ogólnie dopuszczalne. Dzięki temu pracownicy mają być świadomi, w jakich okolicznościach może nastąpić kontrola trzeźwości w zakładzie pracy, kto może ją przeprowadzić, w jaki sposób i na jakich zasadach. Wydaje się, że szczegółowe określenie istotnych kwestii związanych z kontrolą trzeźwości pozwoli uniknąć w przyszłości nieporozumień między pracodawcą a pracownikami.

Ponieważ nie ma bezpośredniej podstawy prawnej do przeprowadzania kontroli trzeźwości przez pracodawców, zdarza się także, że od razu żądają oni przeprowadzenia kontroli przez Policję, nie wiedząc, czy sami mogą ją przeprowadzić. Moim zdaniem takie podejście jest jak najbardziej uzasadnione, ponieważ nie ulega wątpliwości, że wtedy ich działanie będzie zgodne z prawem. Co więcej, uważam, że – z uwagi na brak ustawowych podstaw do takich działań – kontrole przeprowadzane samodzielnie przez pracodawców nie powinny być uznawane za dopuszczalne. Jednak nie chciałabym niczego przesądzać. Każdy przypadek wymaga bowiem szczegółowej, indywidualnej analizy. Często bywa tak, że z obserwacji pracownika przez pracodawcę wynika, że dowody potwierdzające, że pracownik jest nietrzeźwy, okazują się niezbędne. I tu właśnie nieraz wchodzi w grę zbieranie zeznań świadków zdarzenia czy badanie alkomatem – przy czym warto podkreślić, że pracodawca powinien zadbać o to, by alkomat posiadał wszystkie niezbędne certyfikaty i atesty (oczywiście formalnego wymogu ich posiadania nie ma, jednak zmniejsza to ryzyko, że wynik badania zostanie zakwestionowany). W praktyce z przebiegu takiego badania sporządza się protokół, w którym opisuje się okoliczności uzasadniające jego przeprowadzenie[iv].

 

Ocena adekwatności przetwarzania danych osobowych pracownika

Zastanówmy się jeszcze, jak należy patrzeć na badania trzeźwości z punktu widzenia ustawy o ochronie danych osobowych. Informacje stanowiące wyniki przeprowadzonych badań można zakwalifikować jako tak zwane dane wrażliwe – w tym przypadku dane o stanie zdrowia albo informacje o nałogach. Należy zauważyć, że pracodawca (jako administrator danych), przetwarzając dane pracownika, zobowiązany jest do spełnienia przesłanki uzasadniającej wykonywanie operacji na danych osobowych. Z przetwarzaniem danych zwykłych, jak na przykład imię, nazwisko czy miejsce zamieszkania, nie ma większego problemu. Sytuacja komplikuje się, kiedy w grę wchodzi przetwarzanie danych wrażliwych. Przetwarzania takich danych ustawa generalnie zakazuje, chyba że mamy do czynienia z jednym z wymienionych w niej wyjątków. W analizowanym przypadku możemy rozważać zastosowanie art. 27 ust. 2 pkt 6 lub ewentualnie pkt 2 ustawy o ochronie danych osobowych jako podstawy przetwarzania. Konieczne jest więc istnienie aktu prawnego, w ramach którego wskazany jest zakres danych, których przetwarzanie jest niezbędne do wykonywania zadań administratora danych (pracodawcy) odnoszących się do zatrudnienia lub na gruncie której przetwarzanie danych o stanie zdrowia jest w pełni dopuszczalne, a która zapewnia gwarancje ich ochrony. W omawianym przypadku zakres lub dopuszczalność przetwarzania wskazuje ustawa o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi, którą uzupełnia rozporządzenie Ministra Zdrowia w sprawie badań na zawartość alkoholu w organizmie. Powstaje jednak pytanie, czy może to stanowić podstawę przetwarzania danych w przypadku, gdy pracodawca przeprowadzi kontrolę trzeźwości samodzielnie. W mojej opinii przepisy ustawy na to nie pozwalają. Być może należy uznać, że właśnie ta kwestia przesądza o niedopuszczalności przeprowadzenia samodzielnego badania przez pracodawcę.

Warto zauważyć, że niejednokrotnie zdarza się, że pracodawcy zbierają od pracowników zgody na przetwarzanie danych wrażliwych. Czy jest to jednak dobre i skuteczne? Trudno byłoby jednoznacznie stwierdzić, że tak. Zgodnie bowiem z orzecznictwem Naczelnego Sądu Administracyjnego brak równowagi w relacji między pracownikiem a pracodawcą stawia pod znakiem zapytania dobrowolność wyrażenia zgody na przetwarzanie jego danych[v]. Pozyskane zgody mogą być więc zakwestionowane podczas kontroli przez inspektorów GIODO.

[i] M. Kuba, Prawne formy kontroli pracownika w miejscu pracy, 4.2.1-4.2.2, 2014 r.

[ii] M. Wujczyk, Prawo pracownika do ochrony prywatności, 12. Prawo pracownika do prywatności a kontrola trzeźwości pracownika i zażywania przez niego substancji psychotropowych, 2012 r.

 

[iii] Wyrok SN z dnia 24 maja 1985r., sygn. I PRN 39/85

 

[iv] M. Wujczyk, Prawo pracownika do ochrony prywatności, 12. Prawo pracownika do prywatności a kontrola trzeźwości pracownika i zażywania przez niego substancji psychotropowych, 2012 r.

 

[v] Wyrok NSA z dnia 1 grudnia 2009 r., sygn. I OSK 249/09

Inspektor ochrony danych

Konferencja – Inspektor ochrony danych: kontynuator administratora bezpieczeństwa informacji czy nowa funkcja zapewniająca przestrzeganie przepisów o ochronie danych osobowych?

Podczas konferencji, która odbyła się 29 czerwca w Warszawie, pochylono się nad funkcją, istotą oraz zadaniami jakie będą przysługiwały inspektorowi ochrony danych na gruncie unijnego rozporządzenia w sprawie ochrony danych osobowych.

Inspektor ochrony danych powinien posiadać fachową wiedzę i znajomość praktyki. Szeroko rozumiane eksperckie umiejętności wydają się kluczem do sukcesu. Tego właśnie będzie oczekiwało się od inspektorów ochrony danych. Waga tej funkcji była podkreślana przez wszystkich prelegentów. Inspektor ma za zadanie w dużej ogólności chronić prywatność osób, których dane dotyczą.

Inspektor ochrony danych osobowych powinien być zaangażowanych w procesy przetwarzania danych osobowych zachodzące w organizacji.

Jedno z wystąpień dotyczyło tego w jaki sposób przygotować obecnych administratorów bezpieczeństwa informacji do pełnienia funkcji inspektora ochrony danych. Wnioski jakie można wysnuć dotyczą głównie tego, iż potrzebujemy specjalistów, którzy doskonale będą poruszać się w kwestiach związanych z:

  • oceną ryzyka przetwarzania danych osobowych,
  • analizą skutków procesów przetwarzania danych osobowych zachodzących w firmie,
  • koncepcją „prywatność w fazie projektowania” i możliwości jej praktycznego wykorzystania,
  • nowym podejściem przyjętym na gruncie dotyczącym zasady rozliczalności.

Co warto zauważyć decyzyjność ciągle będzie spoczywała na administratorze danych, z tym że Inspektor ochrony danych powinien być niezależny w sprawowaniu swojej funkcji. Nie można wydawać mu instrukcji co do wykonywania zadań i obowiązków z zakresu ochrony danych osobowych. Rozporządzenie wskazuje dodatkowo na ochronę zatrudnienia inspektora. Co ważne na inspektora ochrony danych nie mogą być nałożone inne obowiązki niż te związane z ochroną danych osobowych. Inspektor będzie także zobowiązany do zachowania tajemnicy zawodowej.

Wyzwania jakie stoją przed ABI w kontekście unijnego rozporządzania są niełatwe. Można najogólniej powiedzieć, iż do zadań inspektora ochrony danych będzie należało budowanie bezpieczeństwa prawnego administratora danych. I tak mówiąc bardziej szczegółowo do jego zadań będzie należało:

  1. informowanie administratora, podmiotu przetwarzającego oraz pracowników o obowiązkach związanych z ochroną danych osobowych,
  2. monitorowanie procesów przetwarzania danych osobowych zachodzących w firmie,
  3. przeprowadzanie szkoleń z zakresu ochrony danych osobowych,
  4. przeprowadzanie audytów,
  5. ciągłe monitorowanie operacji przetwarzania danych osobowych w systemach informatycznych,
  6. dokonywanie oceny skutków (analiza ryzyka) na planowe operacje związane z przetwarzaniem danych osobowych,
  7. współpraca z organem nadzorczym,
  8. pełnienie funkcji punktu kontaktowego w kwestiach związanych z przetwarzaniem danych osobowych w firmie.

Kolejna kwestia, która jest warta uwagi dotyczy tego jakie działania będzie musiał podjąć inspektor ochrony danych osobowych i nad czym powinien się zastanowić w pierwszych dniach swojej pracy. Działania te można w ślad za jednym z prelegentów pogrupować w następujący sposób:

  1. Przegląd – konieczność przeglądu przez inspektora ochrony danych osobowych klauzul zgód na przetwarzanie danych osobowych, a także klauzul obowiązków informacyjnych. Jak wskazano podczas konferencji klauzule obowiązku informacyjnego w sferze publicznej będzie można ograniczyć do wskazanym enumeratywnie zakresie. W kontekście klauzul zgód na przetwarzanie danych osobowych trzeba będzie się zastanowić nad rozdzieleniem dwóch celów, które w praktyce są określane jako jeden cel – określany zbiorczo marketingowym. Mam na myśli cel analityczny. Prelegenci postulowali nad rozłączeniem tych dwóch celów. Inspektor ochrony danych osobowych powinien dodatkowo dokonać przeglądu umów powierzenia przetwarzania danych osobowych. Pewnym novum będzie także konieczność szczegółowego i konkretnego określenia środków bezpieczeństwa występujących w firmie. Nie będzie można już posługiwać się sformułowaniem zapewniamy „odpowiednie środki techniczne i organizacyjne”. Konkretne działania i konkretne środki bezpieczeństwa!
  2. Strategia – należy zauważyć, że w przypadku wtórnego wykorzystania danych osobowych muszą one zostać poddane operacji pseudonimizacji. Inspektor ochrony danych osobowych powinien się także zastanowić nad przeglądem mechanizmów transferowych.
  3. IT – ta sfera według prelegentów konferencji to klucz programu. Działania w tej sferze będą kosztowne chociażby „wbudowanie” koncepcji prywatność w fazie projektowania. Pojęcie to jak na razie nie jest dokładnie sprecyzowane. Niemniej dział IT każdej firmy powinien wspierać realizację praw podmiotów, których dane dotyczą (w tym prawo dostępu do danych osobowych przetwarzanych przez administratora danych).
  4. Monitoring – w tym ocena skutków regulacji z zakresu ochrony danych osobowych.
  5. Procedury – do zadań inspektora ochrony danych będzie należało stworzenie procedur obejmujących następujące kwestie: prawo dostępu (na jakich warunkach, kto może mieć dostęp do danych osobowych – należy wspomnieć, że na gruncie unijnego rozporządzenia nie będzie już 6 miesięcznej karencji jak w przypadku polskiej ustawy o ochronie danych osobowych), procedurę dotycząca wydawania kopii danych osobowych, czy procedurę zgłaszania naruszeń do GIODO.
  6. Mechanizm spójności – w tym konieczność uzyskania certyfikacji czy spełnienie wymagań stawianych przez standardy ISO.

Kształcenie inspektorów ochrony danych to istotne zagadnienie, ale teraz regulacje natury technicznej wydają się ważniejsze.

W trakcie konferencji pojawił się pomysł by rozbudować Kodeks etyki zawodowej administratorów bezpieczeństwa informacji i dostosować go do rozwiązań jakie będą przyjęte w ramach unijnego rozporządzenia.

Zauważono także, że polski porządek prawny należy dostosować do standardów unijnych. Rozporządzenie unijne przewiduje bowiem działania polskiego ustawodawcy. W 60 miejscach rozporządzenia istnieje możliwość by polski regulator dokonał zmian dostosowując unijną regulację do polskiego porządku prawnego. Dlatego też warto zaczekać z wprowadzaniem zmian zarówno w sferze organizacyjnej jak i prawnej każdej z organizacji. Warto śledzić na bieżąco poczynania polskiego ustawodawcy, analizować treść rozporządzenia, a także wytycznych czy zalecenń wydawanych przez instytucje unijne.

Rejestr zbiorów danych – nowe rozporządzenie już obowiązuje

Nowe rozporządzenie w sprawie rejestru zbiorów danych już obowiązuje! W dniu 26 maja 2015 r. weszło w życie wyczekiwane od stycznia tego roku rozporządzenie w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych. Rejestr zbiorów danych w pewnym sensie rekompensuje fakt ograniczenia obowiązku rejestracji zbiorów danych osobowych.

rejestr-zbiorówW § 1 określony jest zakres przedmiotowy rozporządzenia. Formułuje ono sposób prowadzenia rejestru zbiorów danych, o którym mowa w art. 36a ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Zakres obowiązków ABI możemy podzielić na dwie grupy. Po pierwsze są to czynności związane z zapewnieniem przestrzegania przepisów o ochronie danych osobowych oraz drugie odnoszące się z rejestracją zbiorów danych osobowych. Te drugie obowiązki szczegółowo opisane są w rozporządzeniu. Poniżej prezentujemy najważniejsze założenia tego rozporządzenia.

W § 3 rozporządzenia odnajdujemy zakres informacji jakie powinny być zidentyfikowane w przypadku każdego zbioru danych. Brak jest w nim różnic w odniesieniu do projektu z dnia 13 marca 2015 r. Zakres informacji jakie powinny znaleźć się w rejestrze zbiorów opisany został w artykule: Nowe projekty rozporządzeń wykonawczych marzec 2015.

W § 4 rozporządzenia wskazany jest katalog uprawnień przysługujący ABI, który:

  1. wpisuje zbiór danych do rejestru przed rozpoczęciem przetwarzania w zbiorze danych;
  2. aktualizuje informacje dotyczące zbioru danych w rejestrze – w przypadku zmiany informacji objętych wpisem;
  3. wykreśla zbiór danych z rejestru – w przypadku zaprzestania przetwarzania w nim danych osobowych;
  4. udostępnia rejestr do przeglądania

Warto również wspomnieć, iż ABI odnotowuje każdorazową zmianę w historii rejestru (wskazuje on na informacje o zmianie, jej dacie oraz zakresie). Uprawnienia, zatem w tym zakresie możemy określić jako funkcje kontrolną, uzupełniającą oraz informującą.

Szeroki wachlarz uprawnień wynika również z kolejnych postanowień, w myśl których kiedy mamy do czynienia z prowadzeniem rejestru w postaci elektronicznej administrator bezpieczeństwa informacji udostępnia rejestr do przeglądania:

  1. na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru, lub
  2. na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora, lub
  3. przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.

Ponadto, w przypadku prowadzenia rejestru w postaci papierowej administrator bezpieczeństwa informacji udostępnia każdemu zainteresowanemu treść rejestru do przeglądania w siedzibie lub miejscu zamieszkania administratora danych

Pewne rozszerzenie w porównaniu do rozporządzenia z 13 marca 2015 r. odnajdujemy w § 5 ust. 3. Nowe rozporządzenie dot. rejestru zbiorów danych określa, iż w przypadku prowadzenia rejestru wyłącznie w postaci elektronicznej albo w postaci papierowej i postaci elektronicznej administrator bezpieczeństwa informacji może zdecydować, że w odniesieniu do informacji, o których mowa w § 3 ust. 1 pkt 4 (oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy o ochronie danych osobowych i adres jego siedziby lub miejsca zamieszkania – w przypadku powierzenia przetwarzania danych temu podmiotowi) w postaci elektronicznej udostępnia się do przeglądania wyłącznie informacje o powierzeniu przetwarzania danych innemu podmiotowi, a jego oznaczenie i adres siedziby lub miejsca zamieszkania są udostępniane do przeglądania jedynie w przypadku prowadzenia rejestru w postaci papierowej. Wtedy to administrator bezpieczeństwa informacji udostępnia każdemu zainteresowanemu treść rejestru do przeglądania w siedzibie lub miejscu zamieszkania administratora danych. Wynika z tego, że rejestr zbiorów danych pełni funkcję informacyjną wpisując się w nowe trendy w zakresie przepisów o ochronie danych osobowych.