Zmiana ustawy o ochronie danych osobowych i nowe rozporządzenie wykonawcze

W dniu dzisiejszym wchodzą w życie ostatnie zmiany w ustawie o ochronie danych Ministerstwo Administracji i Cyfryzacjiosobowych, które m.in. ustanawiają rejestr ABI i rejestr zbiorów danych osobowych. W związku z powyższym, zaktualizowaliśmy tekst ustawy o ochronie danych osobowych, który jest zamieszczony w naszym serwisie, a dodatkowo zamieszczamy także aktualny tekst rozporządzenia w sprawie powołania i odwołania Administratora Bezpieczeństwa Informacji. Poniżej znajdą Państwo aktualne akty prawne w formacie PDF (o rejestrze ABI pisaliśmy tutaj, a o nowelizacji ustawy o ochronie danych osobowych tutaj). Niestety nadal czekamy na opublikowanie przez Ministra Andrzeja Halickiego ostatecznej treści rozporządzenia w sprawie prowadzenia ksiąg rejestrowych dot. zbiorów danych osobowych.

  1. Ustawa o ochronie danych osobowych
  2. Rozporządzenie w sprawie powołania i odwołania ABI
  3. Wzór wniosku w sprawie powołania ABI
  4. Wzór wniosku w sprawie odwołania ABI

Powołanie, odwołanie i rejestr ABI – zmiany w przepisach (część I)

Ministerstwo administracji i cyfryzacji

Minister Administracji i Cyfryzacji opracował projekty nowych rozporządzeń wykonawczych do znowelizowanej ustawy o ochronie danych osobowych. Dotyczą one wzoru zgłoszenia i odwołania Administratora Bezpieczeństwa Informacji do GIODO oraz prowadzenia przez Administratorów Bezpieczeństwa Informacji jawnych zbiorów danych osobowych. Należy w tym miejscu docenić działania Ministerstwa w obszarze ochrony danych osobowych, bowiem bardzo skutecznie prowadzi ono kampanię informacyjną w tematach związanych z ochroną danych osobowych, a w szczególności za zaangażowanie w prace i popularyzowanie wiedzy na temat rozporządzenia unijnego w sprawie ochrony danych osobowych, które zastąpić ma krajowe przepisy o ochronie danych osobowych (przynajmniej ich trzon).

My zajmiemy się w niniejszym artykule pierwszym z ww. przywołanych projektów rozporządzeń to jest Rozporządzeniem Ministra Administracji i Cyfryzacji w sprawie wzorów zgłoszeń powołania administratora bezpieczeństwa informacji do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych oraz odwołania administratora bezpieczeństwa informacji. Delegację do wydania omawianego rozporządzenia stanowi art. 46f ustawy o ochronie danych osobowych w brzmieniu od 1 stycznia 2015 r. (tutaj, dzięki uprzejmości Auraco sp. z o.o., znajdą Państwo tekst ustawy w brzmieniu od 1 stycznia 2015 r.).

Art. 46f. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia, wzory zgłoszeń administratora bezpieczeństwa informacji, o których mowa w art. 46b ust. 2 i 3, uwzględniając konieczność zapewnienia Generalnemu Inspektorowi informacji niezbędnych do prawidłowego realizowania jego zadań.

Warto zwrócić uwagę, że przepis ten w sposób wyraźny wiąże procedurę zgłaszania powołania i odwołania Administratora Bezpieczeństwa Informacji z kompetencjami GIODO. Czyli innymi słowy rejestr ten ma za zadanie pomóc GIODO wykonywać swoje obowiązki. Automatycznie pojawia się pytanie, o jakie przypadki chodzi? Poniżej kilka przykładów:

  • udzielanie przez GIODO informacji o zarejestrowanych zarejestrowanych administratorach bezpieczeństwa informacji
  • prowadzenie inspekcji i typowanie podmiotów podlegających kontroli (GIODO będzie posiadał informację, które organizacje powołały ABI, a które nie. Co prawda aktualnie GIODO też może uzyskać taką informację, np. z treści zgłaszanych do rejestracji zbiorów danych osobowych, jednak jest to dużo bardziej skomplikowane organizacyjnie)
  • zlecenia przez GIODO na rzecz ABI przeprowadzenia sprawdzenia (inspekcji) administratora danych, który wyznaczył danego ABI
  • kontrola obowiązku powołania ABI
  • kontrola spełnienia przez ABI ustawowych wymogów (m.in. pełna zdolność do czynności prawnych, odpowiednia wiedza z zakresu ochrony danych osobowych, brak karalności za przestępstwa umyślne, bezpośrednia podległość kierownikowi organizacji, który wyznaczył ABI, zapewnienie przez organizację, która wyznaczyła ABI, odpowiednich środków techniczno-organizacyjnych niezbędnych do sprawowania funkcji ABI)

Jak widać, z faktu powołania ABI, GIODO będzie mógł uzyskać wiele informacji na temat kultury organizacyjnej systemu ochrony danych osobowych.

Wracając do rozporządzenia w sprawie wzoru zgłoszenia powołania i odwołania ABI wspomnieć należy, że planowana data wejścia w życie rozporządzenia to oczywiście 1 stycznia 2015 r., a więc data wejścia w życie także nowych przepisów ustawy o ochronie danych osobowych. Wzory powołania i odwołania załączone do projektu rozporządzenia przypominają bardzo w swojej budowie wzory zgłoszeń zbiorów danych do rejestracji. Oczywiście nie są tak obszerne i skomplikowane, ale niewątpliwie osoba przygotowująca zgłoszenia zbiorów danych osobowych poczuje się swojsko zgłaszając do GIODO ABI. Tak jak w odniesieniu do zgłoszenia zbiorów danych, wzór zgłoszenia powołania ABI umożliwia również zmianę danych. Czyli druku zgłoszenia powołania będziemy używali w sytuacji gdy zgłaszamy nowego Administratora Bezpieczeństwa Informacji jak i gdy będziemy chcieli dokonać zmiany zgłoszonych wcześniej danych ABI. Wyjaśnienia wymaga sytuacja odwołania ABI. Otóż nie należy utożsamiać sytuacji odwołania ABI ze zmianą jego danych. Zmiana danych zgłoszonego ABI będzie miała miejsce wtedy, gdy nie zmieni się nam osoba, która wykonuje funkcję ABI (zmienią się jedynie jej dane osobowe lub inne elementy zgłoszenia ulegną zmianie). Zgłaszając do GIODO fakt powołania ABI, będziemy zobowiązani określić:

  1. dane administratora danych
  2. dane ABI (imię, nazwisko,nr PESEL i ewentualnie adres do korespondencji, jeżeli będzie inny niż adres administratora danych)
  3. datę powołania ABI

Dodatkowo, administrator danych powinien w treści zgłoszenia powołania ABI oświadczyć, że osoba powołana na funkcję ABI:

  1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych
  2. posiada odpowiednią wiedzę z zakresu ochrony danych osobowych
  3. nie była karana za przestępstwo popełnione z winy umyślnej
  4. podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych
  5. ma zapewnione środki i organizacyjna odrębność umożliwiające niezależne wykonywanie jego zadań

Jeżeli nie zostaną spełnione ww. wymagania, osoba określona w zgłoszeniu nie zostanie zarejestrowana w GIODO jako ABI w danej organizacji. Warto zwrócić szczególnie uwagę na wymóg nr 2, a więc posiadanie przez ABI odpowiedniej wiedzy z zakresu ochrony danych osobowych. Na tą chwilę, jedynie administrator danych będzie oświadczał (osoby reprezentujące administratora danych), że określona osoba, która ma zostać wpisana do rejestru ABI, posiada odpowiednią wiedzę z zakresu ochrony danych osobowych. Ryzyko braku spełnienia tego wymogu biorą na siebie ww. osoby. Regulacja ta miała na celu wyeliminowanie, albo raczej ograniczenie przypadków, gdy funkcja ta sprawowana jest przez przypadkowe osoby lub wyznaczona jako ABI osoba, nie ma zielonego pojęcia o ochronie danych osobowych. Gdyby wymogi te były surowo stosowane, uderzyłoby to niewątpliwie w organizacje doradcze z zakresu ochrony danych osobowych, szczególnie te rodzinne, w przypadku których kultura organizacyjna stoi na niskim poziomie. Należy jednak wskazać, że póki co nie ma szans na obiektywną weryfikację wiedzy i umiejętności ABI. Taką metodą mogłaby być certyfikacja, lub jakiegoś rodzaju egzamin państwowy na ABI.

Dane z rejestru ABI będą jawne (nr PESEL ABI nie będzie ujawniany w rejestrze), a więc każdy z nas będzie mógł sprawdzić, kto w jakiej organizacji pełni funkcję ABI (o ile administrator danych zgłosił ABI do GIODO). Dużo większą wartość miałoby ujawnianie odwołań ABI, ponieważ w ich treści administrator danych będzie określał również powód odwołania osoby z pełnienia funkcji ABI. Pozwalałoby to na weryfikację profesjonalizmu osoby, która chce pełnić tę funkcję. Informacje te jednak nie będą udostępnianie przez GIODO publicznie.

W kolejnej części omówię drugie rozporządzenie do ustawy o ochronie danych osobowych, a mianowicie dot. jawnego rejestru zbiorów danych, który od 1 stycznia 2015 r. powinien być prowadzony przez administratorów danych (Administratorów Bezpieczeństwa Informacji).