Zgłoszenie ABI do GIODO

Zgłoszenie ABI do GIODO – warto?

ochrona danych osobowychZ początkiem roku 2015 weszły w życie ważne zmiany w ustawie o ochronie danych osobowych dotyczące m.in. instytucji administratora bezpieczeństwa informacji (ABI). Przed nowelizacją administrator danych miał obowiązek wyznaczenia ABI, chyba, że był osobą fizyczną prowadzącą działalność gospodarczą – wtedy mógł sam wykonywać jego czynności. Obecnie obowiązujące przepisy dają administratorom danych prawo wyboru – sami decydują, czy chcą powołać ABI czy nie. Czy zatem posiadanie ABI leży w interesie administratora danych?

Zmieniona ustawa nałożyła na administratorów bezpieczeństwa informacji szereg nowych obowiązków. Obecnie do zadań administratora bezpieczeństwa informacji należy:

  1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
      • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
      • nadzorowanie opracowania i aktualizowania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, oraz przestrzegania zasad w nich określonych,
      • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych
  2. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

W tym miejscu należy podkreślić, że w przypadku, gdy ABI nie zostanie powołany, wyżej wymienione obowiązki spoczywać będą na administratorze danych (z wyjątkiem sporządzania sprawozdania i prowadzenia rejestru zbiorów danych). W związku z tym posiadanie wykwalifikowanego ABI może okazać się bardzo pomocne.

Niewątpliwą korzyścią płynącą dla administratorów danych z faktu powołania ABI (jak również swoistą zachętą do jego powołania) jest brak obowiązku zgłaszania zbiorów danych osobowych do GIODO (z wyjątkiem zbiorów danych zawierających dane wrażliwe). Dzięki temu administratorzy danych, którzy powołają ABI i zgłoszą go do rejestracji GIODO nie będą musieli brać udziału jako strony w (często długotrwałym) postępowaniu przed GIODO dotyczącym rejestracji zbiorów zawierających dane zwykłe. Dotyczy to zarówno zgłaszania nowych jak i aktualizacji zbiorów już zgłoszonych.

Ponadto zgodnie z nowymi przepisami Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji o dokonanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Dla administratorów danych oznacza to, że w niektórych przypadkach będą mogli uniknąć stresu związanego z obecnością inspektorów z biura GIODO w swojej firmie – zamiast nich kontrolę przeprowadzić wtedy ABI.

Jak zauważył Włodzimierz Dola (aplikant radcowski, ekspert Auraco sp. z o.o.), w związku z tym, że ABI powinien dbać o przestrzeganie zasad ochrony danych osobowych może on podlegać odpowiedzialności karnej w przypadku wycieku danych. Zatem w wypadku gdy administrator danych nie powoła ABI, ww. odpowiedzialność może grozić np. zarządowi lub prezesowi spółki.

Kto może być administratorem bezpieczeństwa informacji ?

Zgodnie z nowymi przepisami administratorem bezpieczeństwa informacji może być osoba, która       ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, posiada odpowiednią wiedzę w zakresie ochrony danych osobowych i nie była karana za umyślne przestępstwo. Niestety nowelizacja nie objęła regulacją stanowiska GIODO, potwierdzonego wyrokiem NSA z dnia 21 lutego 2014 r. (I OSK 2445/12), zgodnie z którym

wykonywanie przez administratora danych czynności administratora bezpieczeństwa informacji możliwe jest jedynie wówczas, gdy administrator danych jest osobą fizyczną. Oczywiście mimo braku bezpośredniego przepisu, stanowisko to pozostaje aktualne.

Odnosząc się do wymogu posiadania odpowiedniej wiedzy przypomnieć należy, że GIODO nie wydaje żadnych certyfikatów potwierdzających znajomość przepisów ochrony danych osobowych. Przepisy nie mówią też nic o obowiązku posiadania konkretnego wykształcenia. Dlatego też administrator danych musi sam ocenić, czy kandydat na ABI posiada odpowiednią wiedzę. Jednak z uwagi na dużą odpowiedzialność administratorów bezpieczeństwa informacji oraz na to, że nieposiadanie odpowiedniej wiedzy może być przyczyną wydania decyzji o wykreśleniu ABI z rejestru, warto zadbać, aby osoba taka posiadała rzeczywiście wysokie kwalifikacje.

Nowa regulacja nakłada na administratorów danych obowiązek zapewnienia środków i organizacyjnej odrębność administratora bezpieczeństwa informacji niezbędnych do niezależnego wykonywania przez niego zadań. Może wiązać się to z dużymi nakładami finansowymi związanymi ze stworzeniem nowego stanowiska pracy. Warto zatem rozważyć, czy nie zlecić pełnienia funkcji ABI wyspecjalizowanej firmie zewnętrznej. Mowa tu o tzw. outsourcingu funkcji ABI. Rozwiązanie takie jest prawnie dopuszczalne. Należy jednak pamiętać, by w umowie z firmą zewnętrzna były wskazane dane konkretnej osoby fizycznej, która będzie pełniła obowiązki ABI. Outsourcing funkcji ABI może zyskiwać na popularności ze względu na to, że w wielu przypadkach okaże się rozwiązaniem tańszym niż tworzenie nowego stanowiska pracy.

Jak zgłosić powołanie ABI Generalnemu Inspektorowi Ochrony Danych Osobowych ?

Administrator danych zobowiązany jest zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania. Zgłoszenia takiego można dokonać jedynie poprzez wypełnienie formularza stanowiącego załącznik do rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. poz. 1934). Niestety obecnie istnieje jedynie możliwość dokonania zgłoszenia w sposób tradycyjny, poprzez wypełnienie papierowego formularza i wysłanie go lub złożenie osobiście w biurze GIODO. W przyszłości ma być uruchomiona możliwość przesyłania zgłoszenia ABI elektronicznie przy użyciu przy użyciu platformy ePuap. Formularz papierowy można znaleźć pod adresem http://www.giodo.gov.pl/144/id_art/8307/j/pl/.

Należy pamiętać, że zgłoszenie powołania ABI powinno zostać podpisane przez administratora danych (osoba lub osoby upoważnione zgodnie ze sposobem reprezentacji), a nie przez administratora bezpieczeństwa informacji. W przypadku, gdy w imieniu administratora danych będzie działał pełnomocnik należy pamiętać o załączeniu stosownego pełnomocnictwa wraz z dowodem uiszczenia 17 zł opłaty skarbowej (jeśli taka będzie należna).  Z uzyskanych przez nas informacji wynika, że najczęstszym uchybieniem przy zgłaszaniu powołania ABI jest, poza zgłoszeniem nie na urzędowym formularzu, podpisanie wniosku przez osoby nieupoważnione do reprezentacji administratora danych.

Ważna informacja – formularz zgłoszenia powołania ABI składamy bez załączników (z wyjątkiem wyżej opisanej sytuacji działania przez pełnomocnika). Nie należy załączać żadnych dokumentów potwierdzających oświadczenie administratora danych o spełnieniu przez ABI warunków określonych w ustawie (np. zaświadczenia o niekaralności).

Znowelizowana ustawa daje administratorowi danych prawo powołania zastępców administratora bezpieczeństwa informacji. Jednak powołania zastępców ABI nie należy zgłaszać do rejestracji GIODO, ponieważ przepisy nie przewidują takiej możliwości.

Projekt rozporządzenia w sprawie realizacji zadań przez ABI

Jeszcze rok temu wydawać by się mogło, że w przepisach o ochronie danych osobowych nie będzie żadnej rewolucji. Przestały się pojawiać informacje prasowe na temat rozporządzenia unijnego (pisaliśmy o nim np. tutaj) w sprawie ochrony danych osobowych, nad którym dyskusja aktualnie prowadzona jest w Radzie ministrów sprawiedliwości UE (JHA). Równocześnie, nie działo się wiele na naszym krajowym podwórku legislacyjnym. To się jednak zmieniło. W ostatnich dniach nie tylko weszła w życie nowelizacja ustawy o ochronie danych osobowych, ale opublikowano także rozporządzenie w sprawie powoływania i odwoływania ABI, a intensywne prace trwają nad kolejnymi dwoma rozporządzeniami, tj. w sprawie prowadzenia przez ABI jawnego rejestru zbiorów danych osobowych (projekt dostępny jest tutaj) oraz w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych (projekt dostępny jest tutaj).

O pierwszym z nich pisaliśmy już wcześniej, chciałbym jednak korzystając z okazji przekazać aktualne informacji na temat postępu prac. Można już pomału spekulować jaki będzie efekt prowadzonych przez ministerstwo konsultacji i zdradzę od razu, że nie są to informacje napawające optymizmem. Swojego uwagi do projektu rozporządzenia przesłali między innymi Kancelaria Prezydenta, MEN, MSW, RCL, IAB, MF, GIODO, mikrobit, NSA, PIIT, PIU, PTI, Konfederacja Lewiatan, Pracodawcy RP. Analiza charakteru zgłoszonych uwag potwierdza niestety moją wcześniejszą diagnozę, iż rozporządzenie nie jest proste w interpretacj,i a jego wejście w życie w obecnym kształcie przyprawi przedsiębiorcom, ale i Administratorom Bezpieczeństwa Informacji, bólu głowy. Liczby mówią same za siebie. Z 45 zgłoszonych uwag, gdzie większość z nich była w mojej ocenie jeśli nie oczywiście zasadna, to co najmniej słusznie poddająca w wątpliwość zastosowane przez ministerstwo rozwiązanie, uwzględnionych zostało jedynie 4. Będziemy dalej monitorować sytuację oraz zajmiemy się analizą samego projektu.

Teraz wracając do głównego tematu, a więc drugiego z wspomnianych we wstępie projektów rozporządzeń. Rozporządzenie w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych ma trochę moim zdaniem nieprecyzyjną nazwę. Sugeruje ona bowiem, że omawiane rozporządzenie dotyczy realizacji (wszystkich) zadań (obowiązków) wynikających z ustawy o ochronie danych osobowych, podczas gdy dotyczy ono jedynie ściśle określonych zadań związanych z prowadzeniem audytu (plan prowadzenia audytu, sposób prowadzenia audytu, sposób przygotowania sprawozdania). Zawiera ono dodatkowo kilka zaskakujących rozwiązań, które mogą zmienić w praktyce w znaczny sposób tryb działania ABI w organizacji.

Podstawą do wydania rozporządzenia jest art. 36a ustawy o ochronie danych osobowych (wprowadzony do ustawy w dniu 1 stycznia 2015 r.). Jego 9 ustęp stanowi, że:

9. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia:
1) tryb i sposób realizacji zadań, o których mowa w ust. 2 pkt 1 lit. a i b,
2) sposób prowadzenia rejestru zbiorów danych, o którym mowa w ust. 2 pkt 2
– uwzględniając konieczność zapewnienia prawidłowości realizacji zadań administratora bezpieczeństwa informacji oraz niezależności i organizacyjnej odrębności w wykonywaniu przez niego zadań.

Omawianego rozporządzenia dotyczy pkt 1. Z kolei ust. 2 pkt 1 stanowi, że:

2. Do zadań administratora bezpieczeństwa informacji należy:
1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

Zatem granice regulacji rozporządzenia wyznacza kwestia sprawdzenia zgodności przetwarzania danych osobowych z przepisami (audyt) oraz nadzorowanie opracowania i aktualizowania dokumentacji (dokumentacja). Dla porządku nadmienię tylko, że przez dokumentację rozumiemy politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Projekt rozporządzenia zawiera dwie nowe definicje:

sprawdzenie – należy przez to rozumieć czynności mające na celu zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, w szczególności w wyniku zwrócenia się o dokonanie sprawdzenia przez Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej „Generalnym Inspektorem”

sprawozdanie – należy przez to rozumieć dokument zawierający elementy określone w art. 36c ustawy, opracowany przez administratora bezpieczeństwa informacji po dokonaniu sprawdzenia, którego celem jest zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Obydwie z ww. definicji dotyczą audytu. Tutaj jest pierwsza zasadnicza nowość. O ile do chwili wejścia w życie omawianego rozporządzenia prowadzenie audytu z zakresu ochrony danych osobowych było dobrą praktyką, można było je wyprowadzić z ogólnych zasad dotyczących ochrony danych osobowych, o tyle nigdzie nie mogliśmy znaleźć wytycznych jak audyt zorganizować i prowadzić. Był to jeden z problemów, który stał na przeszkodzie prawidłowemu stosowaniu przepisów o ochronie danych osobowych. Każdy chyba się zgodzi, że aby „chronić” dane osobowe niezbędne jest prowadzenie kontroli stanu przestrzegania przepisów o ochronie danych osobowych. Pytanie jak to robić prowadziło już niestety do wielu nieporozumień. W rynku spotkać można organizacje, które kwestie związane z ochroną danych osobowych (a więc i audyt) traktują po macoszemu, w ogóle go nie prowadząc, albo prowadząc go w bardzo uproszczony i powierzchowny sposób. Być może uregulowanie ww. kwestii w przepisach pomoże ujednolicić i podnieść poziom kontroli w obszarze ochrony danych osobowych.

Poniżej zamieszczam wybrane przeze mnie najważniejsze zmiany / nowości przewidziane / potwierdzone przez projekt rozporządzenia w sprawie realizacji zadań przez ABI:

  1. Rozróżnienie kontroli prowadzonej na wniosek GIODO oraz kontroli prowadzonej bez takiego wniosku.
  2. Rozróżnienie kontroli planowej i nieplanowej (w przypadku nieprzewidzianym w planie sprawdzeń, w sytuacji powzięcia przez administratora bezpieczeństwa informacji o naruszeniu
    ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia).
  3. Wprowadzenie planu sprawdzeń (planu kontroli).
  4. Określenie zakresu audytu (weryfikacja stosowania art. 23-27, 31-35, 36-39, 41, 47-48.
  5. Wprowadzenie programu sprawdzenia (programu kontroli).
  6. Określenie sposoby prowadzenia sprawdzenia (kontroli), tj. sporządzenia notatek, protokołu odebrania ustnych wyjaśnień, protokołu oględzin, odebrania kopii dokumentu, wydruku, obrazu, zapisów.
  7. Wprowadzenie obowiązku udzielania wyjaśnień na rzecz ABI przez kontrolowaną osobę.
  8. Określenie terminów prowadzenia sprawozdań.
  9. Obowiązek pouczania lub instruowania przez ABI osób nieprzestrzegające zasad określonych w dokumentacji przetwarzania danych osobowych o prawidłowym sposobie ich realizacji lub
    zawiadamianie administratora danych ze wskazaniem osób odpowiedzialnych za naruszenie tych zasad oraz jego zakresie.

Na koniec zostawiłem jeszcze kwestię przepisów przejściowych. Otóż zgodnie z nimi wymagania dotyczące sprawdzeń oraz nadzoru nad dokumentacją przetwarzania danych określone w rozporządzeniu uważa się za spełnione, jeżeli administrator danych wdrożył system zarządzania bezpieczeństwem informacji z uwzględnieniem Polskiej Normy PN-ISO/IEC 27001, pod warunkiem, ze system ten obejmuje ochronę danych osobowych, a osobą wykonującą czynności w nim określone jest administrator bezpieczeństwa informacji. Oznacza to, że jeżeli organizacja wdrożyła ww. normę bez wyłączenia dot. ochrony danych osobowych a czynności wykonuje ABI, wtedy uznaje się, że wymogi z rozporządzenia zostały spełnione. Takie podejście, mimo że korzystne dla wielu osób posiadających ww. certyfikat, uznać należy za błędne. Fakt wdrożenia ISO 27001 w żaden sposób nie przekłada się na kwestie prawne związane z ochroną danych osobowych, jak choćby legalność podstaw przetwarzania danych osobowych. Oczywiście zazwyczaj oznacza to, że poziom techniczno-organizacyjny ochrony stoi na wysokim poziomie, jednak przeniesienie takiego wniosku automatycznie na kwestie prawne budzić może sprzeciw. Należy jednak zwrócić uwagę, że rozporządzenie ogranicza ww. wyjątek stwierdzając, że osobą wykonującą SZBI będzie formalnie wyznaczony ABI.

Po drugie, w przypadku administratorów danych będących podmiotami publicznymi w rozumieniu ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, którzy wprowadzili audyt wewnętrzny w zakresie bezpieczeństwa informacji, o którym mowa w przepisach wydanych na podstawie art. 18 tej ustawy, sprawdzenie oraz nadzór na dokumentacją przetwarzania danych, mogą być wykonywane w ramach tego audytu, pod warunkiem, że wykonującym jest administrator bezpieczeństwa informacji. Czyli ww. podmioty nie będą musiały prowadzić drugiego audytu związanego z ochroną danych osobowych, wystarczy że wprowadzą audyt wewnętrzny w zakresie bezpieczeństwa informacji.

Nowelizacja ustawy o ochronie danych osobowych

nowelizcjaWielkimi krokami zbliża się kolejna nowelizacja ustawy o ochronie danych osobowych. Ostatnia miała miejsce w marcu 2011 roku. „Obecna” ma wejść w życie z dniem 1 stycznia 2015 roku[1] i jest związana z szerszym pakietem zmian prawnych w ramach tzw. IV pakietu deregulacyjnego Ministerstwa Gospodarki dla przedsiębiorców. W ramach poniższego artykułu skoncentrujemy się wyłącznie na zmianach jakie zostaną wprowadzone w ustawie o ochronie danych osobowych.

Pierwszą zmianą jest rozszerzenie obowiązków GIODO o prowadzenie rejestru Administratorów Bezpieczeństwa Informacji (ABI). GIODO, zgodnie z kolejną zmianą będzie miał możliwość zwrócenia się do ABI w celu zlecenie „kontroli zastępczej” w imieniu GIODO wskazując zakres i termin takiej kontroli. Powyższa sytuacja może mieć miejsce jeżeli np. do GIODO wpłynie skarga na przetwarzanie danych osobowych u administratora danych. W obecnym stanie prawnym GIODO wyłącznie sam mógłby się podjąć przeprowadzenia kontroli (wysyłając inspekcje). Nowe rozwiązania pozwolą na przeprowadzenie kontroli ABI, który następnie będzie miał obowiązek wysłać wyniki kontroli do GIODO. Nowelizacja określa jakie wymogi ma spełniać sprawozdanie przesyłane do GIODO. Oczywiście GIODO dalej będzie miał możliwość bezpośredniej kontroli administratora danych poprzez wysłanie inspekcji. Jednakże posiadanie profesjonalnego ABIego, który będzie czuwał nad poziomem bezpieczeństwa przetwarzania danych z pewnością ograniczy możliwość takiej kontroli i negatywnych skutków jakie mogą z niej płynąć.
Kolejną zmianą jest określenie obowiązków ABIego, które obecnie nie są uregulowane w ustawie o ochronie danych osobowych. Oprócz standardowych obowiązków jakie obecnie pełni ABI jak np. czuwanie nad poziomem bezpieczeństwa przetwarzania danych osobowych, zapoznawanie pracowników z zasadami przetwarzania danych osobowych itp., nowelizacja ustawy o ochronie danych osobowych dodaje jeszcze jeden obowiązek – prowadzenie jawnego rejestru zbiorów danych osobowych. Szczegółowe zasady pełnienia funkcji ABI mają zostać uregulowane rozporządzeniem ministra właściwego do spraw administracji publicznej. Dodatkowo nowelizacja określa jakie wymogi powinna spełniać osoba, która ma pełnić funkcję ABI. Do wskazanych wymogów należy posiadanie: pełnej zdolności do czynności prawnych oraz pełni praw publicznych, wyższego wykształcenia oraz odpowiedniej wiedzy z zakresu ochrony danych osobowych. ABI nie może być również karany za przestępstwo popełnione z winy umyślnej. Ustawodawca przewidział również możliwość powołania zastępców ABI. Zastępcy powinni spełniać te same wymogi formalne co ABI.
Administrator danych, który wyznaczy ABI nie będzie miał obowiązku, aby zgłaszać zbiory do rejestracji w GIODO[2]. Jest to niewątpliwie ukłon w stronę podmiotów, które zdecydują się na wyznaczenie ABIego. Z drugiej jednak strony administrator danych będzie miał obowiązek zgłoszenia powołania i odwołania ABI, jednakże wydaje się to być mniej uciążliwe niż rejestracja i aktualizacja niekiedy kilkudziesięciu zbiorów danych osobowych.
Ostatnie zmiany w ustawie o ochronie danych osobowych dotyczą ułatwienia transferów danych do krajów niezapewniających odpowiedniego poziomu bezpieczeństwa przetwarzanych danych. Zgodnie ze zmianami nie będzie potrzebna zgoda GIODO na transfer danych jeżeli administrator danych przyjął i stosuje standardowe klauzule umowne lub wiążące reguły korporacyjne.

Podsumowując, należy pozytywnie ocenić zaproponowane zmiany. Znaczącemu ograniczeniu ulegnie obowiązek rejestracji zbiorów danych osobowych, który obecnie jest bardzo uciążliwy zarówno dla podmiotów prywatnych jak i państwowych. Ułatwieniu ulegnie również transfer danych do krajów trzecich. Trudniej jednoznacznie ocenić rejestracje ABI. Podmiot, który zdecyduje się na tego typu krok powinien mieć pewność, iż ABI będzie należycie pełnił swoje obowiązki i w ten sposób właściwie zabezpieczał interesy administratora danych.

 

[1] https://www.premier.gov.pl/wydarzenia/decyzje-rzadu/projekt-ustawy-o-ulatwieniu-wykonywania-dzialalnosci-gospodarczej.html

[2] Za wyjątkiem zbiorów zawierających dane wrażliwe w rozumieniu art. 27 ust. 1 ustawy o ochronie danych osobowych.