Rejestr zbiorów danych – nowe rozporządzenie już obowiązuje

Nowe rozporządzenie w sprawie rejestru zbiorów danych już obowiązuje! W dniu 26 maja 2015 r. weszło w życie wyczekiwane od stycznia tego roku rozporządzenie w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych. Rejestr zbiorów danych w pewnym sensie rekompensuje fakt ograniczenia obowiązku rejestracji zbiorów danych osobowych.

rejestr-zbiorówW § 1 określony jest zakres przedmiotowy rozporządzenia. Formułuje ono sposób prowadzenia rejestru zbiorów danych, o którym mowa w art. 36a ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Zakres obowiązków ABI możemy podzielić na dwie grupy. Po pierwsze są to czynności związane z zapewnieniem przestrzegania przepisów o ochronie danych osobowych oraz drugie odnoszące się z rejestracją zbiorów danych osobowych. Te drugie obowiązki szczegółowo opisane są w rozporządzeniu. Poniżej prezentujemy najważniejsze założenia tego rozporządzenia.

W § 3 rozporządzenia odnajdujemy zakres informacji jakie powinny być zidentyfikowane w przypadku każdego zbioru danych. Brak jest w nim różnic w odniesieniu do projektu z dnia 13 marca 2015 r. Zakres informacji jakie powinny znaleźć się w rejestrze zbiorów opisany został w artykule: Nowe projekty rozporządzeń wykonawczych marzec 2015.

W § 4 rozporządzenia wskazany jest katalog uprawnień przysługujący ABI, który:

  1. wpisuje zbiór danych do rejestru przed rozpoczęciem przetwarzania w zbiorze danych;
  2. aktualizuje informacje dotyczące zbioru danych w rejestrze – w przypadku zmiany informacji objętych wpisem;
  3. wykreśla zbiór danych z rejestru – w przypadku zaprzestania przetwarzania w nim danych osobowych;
  4. udostępnia rejestr do przeglądania

Warto również wspomnieć, iż ABI odnotowuje każdorazową zmianę w historii rejestru (wskazuje on na informacje o zmianie, jej dacie oraz zakresie). Uprawnienia, zatem w tym zakresie możemy określić jako funkcje kontrolną, uzupełniającą oraz informującą.

Szeroki wachlarz uprawnień wynika również z kolejnych postanowień, w myśl których kiedy mamy do czynienia z prowadzeniem rejestru w postaci elektronicznej administrator bezpieczeństwa informacji udostępnia rejestr do przeglądania:

  1. na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru, lub
  2. na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora, lub
  3. przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.

Ponadto, w przypadku prowadzenia rejestru w postaci papierowej administrator bezpieczeństwa informacji udostępnia każdemu zainteresowanemu treść rejestru do przeglądania w siedzibie lub miejscu zamieszkania administratora danych

Pewne rozszerzenie w porównaniu do rozporządzenia z 13 marca 2015 r. odnajdujemy w § 5 ust. 3. Nowe rozporządzenie dot. rejestru zbiorów danych określa, iż w przypadku prowadzenia rejestru wyłącznie w postaci elektronicznej albo w postaci papierowej i postaci elektronicznej administrator bezpieczeństwa informacji może zdecydować, że w odniesieniu do informacji, o których mowa w § 3 ust. 1 pkt 4 (oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy o ochronie danych osobowych i adres jego siedziby lub miejsca zamieszkania – w przypadku powierzenia przetwarzania danych temu podmiotowi) w postaci elektronicznej udostępnia się do przeglądania wyłącznie informacje o powierzeniu przetwarzania danych innemu podmiotowi, a jego oznaczenie i adres siedziby lub miejsca zamieszkania są udostępniane do przeglądania jedynie w przypadku prowadzenia rejestru w postaci papierowej. Wtedy to administrator bezpieczeństwa informacji udostępnia każdemu zainteresowanemu treść rejestru do przeglądania w siedzibie lub miejscu zamieszkania administratora danych. Wynika z tego, że rejestr zbiorów danych pełni funkcję informacyjną wpisując się w nowe trendy w zakresie przepisów o ochronie danych osobowych.

Nowe projekty rozporządzeń wykonawczych marzec 2015 r.

Nowe projekty rozporządzeń wykonawczych – w pplikoniższym artykule opiszemy najważniejsze zmiany związane z nowymi projektami rozporządzeń do znowelizowanej ustawy o ochronie danych osobowych. W ostatnich dniach na stronie internetowej Rządowego Centrum Legislacji zostały opublikowane nowe projekty rozporządzeń wykonawczych do znowelizowanych przepisów ustawy o ochronie danych osobowych:

  • projekt rozporządzenia Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbioru danych z dnia 13 marca 2015 r. (dalej: „rozporządzenie w sprawie sposobu prowadzenia rejestru zbiorów”)
  • projekt rozporządzenia Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratorów danych z dnia 4 marca 2015 r. (dalej: „rozporządzenie w sprawie zapewnienia przestrzegania przepisów ODO”)

Nowe projekty rozporządzeń wykonawczych: Rozporządzenie w sprawie sposobu prowadzenia rejestru zbiorów

Poprzedni projekt rozporządzenia w sprawie sposobu prowadzenia rejestru zbiorów datowany był na 14 stycznia 2015 r. Analiza obydwu projektów, tj. projektu z 14.01.2015 r. z projektem z 13.03.2015 r.  prowadzi do wniosków, że najważniejszymi zmianami są:

  • rozbudowa możliwości elektronicznego prowadzenia rejestru zbiorów danych osobowych poprzez dodanie do § 5 ust 1 – 3)„przez sporządzenie wydruku z systemu informatycznego administratora danych”, oraz
  • pozostawienie swobody w zakresie sposobu udostępniania rejestru podmiotów, którym administrator danych powierzył do przetwarzania dane osobowe.

W odniesieniu do pierwszej zmiany, administrator bezpieczeństwa informacji będzie miał możliwość, wyboru pomiędzy trzema, a nie dwoma jak było do tej pory sposobami prowadzenia rejestru zbiorów danych osobowych w formie elektronicznej. Oprócz prowadzenie rejestru za pośrednictwem strony internetowej administratora danych i stworzenia miejsca na stanowisku dostępowym w siedzibie administratora danych, możliwe także będzie prowadzenie rejestru przez sporządzenie wydruku z systemu informatycznego administratora danych. Dodanie trzeciej możliwości prowadzenia rejestru ma wymiar praktyczny, bowiem ogranicza możliwość ingerencji osób trzecich w systemy informatyczne administratora danych.

Jeżeli rejestr zbiorów danych osobowych prowadzony jest wyłącznie w formie papierowej to nie zmienia się sposób prowadzenia rejestru podmiotów, którym zostały powierzone dane osobowe do przetwarzania (§ 5 ust. 2 – administrator bezpieczeństwa informacji udostępnia do przeglądania każdemu zainteresowanemu jego treść w siedzibie lub miejsca zamieszkania administratora danych). Natomiast jeśli administrator danych prowadzi rejestr zbiorów danych w formie papierowej i elektronicznej albo tylko w formie elektronicznej to wtedy administrator bezpieczeństwa informacji decyduje o tym jak udostępniane będą informacje o rejestrze podmiotów, którym powierzył dane osobowe do przetwarzania. Może to zrobić w sposób opisany w § 5 ust. 1 lub w sposób określony w § 5 ust. 2, czyli ma możliwość prowadzenia rejestru podmiotów, którym powierzył przetwarzanie danych osobowych w formie papierowej lub elektronicznej. Zatem administrator bezpieczeństwa informacji może np. prowadzić rejestr zbiorów danych w formie elektronicznej ale rejestr podmiotów, którym powierzył przetwarzanie danych osobowych, już w formie papierowej. Oczywiście z punktu widzenia administratora bezpieczeństwa informacji taka regulacja jest korzystniejsza z uwagi na większą elastyczność formy prowadzenia i udostępniania ww. rejestrów.

Inne zmiany w rozporządzeniu w sprawie prowadzenia rejestru zbiorów danych dotyczą technicznych sposobów prowadzenie rejestru (zmiany w § 3 ust. 2-4 projektu) oraz tego, że ABI powinien wpisać zbiór danych do rejestru przed rozpoczęciem przetwarzania danych osobowych (zmiany w § 4 ust. 1 pkt. 1 projektu). Związane są one z dostosowaniem do brzmienia przepisów o ochronie danych osobowych.

Nowe projekty rozporządzeń wykonawczych: Rozporządzenie w sprawie zapewnienia przestrzegania przepisów ODO

W odniesieniu do poprzedniego projektu rozporządzenia w sprawie zapewnienia przestrzegania przepisów odo (projekt z dnia 18 grudnia 2014 r.) w nowym projekcie:

  • zostały zmienione definicje pojęć „sprawdzenia” i „sprawozdania” wymienione w § 2 pkt. 3 i 4 projektu rozporządzenia, zmiana ta ma charakter techniczny, eliminujący niepotrzebne elementy definicji;
  • pojęcie „sprawdzenie pozaplanowego” zostało zastąpione pojęciem „sprawdzenia doraźnego”, także zostały wyodrębnione trzy tryby sprawdzenia: planowane, doraźne i na wniosek GIODO (we wcześniejszym projekcie przewidywano tylko dwa tryby: na wniosek GIODO i dla administratora danych. W ramach tego drugiego można było wyodrębnić sprawdzenie planowane i pozaplanowane).
  • zaszły zmiany w zakresie planu sprawdzeń (§ 3 pkt. 3-8 projektu rozporządzenia), których większość ma charakter redakcyjny. Zwrócić jednak należy uwagę na nowy § 3 ust. 6, zgodnie z którym „zbiory danych oraz systemy informatyczne służące do przetwarzania danych osobowych powinny być objęte sprawdzeniem co najmniej raz na dwa lata”.
  • został usunięty obowiązek sporządzania przez ABI programu sprawdzenia (§ 4 ust. 2 starego projektu rozporządzenia), jednak ABI przed każdym sprawdzeniem musi określić sposób i zakres dokumentowania sprawdzenia niezbędny do oceny zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz do opracowania sprawozdania (§ 4 ust. 1 nowego projektu rozporządzenia);
  • zostały zmodyfikowane przepisy dotyczące zakresu czynności, jakie może w toku sprawdzenia podejmować ABI i sposobu ich dokumentowania. Zniknęła m.in. konieczność protokołowania niektórych czynności (np. ustne wyjaśnienia, czy oględziny), które to będą znajdowały się w jednej notatce, a nie odrębnym protokole. Postanowienia, iż ABI „może dokumentować” podejmowane czynności zostały zastąpione stwierdzeniem, iż ABI „dokumentuje” te czynności. Zmiana ta eliminuje potencjalną dobrowolność;
  • usunięta została możliwość wystąpienia o wydanie opinii przez osobę posiadającą wiedzę specjalistyczną (§ 4 ust. 8 starego projektu rozporządzenia), co nie oznacza, że ABI o taką opinie nie może wystąpić;
  • obowiązek zawiadomienia o zakresie sprawdzenia został przesunięty z osoby objętej sprawdzeniem na kierownika jednostki organizacyjnej objętej sprawdzeniem (§ 5 ust. 2 projektu rozporządzenia);
  • usunięty został obowiązek podpisywania sprawozdania w formie elektronicznej bezpiecznym podpisem elektronicznym lub profilem zaufanym ePUAP (§ 6 ust. 2 projektu rozporządzenia);
  • usunięty został obowiązek przechowywania dokumentów przeprowadzonego sprawdzenia przez okres 5 lat od dnia ich sporządzenia (§ 7 projektu rozporządzenia);
  • zmieniony został zakres nadzoru nad środkami technicznymi i organizacyjnymi poprzez zastąpienie słowa „skuteczności” słowami „zgodności ze stanem faktycznym” (§ 8 pkt. 4 projektu rozporządzenia);
  • ABI zyskał możliwość przeprowadzania weryfikacji dokumentacji ochrony danych osobowych na podstawie zgłoszeń osób trzecich (§ 8 ust. 3 nowego projektu rozporządzenia);
  • Usunięte zostały wszystkie przepisy przejściowe, m.in. te mówiące o wyłączeniu spełnienia wymagań w razie wdrożenia normy ISO 27001;

Zaproponowane zmiany w rozporządzeniu w sprawie zapewnienia przestrzegania przepisów o ochronie danych osobowych należy ocenić pozytywnie, bowiem projektodawca dostosował w końcu projekt rozporządzenia do wymogów wynikających z dyspozycji art. 36 ust. 9 pkt. 1 ustawy o ochronie danych osobowych. Nie oznacza to jednak, że nie ustrzegł się błędów, jakim jest m.in. fakt, że pomimo usunięcia § 7 nie zmieniono numeracji kolejnych paragrafów. Myślę, że nie jest to ostateczne treść Rozporządzenia i należy oczekiwać kolejnej.

Zgłoszenie ABI do GIODO

Zgłoszenie ABI do GIODO – warto?

ochrona danych osobowychZ początkiem roku 2015 weszły w życie ważne zmiany w ustawie o ochronie danych osobowych dotyczące m.in. instytucji administratora bezpieczeństwa informacji (ABI). Przed nowelizacją administrator danych miał obowiązek wyznaczenia ABI, chyba, że był osobą fizyczną prowadzącą działalność gospodarczą – wtedy mógł sam wykonywać jego czynności. Obecnie obowiązujące przepisy dają administratorom danych prawo wyboru – sami decydują, czy chcą powołać ABI czy nie. Czy zatem posiadanie ABI leży w interesie administratora danych?

Zmieniona ustawa nałożyła na administratorów bezpieczeństwa informacji szereg nowych obowiązków. Obecnie do zadań administratora bezpieczeństwa informacji należy:

  1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
      • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
      • nadzorowanie opracowania i aktualizowania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, oraz przestrzegania zasad w nich określonych,
      • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych
  2. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

W tym miejscu należy podkreślić, że w przypadku, gdy ABI nie zostanie powołany, wyżej wymienione obowiązki spoczywać będą na administratorze danych (z wyjątkiem sporządzania sprawozdania i prowadzenia rejestru zbiorów danych). W związku z tym posiadanie wykwalifikowanego ABI może okazać się bardzo pomocne.

Niewątpliwą korzyścią płynącą dla administratorów danych z faktu powołania ABI (jak również swoistą zachętą do jego powołania) jest brak obowiązku zgłaszania zbiorów danych osobowych do GIODO (z wyjątkiem zbiorów danych zawierających dane wrażliwe). Dzięki temu administratorzy danych, którzy powołają ABI i zgłoszą go do rejestracji GIODO nie będą musieli brać udziału jako strony w (często długotrwałym) postępowaniu przed GIODO dotyczącym rejestracji zbiorów zawierających dane zwykłe. Dotyczy to zarówno zgłaszania nowych jak i aktualizacji zbiorów już zgłoszonych.

Ponadto zgodnie z nowymi przepisami Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji o dokonanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Dla administratorów danych oznacza to, że w niektórych przypadkach będą mogli uniknąć stresu związanego z obecnością inspektorów z biura GIODO w swojej firmie – zamiast nich kontrolę przeprowadzić wtedy ABI.

Jak zauważył Włodzimierz Dola (aplikant radcowski, ekspert Auraco sp. z o.o.), w związku z tym, że ABI powinien dbać o przestrzeganie zasad ochrony danych osobowych może on podlegać odpowiedzialności karnej w przypadku wycieku danych. Zatem w wypadku gdy administrator danych nie powoła ABI, ww. odpowiedzialność może grozić np. zarządowi lub prezesowi spółki.

Kto może być administratorem bezpieczeństwa informacji ?

Zgodnie z nowymi przepisami administratorem bezpieczeństwa informacji może być osoba, która       ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, posiada odpowiednią wiedzę w zakresie ochrony danych osobowych i nie była karana za umyślne przestępstwo. Niestety nowelizacja nie objęła regulacją stanowiska GIODO, potwierdzonego wyrokiem NSA z dnia 21 lutego 2014 r. (I OSK 2445/12), zgodnie z którym

wykonywanie przez administratora danych czynności administratora bezpieczeństwa informacji możliwe jest jedynie wówczas, gdy administrator danych jest osobą fizyczną. Oczywiście mimo braku bezpośredniego przepisu, stanowisko to pozostaje aktualne.

Odnosząc się do wymogu posiadania odpowiedniej wiedzy przypomnieć należy, że GIODO nie wydaje żadnych certyfikatów potwierdzających znajomość przepisów ochrony danych osobowych. Przepisy nie mówią też nic o obowiązku posiadania konkretnego wykształcenia. Dlatego też administrator danych musi sam ocenić, czy kandydat na ABI posiada odpowiednią wiedzę. Jednak z uwagi na dużą odpowiedzialność administratorów bezpieczeństwa informacji oraz na to, że nieposiadanie odpowiedniej wiedzy może być przyczyną wydania decyzji o wykreśleniu ABI z rejestru, warto zadbać, aby osoba taka posiadała rzeczywiście wysokie kwalifikacje.

Nowa regulacja nakłada na administratorów danych obowiązek zapewnienia środków i organizacyjnej odrębność administratora bezpieczeństwa informacji niezbędnych do niezależnego wykonywania przez niego zadań. Może wiązać się to z dużymi nakładami finansowymi związanymi ze stworzeniem nowego stanowiska pracy. Warto zatem rozważyć, czy nie zlecić pełnienia funkcji ABI wyspecjalizowanej firmie zewnętrznej. Mowa tu o tzw. outsourcingu funkcji ABI. Rozwiązanie takie jest prawnie dopuszczalne. Należy jednak pamiętać, by w umowie z firmą zewnętrzna były wskazane dane konkretnej osoby fizycznej, która będzie pełniła obowiązki ABI. Outsourcing funkcji ABI może zyskiwać na popularności ze względu na to, że w wielu przypadkach okaże się rozwiązaniem tańszym niż tworzenie nowego stanowiska pracy.

Jak zgłosić powołanie ABI Generalnemu Inspektorowi Ochrony Danych Osobowych ?

Administrator danych zobowiązany jest zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania. Zgłoszenia takiego można dokonać jedynie poprzez wypełnienie formularza stanowiącego załącznik do rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. poz. 1934). Niestety obecnie istnieje jedynie możliwość dokonania zgłoszenia w sposób tradycyjny, poprzez wypełnienie papierowego formularza i wysłanie go lub złożenie osobiście w biurze GIODO. W przyszłości ma być uruchomiona możliwość przesyłania zgłoszenia ABI elektronicznie przy użyciu przy użyciu platformy ePuap. Formularz papierowy można znaleźć pod adresem http://www.giodo.gov.pl/144/id_art/8307/j/pl/.

Należy pamiętać, że zgłoszenie powołania ABI powinno zostać podpisane przez administratora danych (osoba lub osoby upoważnione zgodnie ze sposobem reprezentacji), a nie przez administratora bezpieczeństwa informacji. W przypadku, gdy w imieniu administratora danych będzie działał pełnomocnik należy pamiętać o załączeniu stosownego pełnomocnictwa wraz z dowodem uiszczenia 17 zł opłaty skarbowej (jeśli taka będzie należna).  Z uzyskanych przez nas informacji wynika, że najczęstszym uchybieniem przy zgłaszaniu powołania ABI jest, poza zgłoszeniem nie na urzędowym formularzu, podpisanie wniosku przez osoby nieupoważnione do reprezentacji administratora danych.

Ważna informacja – formularz zgłoszenia powołania ABI składamy bez załączników (z wyjątkiem wyżej opisanej sytuacji działania przez pełnomocnika). Nie należy załączać żadnych dokumentów potwierdzających oświadczenie administratora danych o spełnieniu przez ABI warunków określonych w ustawie (np. zaświadczenia o niekaralności).

Znowelizowana ustawa daje administratorowi danych prawo powołania zastępców administratora bezpieczeństwa informacji. Jednak powołania zastępców ABI nie należy zgłaszać do rejestracji GIODO, ponieważ przepisy nie przewidują takiej możliwości.