Zgłoszenie ABI do GIODO

Zgłoszenie ABI do GIODO – warto?

ochrona danych osobowychZ początkiem roku 2015 weszły w życie ważne zmiany w ustawie o ochronie danych osobowych dotyczące m.in. instytucji administratora bezpieczeństwa informacji (ABI). Przed nowelizacją administrator danych miał obowiązek wyznaczenia ABI, chyba, że był osobą fizyczną prowadzącą działalność gospodarczą – wtedy mógł sam wykonywać jego czynności. Obecnie obowiązujące przepisy dają administratorom danych prawo wyboru – sami decydują, czy chcą powołać ABI czy nie. Czy zatem posiadanie ABI leży w interesie administratora danych?

Zmieniona ustawa nałożyła na administratorów bezpieczeństwa informacji szereg nowych obowiązków. Obecnie do zadań administratora bezpieczeństwa informacji należy:

  1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
      • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
      • nadzorowanie opracowania i aktualizowania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, oraz przestrzegania zasad w nich określonych,
      • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych
  2. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

W tym miejscu należy podkreślić, że w przypadku, gdy ABI nie zostanie powołany, wyżej wymienione obowiązki spoczywać będą na administratorze danych (z wyjątkiem sporządzania sprawozdania i prowadzenia rejestru zbiorów danych). W związku z tym posiadanie wykwalifikowanego ABI może okazać się bardzo pomocne.

Niewątpliwą korzyścią płynącą dla administratorów danych z faktu powołania ABI (jak również swoistą zachętą do jego powołania) jest brak obowiązku zgłaszania zbiorów danych osobowych do GIODO (z wyjątkiem zbiorów danych zawierających dane wrażliwe). Dzięki temu administratorzy danych, którzy powołają ABI i zgłoszą go do rejestracji GIODO nie będą musieli brać udziału jako strony w (często długotrwałym) postępowaniu przed GIODO dotyczącym rejestracji zbiorów zawierających dane zwykłe. Dotyczy to zarówno zgłaszania nowych jak i aktualizacji zbiorów już zgłoszonych.

Ponadto zgodnie z nowymi przepisami Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji o dokonanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Dla administratorów danych oznacza to, że w niektórych przypadkach będą mogli uniknąć stresu związanego z obecnością inspektorów z biura GIODO w swojej firmie – zamiast nich kontrolę przeprowadzić wtedy ABI.

Jak zauważył Włodzimierz Dola (aplikant radcowski, ekspert Auraco sp. z o.o.), w związku z tym, że ABI powinien dbać o przestrzeganie zasad ochrony danych osobowych może on podlegać odpowiedzialności karnej w przypadku wycieku danych. Zatem w wypadku gdy administrator danych nie powoła ABI, ww. odpowiedzialność może grozić np. zarządowi lub prezesowi spółki.

Kto może być administratorem bezpieczeństwa informacji ?

Zgodnie z nowymi przepisami administratorem bezpieczeństwa informacji może być osoba, która       ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, posiada odpowiednią wiedzę w zakresie ochrony danych osobowych i nie była karana za umyślne przestępstwo. Niestety nowelizacja nie objęła regulacją stanowiska GIODO, potwierdzonego wyrokiem NSA z dnia 21 lutego 2014 r. (I OSK 2445/12), zgodnie z którym

wykonywanie przez administratora danych czynności administratora bezpieczeństwa informacji możliwe jest jedynie wówczas, gdy administrator danych jest osobą fizyczną. Oczywiście mimo braku bezpośredniego przepisu, stanowisko to pozostaje aktualne.

Odnosząc się do wymogu posiadania odpowiedniej wiedzy przypomnieć należy, że GIODO nie wydaje żadnych certyfikatów potwierdzających znajomość przepisów ochrony danych osobowych. Przepisy nie mówią też nic o obowiązku posiadania konkretnego wykształcenia. Dlatego też administrator danych musi sam ocenić, czy kandydat na ABI posiada odpowiednią wiedzę. Jednak z uwagi na dużą odpowiedzialność administratorów bezpieczeństwa informacji oraz na to, że nieposiadanie odpowiedniej wiedzy może być przyczyną wydania decyzji o wykreśleniu ABI z rejestru, warto zadbać, aby osoba taka posiadała rzeczywiście wysokie kwalifikacje.

Nowa regulacja nakłada na administratorów danych obowiązek zapewnienia środków i organizacyjnej odrębność administratora bezpieczeństwa informacji niezbędnych do niezależnego wykonywania przez niego zadań. Może wiązać się to z dużymi nakładami finansowymi związanymi ze stworzeniem nowego stanowiska pracy. Warto zatem rozważyć, czy nie zlecić pełnienia funkcji ABI wyspecjalizowanej firmie zewnętrznej. Mowa tu o tzw. outsourcingu funkcji ABI. Rozwiązanie takie jest prawnie dopuszczalne. Należy jednak pamiętać, by w umowie z firmą zewnętrzna były wskazane dane konkretnej osoby fizycznej, która będzie pełniła obowiązki ABI. Outsourcing funkcji ABI może zyskiwać na popularności ze względu na to, że w wielu przypadkach okaże się rozwiązaniem tańszym niż tworzenie nowego stanowiska pracy.

Jak zgłosić powołanie ABI Generalnemu Inspektorowi Ochrony Danych Osobowych ?

Administrator danych zobowiązany jest zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania. Zgłoszenia takiego można dokonać jedynie poprzez wypełnienie formularza stanowiącego załącznik do rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. poz. 1934). Niestety obecnie istnieje jedynie możliwość dokonania zgłoszenia w sposób tradycyjny, poprzez wypełnienie papierowego formularza i wysłanie go lub złożenie osobiście w biurze GIODO. W przyszłości ma być uruchomiona możliwość przesyłania zgłoszenia ABI elektronicznie przy użyciu przy użyciu platformy ePuap. Formularz papierowy można znaleźć pod adresem http://www.giodo.gov.pl/144/id_art/8307/j/pl/.

Należy pamiętać, że zgłoszenie powołania ABI powinno zostać podpisane przez administratora danych (osoba lub osoby upoważnione zgodnie ze sposobem reprezentacji), a nie przez administratora bezpieczeństwa informacji. W przypadku, gdy w imieniu administratora danych będzie działał pełnomocnik należy pamiętać o załączeniu stosownego pełnomocnictwa wraz z dowodem uiszczenia 17 zł opłaty skarbowej (jeśli taka będzie należna).  Z uzyskanych przez nas informacji wynika, że najczęstszym uchybieniem przy zgłaszaniu powołania ABI jest, poza zgłoszeniem nie na urzędowym formularzu, podpisanie wniosku przez osoby nieupoważnione do reprezentacji administratora danych.

Ważna informacja – formularz zgłoszenia powołania ABI składamy bez załączników (z wyjątkiem wyżej opisanej sytuacji działania przez pełnomocnika). Nie należy załączać żadnych dokumentów potwierdzających oświadczenie administratora danych o spełnieniu przez ABI warunków określonych w ustawie (np. zaświadczenia o niekaralności).

Znowelizowana ustawa daje administratorowi danych prawo powołania zastępców administratora bezpieczeństwa informacji. Jednak powołania zastępców ABI nie należy zgłaszać do rejestracji GIODO, ponieważ przepisy nie przewidują takiej możliwości.

Powołanie, odwołanie i rejestr ABI – zmiany w przepisach (część I)

Ministerstwo administracji i cyfryzacji

Minister Administracji i Cyfryzacji opracował projekty nowych rozporządzeń wykonawczych do znowelizowanej ustawy o ochronie danych osobowych. Dotyczą one wzoru zgłoszenia i odwołania Administratora Bezpieczeństwa Informacji do GIODO oraz prowadzenia przez Administratorów Bezpieczeństwa Informacji jawnych zbiorów danych osobowych. Należy w tym miejscu docenić działania Ministerstwa w obszarze ochrony danych osobowych, bowiem bardzo skutecznie prowadzi ono kampanię informacyjną w tematach związanych z ochroną danych osobowych, a w szczególności za zaangażowanie w prace i popularyzowanie wiedzy na temat rozporządzenia unijnego w sprawie ochrony danych osobowych, które zastąpić ma krajowe przepisy o ochronie danych osobowych (przynajmniej ich trzon).

My zajmiemy się w niniejszym artykule pierwszym z ww. przywołanych projektów rozporządzeń to jest Rozporządzeniem Ministra Administracji i Cyfryzacji w sprawie wzorów zgłoszeń powołania administratora bezpieczeństwa informacji do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych oraz odwołania administratora bezpieczeństwa informacji. Delegację do wydania omawianego rozporządzenia stanowi art. 46f ustawy o ochronie danych osobowych w brzmieniu od 1 stycznia 2015 r. (tutaj, dzięki uprzejmości Auraco sp. z o.o., znajdą Państwo tekst ustawy w brzmieniu od 1 stycznia 2015 r.).

Art. 46f. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia, wzory zgłoszeń administratora bezpieczeństwa informacji, o których mowa w art. 46b ust. 2 i 3, uwzględniając konieczność zapewnienia Generalnemu Inspektorowi informacji niezbędnych do prawidłowego realizowania jego zadań.

Warto zwrócić uwagę, że przepis ten w sposób wyraźny wiąże procedurę zgłaszania powołania i odwołania Administratora Bezpieczeństwa Informacji z kompetencjami GIODO. Czyli innymi słowy rejestr ten ma za zadanie pomóc GIODO wykonywać swoje obowiązki. Automatycznie pojawia się pytanie, o jakie przypadki chodzi? Poniżej kilka przykładów:

  • udzielanie przez GIODO informacji o zarejestrowanych zarejestrowanych administratorach bezpieczeństwa informacji
  • prowadzenie inspekcji i typowanie podmiotów podlegających kontroli (GIODO będzie posiadał informację, które organizacje powołały ABI, a które nie. Co prawda aktualnie GIODO też może uzyskać taką informację, np. z treści zgłaszanych do rejestracji zbiorów danych osobowych, jednak jest to dużo bardziej skomplikowane organizacyjnie)
  • zlecenia przez GIODO na rzecz ABI przeprowadzenia sprawdzenia (inspekcji) administratora danych, który wyznaczył danego ABI
  • kontrola obowiązku powołania ABI
  • kontrola spełnienia przez ABI ustawowych wymogów (m.in. pełna zdolność do czynności prawnych, odpowiednia wiedza z zakresu ochrony danych osobowych, brak karalności za przestępstwa umyślne, bezpośrednia podległość kierownikowi organizacji, który wyznaczył ABI, zapewnienie przez organizację, która wyznaczyła ABI, odpowiednich środków techniczno-organizacyjnych niezbędnych do sprawowania funkcji ABI)

Jak widać, z faktu powołania ABI, GIODO będzie mógł uzyskać wiele informacji na temat kultury organizacyjnej systemu ochrony danych osobowych.

Wracając do rozporządzenia w sprawie wzoru zgłoszenia powołania i odwołania ABI wspomnieć należy, że planowana data wejścia w życie rozporządzenia to oczywiście 1 stycznia 2015 r., a więc data wejścia w życie także nowych przepisów ustawy o ochronie danych osobowych. Wzory powołania i odwołania załączone do projektu rozporządzenia przypominają bardzo w swojej budowie wzory zgłoszeń zbiorów danych do rejestracji. Oczywiście nie są tak obszerne i skomplikowane, ale niewątpliwie osoba przygotowująca zgłoszenia zbiorów danych osobowych poczuje się swojsko zgłaszając do GIODO ABI. Tak jak w odniesieniu do zgłoszenia zbiorów danych, wzór zgłoszenia powołania ABI umożliwia również zmianę danych. Czyli druku zgłoszenia powołania będziemy używali w sytuacji gdy zgłaszamy nowego Administratora Bezpieczeństwa Informacji jak i gdy będziemy chcieli dokonać zmiany zgłoszonych wcześniej danych ABI. Wyjaśnienia wymaga sytuacja odwołania ABI. Otóż nie należy utożsamiać sytuacji odwołania ABI ze zmianą jego danych. Zmiana danych zgłoszonego ABI będzie miała miejsce wtedy, gdy nie zmieni się nam osoba, która wykonuje funkcję ABI (zmienią się jedynie jej dane osobowe lub inne elementy zgłoszenia ulegną zmianie). Zgłaszając do GIODO fakt powołania ABI, będziemy zobowiązani określić:

  1. dane administratora danych
  2. dane ABI (imię, nazwisko,nr PESEL i ewentualnie adres do korespondencji, jeżeli będzie inny niż adres administratora danych)
  3. datę powołania ABI

Dodatkowo, administrator danych powinien w treści zgłoszenia powołania ABI oświadczyć, że osoba powołana na funkcję ABI:

  1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych
  2. posiada odpowiednią wiedzę z zakresu ochrony danych osobowych
  3. nie była karana za przestępstwo popełnione z winy umyślnej
  4. podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych
  5. ma zapewnione środki i organizacyjna odrębność umożliwiające niezależne wykonywanie jego zadań

Jeżeli nie zostaną spełnione ww. wymagania, osoba określona w zgłoszeniu nie zostanie zarejestrowana w GIODO jako ABI w danej organizacji. Warto zwrócić szczególnie uwagę na wymóg nr 2, a więc posiadanie przez ABI odpowiedniej wiedzy z zakresu ochrony danych osobowych. Na tą chwilę, jedynie administrator danych będzie oświadczał (osoby reprezentujące administratora danych), że określona osoba, która ma zostać wpisana do rejestru ABI, posiada odpowiednią wiedzę z zakresu ochrony danych osobowych. Ryzyko braku spełnienia tego wymogu biorą na siebie ww. osoby. Regulacja ta miała na celu wyeliminowanie, albo raczej ograniczenie przypadków, gdy funkcja ta sprawowana jest przez przypadkowe osoby lub wyznaczona jako ABI osoba, nie ma zielonego pojęcia o ochronie danych osobowych. Gdyby wymogi te były surowo stosowane, uderzyłoby to niewątpliwie w organizacje doradcze z zakresu ochrony danych osobowych, szczególnie te rodzinne, w przypadku których kultura organizacyjna stoi na niskim poziomie. Należy jednak wskazać, że póki co nie ma szans na obiektywną weryfikację wiedzy i umiejętności ABI. Taką metodą mogłaby być certyfikacja, lub jakiegoś rodzaju egzamin państwowy na ABI.

Dane z rejestru ABI będą jawne (nr PESEL ABI nie będzie ujawniany w rejestrze), a więc każdy z nas będzie mógł sprawdzić, kto w jakiej organizacji pełni funkcję ABI (o ile administrator danych zgłosił ABI do GIODO). Dużo większą wartość miałoby ujawnianie odwołań ABI, ponieważ w ich treści administrator danych będzie określał również powód odwołania osoby z pełnienia funkcji ABI. Pozwalałoby to na weryfikację profesjonalizmu osoby, która chce pełnić tę funkcję. Informacje te jednak nie będą udostępnianie przez GIODO publicznie.

W kolejnej części omówię drugie rozporządzenie do ustawy o ochronie danych osobowych, a mianowicie dot. jawnego rejestru zbiorów danych, który od 1 stycznia 2015 r. powinien być prowadzony przez administratorów danych (Administratorów Bezpieczeństwa Informacji).