Projekt rozporządzenia w sprawie realizacji zadań przez ABI

Jeszcze rok temu wydawać by się mogło, że w przepisach o ochronie danych osobowych nie będzie żadnej rewolucji. Przestały się pojawiać informacje prasowe na temat rozporządzenia unijnego (pisaliśmy o nim np. tutaj) w sprawie ochrony danych osobowych, nad którym dyskusja aktualnie prowadzona jest w Radzie ministrów sprawiedliwości UE (JHA). Równocześnie, nie działo się wiele na naszym krajowym podwórku legislacyjnym. To się jednak zmieniło. W ostatnich dniach nie tylko weszła w życie nowelizacja ustawy o ochronie danych osobowych, ale opublikowano także rozporządzenie w sprawie powoływania i odwoływania ABI, a intensywne prace trwają nad kolejnymi dwoma rozporządzeniami, tj. w sprawie prowadzenia przez ABI jawnego rejestru zbiorów danych osobowych (projekt dostępny jest tutaj) oraz w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych (projekt dostępny jest tutaj).

O pierwszym z nich pisaliśmy już wcześniej, chciałbym jednak korzystając z okazji przekazać aktualne informacji na temat postępu prac. Można już pomału spekulować jaki będzie efekt prowadzonych przez ministerstwo konsultacji i zdradzę od razu, że nie są to informacje napawające optymizmem. Swojego uwagi do projektu rozporządzenia przesłali między innymi Kancelaria Prezydenta, MEN, MSW, RCL, IAB, MF, GIODO, mikrobit, NSA, PIIT, PIU, PTI, Konfederacja Lewiatan, Pracodawcy RP. Analiza charakteru zgłoszonych uwag potwierdza niestety moją wcześniejszą diagnozę, iż rozporządzenie nie jest proste w interpretacj,i a jego wejście w życie w obecnym kształcie przyprawi przedsiębiorcom, ale i Administratorom Bezpieczeństwa Informacji, bólu głowy. Liczby mówią same za siebie. Z 45 zgłoszonych uwag, gdzie większość z nich była w mojej ocenie jeśli nie oczywiście zasadna, to co najmniej słusznie poddająca w wątpliwość zastosowane przez ministerstwo rozwiązanie, uwzględnionych zostało jedynie 4. Będziemy dalej monitorować sytuację oraz zajmiemy się analizą samego projektu.

Teraz wracając do głównego tematu, a więc drugiego z wspomnianych we wstępie projektów rozporządzeń. Rozporządzenie w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych ma trochę moim zdaniem nieprecyzyjną nazwę. Sugeruje ona bowiem, że omawiane rozporządzenie dotyczy realizacji (wszystkich) zadań (obowiązków) wynikających z ustawy o ochronie danych osobowych, podczas gdy dotyczy ono jedynie ściśle określonych zadań związanych z prowadzeniem audytu (plan prowadzenia audytu, sposób prowadzenia audytu, sposób przygotowania sprawozdania). Zawiera ono dodatkowo kilka zaskakujących rozwiązań, które mogą zmienić w praktyce w znaczny sposób tryb działania ABI w organizacji.

Podstawą do wydania rozporządzenia jest art. 36a ustawy o ochronie danych osobowych (wprowadzony do ustawy w dniu 1 stycznia 2015 r.). Jego 9 ustęp stanowi, że:

9. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia:
1) tryb i sposób realizacji zadań, o których mowa w ust. 2 pkt 1 lit. a i b,
2) sposób prowadzenia rejestru zbiorów danych, o którym mowa w ust. 2 pkt 2
– uwzględniając konieczność zapewnienia prawidłowości realizacji zadań administratora bezpieczeństwa informacji oraz niezależności i organizacyjnej odrębności w wykonywaniu przez niego zadań.

Omawianego rozporządzenia dotyczy pkt 1. Z kolei ust. 2 pkt 1 stanowi, że:

2. Do zadań administratora bezpieczeństwa informacji należy:
1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

Zatem granice regulacji rozporządzenia wyznacza kwestia sprawdzenia zgodności przetwarzania danych osobowych z przepisami (audyt) oraz nadzorowanie opracowania i aktualizowania dokumentacji (dokumentacja). Dla porządku nadmienię tylko, że przez dokumentację rozumiemy politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Projekt rozporządzenia zawiera dwie nowe definicje:

sprawdzenie – należy przez to rozumieć czynności mające na celu zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, w szczególności w wyniku zwrócenia się o dokonanie sprawdzenia przez Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej „Generalnym Inspektorem”

sprawozdanie – należy przez to rozumieć dokument zawierający elementy określone w art. 36c ustawy, opracowany przez administratora bezpieczeństwa informacji po dokonaniu sprawdzenia, którego celem jest zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Obydwie z ww. definicji dotyczą audytu. Tutaj jest pierwsza zasadnicza nowość. O ile do chwili wejścia w życie omawianego rozporządzenia prowadzenie audytu z zakresu ochrony danych osobowych było dobrą praktyką, można było je wyprowadzić z ogólnych zasad dotyczących ochrony danych osobowych, o tyle nigdzie nie mogliśmy znaleźć wytycznych jak audyt zorganizować i prowadzić. Był to jeden z problemów, który stał na przeszkodzie prawidłowemu stosowaniu przepisów o ochronie danych osobowych. Każdy chyba się zgodzi, że aby „chronić” dane osobowe niezbędne jest prowadzenie kontroli stanu przestrzegania przepisów o ochronie danych osobowych. Pytanie jak to robić prowadziło już niestety do wielu nieporozumień. W rynku spotkać można organizacje, które kwestie związane z ochroną danych osobowych (a więc i audyt) traktują po macoszemu, w ogóle go nie prowadząc, albo prowadząc go w bardzo uproszczony i powierzchowny sposób. Być może uregulowanie ww. kwestii w przepisach pomoże ujednolicić i podnieść poziom kontroli w obszarze ochrony danych osobowych.

Poniżej zamieszczam wybrane przeze mnie najważniejsze zmiany / nowości przewidziane / potwierdzone przez projekt rozporządzenia w sprawie realizacji zadań przez ABI:

  1. Rozróżnienie kontroli prowadzonej na wniosek GIODO oraz kontroli prowadzonej bez takiego wniosku.
  2. Rozróżnienie kontroli planowej i nieplanowej (w przypadku nieprzewidzianym w planie sprawdzeń, w sytuacji powzięcia przez administratora bezpieczeństwa informacji o naruszeniu
    ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia).
  3. Wprowadzenie planu sprawdzeń (planu kontroli).
  4. Określenie zakresu audytu (weryfikacja stosowania art. 23-27, 31-35, 36-39, 41, 47-48.
  5. Wprowadzenie programu sprawdzenia (programu kontroli).
  6. Określenie sposoby prowadzenia sprawdzenia (kontroli), tj. sporządzenia notatek, protokołu odebrania ustnych wyjaśnień, protokołu oględzin, odebrania kopii dokumentu, wydruku, obrazu, zapisów.
  7. Wprowadzenie obowiązku udzielania wyjaśnień na rzecz ABI przez kontrolowaną osobę.
  8. Określenie terminów prowadzenia sprawozdań.
  9. Obowiązek pouczania lub instruowania przez ABI osób nieprzestrzegające zasad określonych w dokumentacji przetwarzania danych osobowych o prawidłowym sposobie ich realizacji lub
    zawiadamianie administratora danych ze wskazaniem osób odpowiedzialnych za naruszenie tych zasad oraz jego zakresie.

Na koniec zostawiłem jeszcze kwestię przepisów przejściowych. Otóż zgodnie z nimi wymagania dotyczące sprawdzeń oraz nadzoru nad dokumentacją przetwarzania danych określone w rozporządzeniu uważa się za spełnione, jeżeli administrator danych wdrożył system zarządzania bezpieczeństwem informacji z uwzględnieniem Polskiej Normy PN-ISO/IEC 27001, pod warunkiem, ze system ten obejmuje ochronę danych osobowych, a osobą wykonującą czynności w nim określone jest administrator bezpieczeństwa informacji. Oznacza to, że jeżeli organizacja wdrożyła ww. normę bez wyłączenia dot. ochrony danych osobowych a czynności wykonuje ABI, wtedy uznaje się, że wymogi z rozporządzenia zostały spełnione. Takie podejście, mimo że korzystne dla wielu osób posiadających ww. certyfikat, uznać należy za błędne. Fakt wdrożenia ISO 27001 w żaden sposób nie przekłada się na kwestie prawne związane z ochroną danych osobowych, jak choćby legalność podstaw przetwarzania danych osobowych. Oczywiście zazwyczaj oznacza to, że poziom techniczno-organizacyjny ochrony stoi na wysokim poziomie, jednak przeniesienie takiego wniosku automatycznie na kwestie prawne budzić może sprzeciw. Należy jednak zwrócić uwagę, że rozporządzenie ogranicza ww. wyjątek stwierdzając, że osobą wykonującą SZBI będzie formalnie wyznaczony ABI.

Po drugie, w przypadku administratorów danych będących podmiotami publicznymi w rozumieniu ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, którzy wprowadzili audyt wewnętrzny w zakresie bezpieczeństwa informacji, o którym mowa w przepisach wydanych na podstawie art. 18 tej ustawy, sprawdzenie oraz nadzór na dokumentacją przetwarzania danych, mogą być wykonywane w ramach tego audytu, pod warunkiem, że wykonującym jest administrator bezpieczeństwa informacji. Czyli ww. podmioty nie będą musiały prowadzić drugiego audytu związanego z ochroną danych osobowych, wystarczy że wprowadzą audyt wewnętrzny w zakresie bezpieczeństwa informacji.