ochrona danych osobowych 2015 przeszkoda czy ułatwienie dla firm
TRANSCRIPT
Publikacja przygotowana przez Nowoczesną Firmę SA
OCHRONA DANYCH OSOBOWYCH 2015 przeszkoda czy ułatwienie
dla firm?
2
Od początku roku obowiązują nowe przepisy o ochronie danych osobowych. Zmiany dotyczą przede wszystkim funkcji Administratora Bezpieczeństwa Informacji. Czy ułatwią one życie przedsiębiorców czy przysporzą im tylko niepotrzebnych kosztów?
Nowelizacja ustawy o ochronie danych
osobowych w dużej mierze ma na celu osiągnięcie
wyższego poziomu egzekwowania obowiązków
przetwarzania danych przez firmy, przez co
nieco przewrotnie stanowi część nowelizacji
ustawy o ułatwieniu wykonywania działalności
gospodarczej z 7 listopada 2014 r.
Przedsiębiorcy, będący administratorami danych,
mają mało czasu na podjęcie decyzji odnośnie
sposobu spełnienia nowych obowiązków
wynikających z nowelizacji i na przygotowanie
się do zmian, tak aby nie przysporzyły im
niepotrzebnych kosztów.
3
ABI PRZEJMUJE FUNKCJĘ GIODO
Nowe przepisy dotyczą przede wszystkim funkcji
Administratora Bezpieczeństwa Informacji.
– W zbliżonym do zaproponowanego w projekcie
kształcie ABI funkcjonuje już u wielu dużych
przedsiębiorców, u mniejszych raczej jest to
rzadkość – wskazuje dr Bogdan Fischer, radca
prawny i partner Kancelarii Prawnej Chałas
i Wspólnicy, który brał udział w pracach
legislacyjnych przy nowelizacji ustawy o ochronie
danych osobowych.
Po zmianach przedsiębiorca będzie miał do
wyboru jedną z dwóch możliwości:
– Nowe przepisy zobowiążą administratora danych
do wdrożenia i samodzielnego nadzoru nad
ochroną danych lub wyznaczenia ABI i zgłoszenia
go do rejestru ABI prowadzonego przez GIODO.
Wówczas ABI będzie odpowiedzialny za wdrożenie
dokumentacji i składanie corocznych sprawozdań
do GIODO – tłumaczy dr Bogdan Fischer.
4
TEORETYCZNIE UŁATWIENIE, PRAKTYCZNIE PRESJA
Wyznaczenie i zarejestrowanie ABI, zwalnia
przedsiębiorcę z dotychczasowej konieczności
zgłaszania baz danych do GIODO, pod warunkiem,
że zbiór nie zawiera danych wrażliwych, co w teorii
ma ułatwić życie przedsiębiorcom. W praktyce
jednak jeśli ABI nie zostanie wyznaczony to na
mocy nowego przepisu ustawy – art. 36b, jego
obowiązki przejdą na administratora danych
osobowych, więc na reprezentację spółki bądź
podmiotu administracji publicznej.
– Taka konstrukcja przepisu zapewne nie jest
przypadkowa i ma stwarzać presję na prezesów
i dyrektorów, aby ABI był wyznaczany. To
jasny komunikat dla zarządów i dyrektorów:
„w porządku, wyznaczać ABI już nie musicie,
ale jeśli tego nie zrobicie, to sami za wszystko
odpowiadacie. Wybór należy do was”. A wybór dla
większości prezesów, zajętych innymi sprawami,
będzie dość prosty – mówi Przemysław Zegarek,
partner zarządzający Lex Artist.
5
PRZEDE WSZYSTKIM KONTROLA
Nowym obowiązkiem ABI wynikającym
z nowelizacji ustawy jest przede wszystkim,
wspomniane już wcześniej, sprawdzenie
zgodności przetwarzania danych osobowych
z przepisami o ochronie danych osobowych.
Częstotliwość oraz formę kontroli określało będzie
rozporządzenie wykonawcze, które jest aktualnie
w fazie projektowej.
– Tutaj jest najwięcej niewiadomych. Wciąż brak
jeszcze finalnej wersji rozporządzenia, które
określi, jak takie audyty będą miały wyglądać oraz
jak często będą realizowane. Nie do końca jest
także jasne czy sprawozdania z takich audytów
będą miały każdorazowo trafiać do GIODO, czy
też będą inspektorom udostępniane jedynie na
żądanie – tłumaczy Przemysław Zegarek.
Jak wynika z art. 19b ust. 1 GIODO może zwrócić
się z poleceniem wykonania kontroli przez ABI,
wskazując jego zakres i termin.
6
REJESTR ZBIORÓW DANYCH SPADA NA ABI
Kolejnym obowiązkiem ABI od nowego roku
jest także prowadzenie zbiorów danych
przetwarzanych przez administratora. Wyjątkiem
są bazy podlegające ustawowemu zwolnieniu
z rejestracji. Rejestr prowadzony przez ABI jest
jawy, w związku z czym każdy ma prawo do jego
przeglądania.
– W wewnętrznym rejestrze zbiorów danych
osobowych mają być uwzględnione wszystkie
zbiory z wyłączeniem zbiorów zwolnionych
z obowiązku rejestracji na podstawie art. 43 ust.
1 ustawy. Oznacza to, iż w rejestrze nie powinny
być ujawnione m.in. zbiory danych osobowych
przetwarzane w związku z zatrudnieniem, zbiory
danych osobowych przetwarzanych wyłącznie
w celu wystawienia faktury, rachunku, bądź w celu
prowadzenia sprawozdawczości finansowej –
wymienia Małgorzata Głuszek-Stopczyk, wspólnik
kancelarii Stopczyk & Mikulski Kancelaria Radców
Prawnych.
Jak dodaje ekspertka, szczegółowy tryb związany
z prowadzeniem zbioru danych zostanie
określony w Rozporządzeniu Ministra Cyfryzacji
i Informatyzacji w sprawie sposobu prowadzenia
przez administratora bezpieczeństwa informacji
rejestru zbiorów danych osobowych.
7
OCHRONA DANYCH W KRAJU IMPORTERA
Druga ważna zmiana wprowadzona przez
nowelizację ma na celu usprawnienie
przekazywania danych osobowych do krajów
spoza Europejskiego Obszaru Gospodarczego.
– Przed nowelizacją nie spełnienie określonych
przesłanek wskazanych w ustawie powodowało
konieczność wystąpienia do GIODO o odpowiednią
zgodę. W nowelizacji potwierdzono, że
odpowiednią ochronę u przedsiębiorców
w kraju trzecim (importera) zapewnia wprost
stosowanie standardowych klauzul umownych
zatwierdzonych przez Komisję Europejską
lub Wiążących reguł korporacyjnych (BCR) –
komentuje dr Bogdan Fischer.
Dodaje także, że w przypadku zastosowania
ogólnych zasad przetwarzania danych osobowych
obowiązujących w korporacji (wiążących reguł)
konieczne jest dodatkowo uzyskanie akceptacji
organu w jednym kraju EOG (GIODO). Przewidziana
jest możliwość przeprowadzenia konsultacji
z organami ochrony danych państw członkowskich
Europejskiego Obszaru Gospodarczego.
8
KTO MOŻE PEŁNIĆ FUNKCJĘ ABI?
Przed wprowadzeniem w życie nowelizacji ustawy
o ochronie danych osobowych nie było wskazań
odnośnie osób, które mogą zajmować stanowisko
ABI u administratora. Nowe przepisy wprowadzają
pierwsze wytyczne w tej kwestii.
Zgodnie z art. 36a ust. 5 ustawy, Administratorem
Bezpieczeństwa Informacji może być osoba,
która: ma pełną zdolność do czynności prawnych
oraz korzysta w pełni z praw publicznych,
posiada odpowiednią wiedzę w zakresie ochrony
danych osobowych i nie była karana za umyślne
przestępstwo.
Prawnicy zgodnie oceniają, że ustawodawca
pozostaje w tej kwestii mocno lakoniczny.
– Co oznacza „odpowiednia wiedza
w zakresie ochrony danych osobowych” –
trudno jednoznacznie stwierdzić. Przepis odsyła
do racjonalnej, zdroworozsądkowej oceny. Na
korzyść tak elastycznych przepisów przemawia
to, że nie ma konieczności zdawania specjalnych
testów czy egzaminów, co z pewnością przekładać
się będzie na finalny koszt pełnienia funkcji ABI –
podkreśla Przemysław Zegarek.
Dr Bogdan Fischer uważa natomiast, że wytyczne
są na tyle ogólne, że wątpliwości co do kompetencji
osób zajmujących to stanowisko będą ewentualnie
wyjaśniane w trakcie spraw przed GIODO lub
sądem. Jednocześnie trzeba podkreślić, że jak
dotąd nie stwarzało to jakichkolwiek problemów,
więc i po nowelizacji nie powinno.
9
OUTSOURCING – MOŻLIWY CZY NIE?
Przed nowelizacją outsourcing funkcji ABI był
akceptowany przez GIODO. Obecnie kwestię tę
reguluje art. 36a ust. 7 ustawy, który zakłada,
że administrator bezpieczeństwa danych
podlega bezpośrednio kierownikowi jednostki
organizacyjnej lub osobie fizycznej będącej
administratorem danych.
Przepisz ten jest w różny sposób interpretowany
przez ekspertów prawa ds. ochrony danych
osobowych.
Dr Bogdan Fischer jest zdania, że outsourcing ABI
jest nadal możliwy.
– Wciąż istnieją dwie możliwości tj. ABI, który jest
zatrudnionym pracownikiem administratora oraz
outsourcing. Jak wskazuje GIODO zewnętrzny ABI
może spełniać lepiej swoje funkcje ze względu na
większa niezależność i obiektywizm – mówi radca
prawny.
Taką samą opinię wyraził także Przemysław
Zegarek. Jak dodaje:
– Do tej pory GIODO wielokrotnie wypowiadał się
pozytywnie o outsourcingu funkcji ABI. Co więcej,
w niektórych krajach UE, zakazane jest pełnienie
funkcji ABI przez pracownika administratora
danych.
Inaczej uważa Małgorzata Głuszek-Stopczyk. Jej
zdaniem wykładnia literalna art. 36a ust. 7 ustawy
w praktyce wyłącza możliwość outsourcingu
funkcji ABI.
10
CZY NOWELIZACJA UŁATWI ŻYCIE PRZEDSIĘBIORCOM?
Ocena nowelizacji jest aktualnie trudna, ponieważ
wciąż nie ma wszystkich rozporządzeń, które mają
zdefiniować nową rolę ABI w organizacji.
– Z jednej strony zmiany dodadzą nowe
obowiązki: audyty kontrolne i prowadzenie
jawnych rejestrów zbiorów. Z drugiej strony każdy
ABI, który solidnie podchodzi do wykonywanych
przez siebie obowiązków i tak takie audyty
prowadzi. Prowadzi również rejestry zbiorów
danych osobowych. Tyle, że teraz te rejestry staną
się jawne – ocenia Przemysław Zegarek.
Dodaje również, że dzięki nowej procedurze
GIODO będzie mógł objąć kontrolami znacznie
większą ilość podmiotów i realizować kontrole
dopiero wtedy, kiedy będzie miał pewność, że
dana organizacja znacząco narusza obowiązujące
przepisy.
Zmiany mają pokreślić rolę ABI. Stwarzają także
możliwość samokontroli administratora, która
jest w określonych przypadkach alternatywą do
kontroli GIODO czy np. rezygnację wówczas ze
zbędnego rejestrowania zbiorów danych. Będzie
to korzystne głównie dla dużych przedsiębiorstw,
które powołali ABI już wcześniej w kształcie
podobnym do zaproponowanego w projekcie,
w związku z czym nie będą musieli ponosić
dodatkowych nakładów na jego funkcjonowanie
oraz na prowadzenie jawnego rejestru zbiorów
np. utrzymanie strony internetowej czy zakup
oprogramowania.
– Wydaje się, że te rozwiązania są mniej korzystne
(zwłaszcza ze względu na koszty) dla wielu
mniejszych przedsiębiorstw, u których, de facto,
nie funkcjonuje ABI w kształcie zbliżonym do
projektowanego. Racjonalne uksztaltowanie może
jednak także u tych mniejszych przedsiębiorców
przynieść określone korzyści – ocenia dr Bogdan
Fischer.
Grażyna Stefańska
Nowoczesna Firma SA
AUTOR OPRACOWANIA
redaktor portalu Nf.pl. Od początku kariery związana
z mediami biznesowymi. Jej teksty publikowane były
m.in. w “Gazecie Finansowej”, “Home&Market”, a także
na portalu PolishProperty.eu. Absolwentka Wydziału
Dziennikarstwa i Nauk Politycznych Uniwersytetu
Warszawskiego.
Nowoczesna Firma to platforma promocji i sprzedaży
usług wspierających prowadzenie biznesu. Świadczy
usługi marketingowe w relacjach B2B wykorzystując
strategie inbound i outbound marketingu. Nowoczesna
Firma SA jest właścicielem portalu wiedzy dla biznesu
nf.pl oraz specjalistycznych serwisów poradnikowych,
z których treści korzysta średnio 1,4 mln użytkowników
miesięcznie.
Organizuje blisko 100 wydarzeń biznesowych
rocznie, wydaje raporty branżowe, realizuje akcje
content marketingowe, prowadzi projekty badawcze.
Dociera do menedżerów i specjalistów w dużych
i średnich przedsiębiorstwach oraz właścicieli firm
(4 mln profili menedżerskich). Inspiruje ich do rozwoju
i profesjonalizacji działań.
Nowoczesna Firma SAul. Puławska 465,
02-844 Warszawa
Tel.: 22-314-14-00, Fax: 22-314-14-10
www.nf.pl