Nowe regulacje
1 stycznia 2015 r. na mocy art. 9 ustawy z dnia 7 listopada 2014 r. o ułatwianiu wykonywania działalności gospodarczej (Dz.U.2014.1662) weszła w życie zmiana ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2014.1182) (dalej UODO). Zmiany dotyczą przede wszystkim rozszerzenia uprawnień i obowiązków znanej już instytucji – czyli Administratora Bezpieczeństwa Informacji (ABI).
Rejestracja ABI
Do momentu zmiany UODO ustanawianie ABI przez Administratora Danych Osobowych (ADO) (czyli w praktyce przez przedsiębiorcę) było konieczne, jednak zakres jego działalności był dość ograniczony. W teorii ABI miał za zadanie nadzorowanie przestrzegania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. W praktyce wymóg jego ustanowienia traktowany był przez przedsiębiorców jako pozbawiona większego sensu formalność. Poza tym w przypadkach, gdy sam przedsiębiorca był jednocześnie ADO i wykonywał czynności nadzorcze (zatem głównie w przypadkach prowadzenia jednoosobowej działalności gospodarczej), obowiązek powoływania ABI całkowicie odpadał.
Obecnie, na mocy wprowadzonych zmian, zgodnie z art. 36a UODO wyznaczenie ABI jest fakultatywne i nie ma obowiązku jego ustanawiania. Jednakże z jego powołaniem wiążą się dla przedsiębiorcy istotne korzyści. Przedsiębiorca chcąc ustanowić ABI (w przypadku spółek prawa handlowego podmiotem odpowiedzialnym będzie najczęściej zarząd) musi dokonać jego rejestracji w rejestrze prowadzonym przez Generalnego Inspektora Danych Osobowych. Rejestr jest jawny i dostępny pod adresem: https://egiodo.giodo.gov.pl/index.dhtml
Z dokonaniem rejestracji ABI wiąże się brak obowiązku zgłaszania zbioru danych osobowych do rejestru prowadzonego przez GIODO, wówczas zdecydowana większość obowiązków związanych z ochroną danych osobowych zostaje przeniesiona z ADO na ABI.
Nowe obowiązki ABI
Obowiązki ABI wskazane zostały w art. 36a UODO należą do nich m.in.:
- zapewnianie przestrzegania przepisów o ochronie danych osobowych (w szczególności poprzez sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych; nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych; zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych),
- prowadzenie rejestru zbiorów danych przetwarzanych przez ADO, zawierającego nazwę zbioru oraz m.in. takie informacje jak oznaczenie ADO, adresu jego siedziby, celu przetwarzania danych, sposób zbierania oraz udostępniania danych, informacje o odbiorcach, którym dane mogą być przekazywane.
Oprócz wskazanych powyżej obowiązków, ABI mogą zostać powierzone inne zadania, jeżeli nie naruszy to prawidłowego sprawowania jego podstawowej funkcji. Obowiązki ABI są zatem rozbudowane i z pewnością wymagają dużej wiedzy na temat danych osobowych, ich ochrony i możliwości przetwarzania.
Konsekwencje braku ustanowienia ABI
W przypadku, gdy ADO nie powoła ABI obowiązki wymienione powyżej będzie musiał wykonywać samodzielnie (art. 36b UODO), z wyłączaniem obowiązku sporządzania sprawozdania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Ponadto, w takim wypadku ADO będzie zmuszony dokonywać rejestracji zbioru danych osobowych, bowiem co do zasady tylko powołanie ABI zwalnia go z tego obowiązku, (zgodnie z art. 43 ust. 1a UODO). W praktyce zatem, w przypadku prowadzenia jednoosobowej działalności gospodarczej obowiązki będą obciążały samego przedsiębiorcę, natomiast w przypadku, gdy przedsiębiorcą jest np. spółka z ograniczoną odpowiedzialnością obowiązek będzie obarczał zarząd.
Konsekwencje braku zgłoszenia zbioru danych wynikają z art. 53 UODO („Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.”). Przewidziane sankcje karne będą zatem, zgodnie z orzecznictwem i poglądami doktryny wymierzane osobom zarządzającym określonym podmiotem (J. Barta, Ochrona danych osobowych. Komentarz, wyd. V, Lex 2011). Zatem, co do zasady w przypadku spółek handlowych odpowiedzialność ponosić będą członkowie zarządu.
Wymagania stawiane ABI
W związku z szerokim zakresem obowiązków ABI oraz skomplikowaną materią, jaką jest ochrona danych osobowych istotnym zagadnieniem jest pytanie kto może sprawować funkcję ABI? Art. 36a ust. 5 UODO wskazuje, że ABI może być osoba, która:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
3) nie była karana za umyślne przestępstwo.
O ile, przesłanki nr 1 i 3 mogą zostać odpowiednio wykazane, o tyle spełnienie przesłanki nr 2, czyli posiadanie odpowiedniej wiedzy z zakresu ochrony danych osobowych jest sprawą ocenną. Nowelizacja nie wprowadziła obowiązku poświadczania posiadanej wiedzy (przez jakiekolwiek certyfikaty, poświadczenia ukończenia szkoleń itp.). Wobec, czego ocena stopnia biegłości posiadanej przez ABI wiedzy w dziedzinie ochrony danych osobowych zostało pozostawione ADO (dla którego nawet samo sprawdzenie wiedzy potencjalnego ABI może być problematyczne). W konsekwencji, przedsiębiorca kierując się własnym interesem i chęcią uniknięcia kar związanych z niewłaściwym przetwarzaniem danych osobowych, powinien rozważyć czy nie powierzyć wykonywania funkcji ABI wyspecjalizowanym podmiot zewnętrznym, które coraz częściej pojawiają się na rynku.