23 października 2014 roku Sejm przyjął tzw. IV ustawę deregulacyjną, która trafi teraz do Senatu i która ma wejść w życie z początkiem przyszłego roku. Ustawa wprowadza zmiany w blisko trzydziestu innych ustawach, w tym także w ustawie o ochronie danych osobowych. Na jakie nowości powinniśmy się więc przygotować? O czym warto pomyśleć już teraz?
Po pierwsze – duże zmiany dla ABI
Art. 9 ustawy o ułatwieniu wykonywania działalności gospodarczej przewiduje, że w ustawie o ochronie danych osobowych wprowadzone zostaną m.in. zmiany dotyczące funkcji administratora bezpieczeństwa informacji (ABI). Omawiana ustawa przewiduje bowiem uchylenie art. 36 ust. 3 ustawy o ochronie danych osobowych (który brzmi: Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności) oraz dodanie art. 36a-c, z których wynika, że administrator danych może powołać ABI. Nowe przepisy stawiają jednak osobie, która ma pełnić tę funkcję określone wymogi. I tak, administratorem bezpieczeństwa informacji może być osoba, która:
- ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
- posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
- nie była karana za przestępstwo popełnione z winy umyślnej.
Takie same wymogi ustawa stawia zastępcom administratora.
Ustawa reguluje również zakres zadań ABI, zakładając jednak, że administrator może ten zakres rozszerzyć. Ustawowy katalog zadań ABI obejmuje po pierwsze zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
- sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
- nadzorowanie opracowania i aktualizowania dokumentacji ochrony danych osobowych, oraz przestrzegania zasad w niej określonych,
- zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
Po drugie, ustawa przewiduje prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7. Warto zwrócić uwagę na te nowości. Po wejściu w życie ustawy deregulacyjnej, w wielu wypadkach to ADO będzie odpowiadał za prowadzenie rejestru zbiorów danych, a nie jak dotychczas – GIODO.
Aby zapewnić prawidłowe wykonywanie zadań mu powierzonych, administrator bezpieczeństwa informacji podlegać ma jedynie kierownikowi jednostki organizacyjnej albo osobie fizycznej będącej administratorem danych. Administratorowi bezpieczeństwa informacji zapewnić należy środki i organizacyjną odrębność, gwarantujące niezależne wykonywanie wyżej opisanych zadań.
Zgodnie z przewidzianymi zmianami administrator danych osobowych nie ma obowiązku wyznaczania administratora bezpieczeństwa informacji. Jednak w przypadku jego niepowołania, wszystkie obowiązki przewidziane dla ABI z wyjątkiem sporządzania sprawozdania, ADO będzie musiał wykonywać sam.
Przygotujmy się na sprawozdania
Jednym z nowych zadań administratora bezpieczeństwa informacji jest opracowywanie sprawozdania dla ADO i dla GIODO, jeśli tego zażąda. Ustawa przewiduje szczegółowy zakres sprawozdania, wskazując, że zawierać ono musi:
- oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania,
- imię i nazwisko administratora bezpieczeństwa informacji,
- wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach,
- datę rozpoczęcia i zakończenia sprawdzenia,
- określenie przedmiotu i zakresu sprawdzenia,
- opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
- stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem,
- wyszczególnienie załączników stanowiących składową część sprawozdania,
- podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania,
- datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.
Istotne zmiany dotyczące obowiązku rejestracyjnego i nie tylko!
Z punktu widzenia ochrony danych osobowych, jedną z kluczowych zmian przewidzianych w ustawie deregulacyjnej jest zwolnienie z obowiązku rejestracji zbiorów administratorów danych, którzy powołali i zgłosili Generalnemu Inspektorowi Danych Osobowych administratora bezpieczeństwa informacji. Nie dotyczy to jednak zbiorów, w których przetwarzane są dane wrażliwe.
Katalog wyłączeń obowiązku rejestracyjnego zostanie rozszerzony o zwolnienie z tego obowiązku „tradycyjnych” zbiorów danych (które nie są prowadzone z wykorzystaniem systemów informatycznych), o ile nie będą zawierały danych wrażliwych.
Ponadto, GIODO prowadzić będzie ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji, a administratorzy danych będą mieli obowiązek zgłaszania powołanych przez siebie ABI.
Wyżej opisane zmiany nie są jedynymi. Ustawa deregulacyjna przewiduje również pewne modyfikacje ułatwiające przekazywanie danych osobowych do państw trzecich oraz w zakresie kompetencji Generalnego Inspektora Ochrony Danych Osobowych. O tych zagadnieniach będziemy jeszcze pisać na naszym portalu.
Podsumowanie
Warto zaznaczyć, przewidziane zmiany wiązać się będą z koniecznością wprowadzenia nowych rozporządzeń wykonawczych do ustawy. Projekty rozporządzeń zostały opracowane już przez Biuro GIODO, a dotyczyć będą sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych, trybu i sposobu wykonywania zadań przez administratora bezpieczeństwa informacji oraz wzorów zgłoszeń powołania administratora bezpieczeństwa informacji do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych oraz odwołania administratora bezpieczeństwa informacji. Rozporządzenia mają wejść w życie w tym samym czasie, co ustawa deregulacyjna.
Będziemy oczywiście dalej śledzić proces legislacyjny i będziemy Państwa na bieżąco informować o wszelkich ważnych krokach w reformie ustawy o ochronie danych osobowych.