Dnia 7 listopada 2014 do podpisu Prezydenta została przekazana ustawa o ułatwieniu wykonywania działalności gospodarczej, która wejdzie w życie od 1 stycznia 2015 roku. Nowelizacja nakłada na firmy i jednostki organizacyjne nowe obowiązki w zakresie ochrony danych osobowych.
Na nowe przepisy można patrzeć z dwóch stron – w zależności od przyjętego wariantu postępowania w konkretnym przypadku dla konkretnego podmiotu może to być albo zniesienie obowiązku zgłaszania zbioru do GIODO, albo zniesienie obowiązku wyznaczenia ABI. Firmy i jednostki organizacyjne będą musiały wybrać albo pełnienie funkcji nadzorcy ochrony danych przez administratora danych (właściciela, Zarząd, Dyrekcję) z wdrożeniem dokumentacji i rejestracją zbiorów do GIODO, albo wyznaczenie ABI z jego zgłoszeniem go do rejestru GIODO, który będzie czuwał nad dokumentacją i zbiorami wewnątrz podmiotu.
Nowelizacja znosi w aktualny dziś obowiązek wyznaczania ABI (którego w myśl starych przepisów nie muszą wyznaczać jedynie „jednoosobowi administratorzy danych”, czyli tacy, którzy osobiście mogą pełnić funkcję ABI np. w przypadku jednoosobowej działalności gospodarczej). W przypadku np. spółki z ograniczoną odpowiedzialnością, przetwarzającej np. dane osobowe klientów w myśl starych przepisów zarząd miał obowiązek wyznaczenia ABI oraz zgłoszenia zbioru do GIODO (chyba że jest zwolniony z obowiązku zgłaszania na podstawie art. 43 ust. 1 uodo). W myśl nowych przepisów będzie miał jedynie obowiązek zgłoszenia zbioru do GIODO, chyba że wyznaczy ABI, zgłosi go do rejestru ABI prowadzonego przez GIODO oraz będzie zapewniał ABI możliwość realizacji swoich czynności.
Nowe przepisy utrzymują obowiązek prowadzenia dokumentacji przetwarzania danych (Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemem Informatycznym itd.).
Nie jest do końca zrozumiałe, dlaczego ustawodawca praktycznie zrezygnował z wprowadzenia dłuższego okresu vacatio legis (przy nowej ustawie o prawach konsumenta było to 6 miesięcy) – wprowadzenie tak kompleksowych zmian w tak krótkim czasie może skutkować powstaniem chaosu po stronie podmiotów podlegających nowym przepisom.
Warto jednak zastanowić się nad wyborem wariantu odpowiedniego w przypadku określonego podmiotu – rejestracja zbioru danych w GIODO, w przypadku gdy funkcję związane z ochroną danych będzie osobiście sprawował administrator danych (kierownik jednostki organizacyjnej), będzie generowała znacznie mniej biurokratycznych obowiązków niż wyznaczenie ABI wpisanego do rejestru.
Zmiany od 1 stycznia 2015 będą polegały w szczególności na:
- Zniesieniu obowiązku wyznaczania ABI, jeśli funkcję tą będzie osobiście sprawował Administrator Danych (kierownik jednostki organizacyjnej np., prezes zarządu, dyrektor placówki)
- Zniesieniu obowiązku zgłaszania zbiorów danych dla tych administratorów danych, którzy wyznaczą i zarejestrują ABI w GIODO oraz dla tych, którzy przetwarzają zbiory danych osobowych wyłącznie w formie papierowej (chyba że przetwarzają „dane wrażliwe”).
- Prowadzeniu przez GIODO rejestru ABI.
- Prowadzeniu przez ABI jawnych rejestrów zbiorów danych osobowych swoich administratorów danych, które nie są zwolnione z obowiązku zgłaszania do GIODO na podstawie art. 43 ust. 1 ustawy o ochronie danych osobowych
Jaki wariant spowoduje mniej obowiązków do spełnienia?
Paradoksalnie – największym „ułatwieniem” będzie możliwość pozwalająca na uniknięcie „dobrodziejstw” płynących z nowelizacji, czyli nie wyznaczanie ABI i zgłaszanie przetwarzanych zbiorów danych zwykłym trybem – eliminuje to takie obowiązki jak:
Zgłaszanie powoływania i odwoływania ABI do GIODO.
- Obowiązek realizacji przez ABI szczegółowych raportów co może być biurokratyczną przeszkodą w funkcjonowaniu firmy. (ABI musiałby wykazywać w sprawozdaniu do GIODO najdrobniejsze uchybienia)
- Obowiązek prowadzenia wewnętrznego jawnego rejestru przetwarzanych zbiorów danych osobowych.
- W samej dokumentacji wewnętrznej (Polityka Bezpieczeństwa itd.) nie przewidziano zmian. Dla zbiorów, które już zostały zgłoszone do GIODO na ten moment nic się nie zmienia.
Jak zatem optymalnie spełnić obowiązki?
Po pierwsze wdrożyć dokumentację ochrony danych osobowych
Przede wszystkim każda firma lub jednostka organizacyjna bezwzględnie musi posiadać dokumentację przetwarzania danych osobowych, zgodną z rozporządzeniem do art. 39a ustawy, w tym szczególnie dokument polityki bezpieczeństwa, instrukcje zarządzania systemem informatycznym, wykazy ewidencyjne czy umowy powierzenia przetwarzania danych osobowych.
Brak dokumentacji może łączyć się z karami od 10.000 do 50.000 zł za każde uchybienie w związku z niewykonaniem decyzji administracyjnych. W celu spełnienia niniejszego elementu warto skorzystać z kompletnej dokumentacji przetwarzania danych RBDO >>
Po drugie wybór: Rejestracja zbiorów do GIODO lub wyznaczenie ABI i jego imienne zgłoszenie do rejestru ABI
Jeśli podmiot wdrożył już dokumentację, na spełnienie reszty obowiązków od 1 stycznia 2015 będzie mógł wybrać, albo zgłoszenie zbiorów danych podlegających pod rejestrację do GIODO (np. zbiory Klientów, newslettery, rejestry korespondencji, monitoring) albo wyznaczyć Administratora Bezpieczeństwa Informacji.
W przypadku rejestracji zbiorów danych do GIODO, można skorzystać z z dokumentacji przetwarzania danych osobowych z instrukcją zgłoszenia zbioru do GIODO i wsparciem prawnym.
Jeśli firma zdecyduje się na wyznaczenia ABI, – wówczas rekomendujemy usługę kompleksowego wdrożenia ze szkoleniem ABI z 12 miesięcznym wsparciem prawnym >
Co zmiany oznaczają w praktyce?
Warto podkreślić, że zgłoszenie ABI do GIODO, oznacza brak konieczności rejestracji zbiorów do GIODO. Administrator danych (kierownik jednostki organizacyjnej), który wyznaczy ABI nie będzie miał obowiązku, aby zgłaszać zbiory do rejestracji w GIODO. Jednak ABI będzie miał obowiązek prowadzenia jawnego rejestru zbiorów danych wg ustalonego w rozporządzeniu wzoru.
Zniesienie obowiązku rejestracji zbiorów danych jak dotychczas do GIODO, w związku ze zgłoszeniem Administratora Bezpieczeństwa informacji nie będzie dotyczyć zbiorów danych tzw. wrażliwych (określonych w art. 27 uodo, czyli np. stan zdrowia, nałogi, poglądy polityczne itp.), chyba że wynika to z brzmienia art. 43 ust. 1
Podmiot ma zatem wybór – albo wyznacza Administratora Bezpieczeństwa Informacji albo zgłasza zbiory danych do GIODO.
ABI natomiast będzie zobowiązany do spełnienia w szczególności:
- prowadzenie rejestru zbiorów danych osobowych przetwarzanych w firmie według wzoru określonego przez rozporządzenie.
- dokonywanie sprawdzenia (audytu) zgodności przetwarzania danych osobowych na żądanie GIODO
- opracowanie sprawozdania z tego audytu dla Administratora Danych
- nadzorowanie i obsługa incydentów, naruszeń bezpieczeństwa danych osobowych i prowadzenie odpowiedniej dokumentacji w tym zakresie
- tworzenie i aktualizowanie dokumentacji ochrony danych osobowych, nowelizacja nie przewiduje zmian
Powołany ABI będzie miał obowiązek raportowania do GIODO wszelkich uchybień
Ustawa zatem przede wszystkim wprowadza rozszerzenie kompetencji GIODO m. in. do prowadzenia rejestru Administratorów Bezpieczeństwa Informacji (ABI). To nie wszystko, GIODO, będzie miał możliwość zwrócenia się do ABI w celu zlecenie kontroli zastępczej w imieniu GIODO wskazując zakres i termin takiej kontroli.
W rzeczywistości zatem ABI będzie organem kontrolnym w przypadku wszelkich incydentów związanych z ochroną danych.
Dotychczas kontroli dokonywał wyłącznie GIODO lub w zakresie pracowników PIP (który jedynie zgłaszał te uchybienia do GIODO). Nowe przepisy zobowiązuję do przeprowadzenie kontroli wewnętrznego ABI, który następnie będzie miał obowiązek wysłać wyniki kontroli do GIODO. Nie zmienia to faktu, że GIODO dalej będzie miał możliwość bezpośredniej kontroli administratora danych poprzez wysłanie inspekcji.