Ochrona danych osobowych 2015 - przeszkoda czy ułatwienie dla firm?

Ochrona danych osobowych 2015 - przeszkoda czy ułatwienie dla firm? ra2 studio - Fotolia

1 stycznia 2015 r. weszła w życie nowelizacja przepisów o ochronie danych osobowych.Najwięcej zmian dotyczy Administratora Bezpieczeństwa Informacji. Przedsiębiorcy muszą szybko przygotować się do nowych obowiązków, aby nie były zbyt kosztowne.

Biorąc pod uwagę, że nowe przepisy w dużej mierze mają na celu osiągnięcie wyższego poziomu egzekwowania obowiązków przetwarzania danych przez firmy, nieco przewrotnie stanowią część nowelizacji ustawy o ułatwieniu wykonywania działalności gospodarczej z 7 listopada 2014 r. ( tzw. czwarta ustawa deregulacyjna).

Sprawdź również nasz darmowy poradnik: Ochrona danych osobowych 2015 : przeszkoda czy ułatwienia dla firm?

Przedsiębiorcy jako administratorzy danych – muszą podjąć w krótkim czasie decyzję co do kształtu spełnienia przez nich obowiązków przewidzianych w ustawie oraz przygotować się na nie w taki sposób – aby nie były zbyt kosztowne.

ABI na świeczniku ustawodawcy

Najwięcej zmian dotyczy Administratora Bezpieczeństwa Informacji. W zbliżonym do zaproponowanego w projekcie kształcie ABI funkcjonuje już u wielu dużych przedsiębiorców, u mniejszych raczej jest to rzadkość.

Nowe przepisy zobowiążą administratora danych do wyboru jednej z dwóch możliwości tj. albo wdrożenia i samodzielnego nadzoru nad ochroną danych lubwyznaczenia Administratora Bezpieczeństwa Informacji (ABI) i zgłoszenia go do rejestru ABI prowadzonego przez GIODO. Wówczas ABI będzie odpowiedzialny za wdrożenie dokumentacji i składanie corocznych sprawozdań do GIODO.

Nowe obowiązki i uprawnienia

Rozszerzono więc zakres obowiązków, ale i uprawnienia ABI. Te obowiązki to przede wszystkim tzw. sprawdzenie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Częstotliwość oraz precyzyjną formę przeprowadzania działań sprawdzających, będzie określało rozporządzenie wykonawcze (obecnie projekt).

Zgodnie z art. 19b ust.1, z poleceniem dokonania sprawdzenia przez ABI, może zwrócić się GIODO, wskazując jego zakres i termin. Następny obowiązek to prowadzenie rejestru zbiorów danych przetwarzanych przez Administratora, z wyjątkiem tych podlegających ustawowemu zwolnieniu z rejestracji. Rejestr, który prowadzi ABI jest jawny i każdy ma prawo jego przeglądania.

Przekazywanie danych osobowych do krajów trzecich

Druga ważna zmiana związana jest z usprawnieniem przekazywania danych osobowych do krajów trzecich (spoza Europejskiego Obszaru Gospodarczego) – co obecnie w dobie globalizacji jest bardzo częste.

Przed nowelizacją nie spełnienie określonych ustawowo przesłanek wskazanych w ustawie powodowało konieczność wystąpienia do GIODO o odpowiednią zgodę. W nowelizacji potwierdzono, że odpowiednią ochronę u przedsiębiorców w kraju trzecim (importera) zapewnia wprost stosowanie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską lub wiążących reguł korporacyjnych.

W tym drugim przypadku tj. zastosowania ogólnych zasad przetwarzania danych osobowych obowiązujących w korporacji konieczne jest jednak uzyskanie akceptacji organu w jednym kraju EOG (GIODO). Przewidziana jest możliwość przeprowadzenia konsultacji z organami ochrony danych państw członkowskich Europejskiego Obszaru Gospodarczego.

ABI przejmuje obowiązki GIODO

Przedsiębiorca powołując Administratora Bezpieczeństwa Informacji zgłasza ten fakt do GIODO. Musi zgłosić również jego odwołanie. ABI mając przydzielone przez przedsiębiorcę rozszerzone kompetencje, wykonuje określone ustawą działania, dotychczas przewidziane dla GIODO, samodzielnie jak np. w wymagających tego przypadkach działania samokontrolne. W konsekwencji działania te muszą być uzupełnione sprawozdawczością stanowiąca element wewnętrznej dokumentacji. Należy jednocześnie mieć nadzieję, że te „zlecone przez GIODO” kontrole nie będą zbyt częste oraz w rozsądnych zakresach i terminach.

Kto może pełnić funkcję ABI?

W dotychczasowych przepisach nie było ścisłych wskazań dotyczących osób zajmujących stanowiska ABI u administratora. Nie przewidziano również żadnych sformalizowanych kursów przygotowawczych, egzaminów czy certyfikatów wydawanych przez GIODO. Pierwsze wytyczne dotyczące kwalifikacji osób pełniących funkcję ABI zostały wprowadzone ostatnią nowelizacją. Są one jednak na tyle ogólne, że wątpliwości co do kompetencji osób zajmujących to stanowisko będą wyjaśniane w trakcie spraw przed GIODO lub sądem.

‘’Zgodnie z art. 36a ust. 5 ustawy, Administratorem Bezpieczeństwa Informacji może być osoba, która: ma pełną zdolność do czynności prawnych oraz korzysta w pełni z praw publicznych, posiada odpowiednią wiedzę w zakresie ochrony danych osobowych, nie była karana za umyślne przestępstwo.

ABI - własny czy zewnętrzny?

Możliwy jest nadal outsourcing ABI. Wciąż istnieją dwie możliwości tj. ABI, który jest zatrudnionym pracownikiem administratora oraz outsourcing. Jak wskazuje GIODO zewnętrzny ABI może spełniać lepiej swoje funkcje ze względu na większa niezależność i obiektywizm.

Czy nowelizacja ułatwi życie przedsiębiorcom?

Na wprowadzonych zmianach dotyczących Administratora Bezpieczeństwa Informacji na pewno najbardziej skorzystają ci przedsiębiorcy, którzy powołali go już wcześniej w kształcie podobnym do zaproponowanego w projekcie. W szczególności w przypadku dużych przedsiębiorstw o mocnej pozycji ABI, będą to rozwiązania potwierdzające i wspierające ich efektywne działania w tym zakresie, jak np. możliwość samokontroli administratora będąca alternatywą w określonych przypadkach do kontroli GIODO czy np. rezygnacja wówczas (gdy jest ABI) ze zbędnego rejestrowania zbiorów danych.

Niepotrzebne koszty?

Należy mieć jednak na względzie, że związane to jest z określonymi nakładami: na funkcjonowanie ABI (zwłaszcza tam gdzie obowiązki z ustawy wypełnia sam administrator) czy w związku z obowiązkiem jawnego prowadzenia rejestru zbiorów, gdzie trzeba uwzględnić dodatkowe nakłady na np. utrzymanie strony internetowej czy zakup oprogramowania. Także w powiązaniu z jeszcze do końca określonym brzmieniem rozporządzenia unijnego – może się okazać, że poniesione koszty w tym zakresie mogą okazać się częściowo niepotrzebne (bo obowiązki zostaną inaczej ukształtowane).

Stąd też wydaje się, że te rozwiązania są mniej korzystne dla wielu mniejszych przedsiębiorstw – u których, de facto, nie funkcjonuje ABI w kształcie zbliżonym do projektowanego. Racjonalne ukształtowanie może jednak także u tych mniejszych przedsiębiorców przynieść określone korzyści.

Przegląd dotychczasowych rozwiązań

Sprawdź również nasz darmowy poradnik: Ochrona danych osobowych 2015 : przeszkoda czy ułatwienia dla firm?

Trzeba mieć także na względzie, że nie udało się środowiskom biznesowym przywrócić wyłączenia spod rygorów ustawy danych osób fizycznych ujawnionych w Centralnej Ewidencji i Informacji Działalności Gospodarczej (osób fizycznych prowadzących działalność gospodarczą). Nie zapowiada się, aby sytuacja traktowana przez niektórych przedsiębiorców od 2012 r. jako sytuacja tymczasowa – zmieniła się – dlatego przedsiębiorcy, którzy dotychczas pomijali obowiązki związane z takimi danymi – powinni je dopełnić. Przy okazji wprowadzanych i planowanych zmian wskazany jest przegląd – często przez lata nie zmienianych rozwiązań (w tym dokumentacji) ochrony danych osobowych.

CHAŁAS i Wspólnicy Kancelaria Prawna Bogdan Fischer