Ochrona danych osobowych - wydanie styczeń 2015 r. - ebook
Ochrona danych osobowych - wydanie styczeń 2015 r. - ebook
Czwarty numer miesięcznika „Ochrona danych osobowych” został w całości poświęcony tematyce związanej z nowelizacją ustawy o ochronie danych osobowych. Zespół wybitnych specjalistów z Kancelarii Prawnej Traple Konarski Podrecki przygotował szerokie omówienie wszystkich zmian związanych z ochroną danych osobowych, jakie weszły w życie 1 stycznia 2015 r. W numerze poruszamy m.in. takie kwestie jak nowe zasady przekazywania danych osobowych do państw trzecich czy poszerzenie zakresu odpowiedzialności Administratora Bezpieczeństwa Informacji. Piszemy także o tym, jakie warunki należy spełnić, aby uzyskać zwolnienie z obowiązku zgłoszenia zbiorów danych osobowych do rejestracji u Generalnego Inspektora Ochrony Danych Osobowych. Wyjaśniamy, jak interpretować wymóg posiadania przez Administratora Bezpieczeństwa Informacji odpowiedniej wiedzy z zakresu ochrony danych. Analizujemy także, w jaki sposób przyczyna odwołania ABI może wpłynąć na sytuację prawną Administratora Danych Osobowych.
Spis treści
Nowelizacja ustawy o ochronie danych osobowych
Organizacja ochrony danych osobowych po nowelizacji
Xawery Konarski
Rejestracja ABI w GIODO - pytania o „trzecią drogę”
Damian Karwala
Rejestracja zbiorów danych osobowych po nowelizacji
dr Jan Byrski
Administrator danych może realizować zadania ABI
Michał Bienias
Rola ABI w okresie przejściowym (do 30 czerwca 2015 r.)
Michał Bienias
Przyczyna odwołania ABI a sytuacja prawna ADO
Paweł Tobiczyk
Odpowiednia wiedza z ochrony danych – nowy wymóg
Paweł Tobiczyk
Odpowiedzialność ABI po nowelizacji ustawy
Michał Bienias
Nowe zasady przekazywania danych do państw trzecich
Damian Karwala
Kategoria: | Inne |
Zabezpieczenie: |
Watermark
|
Rozmiar pliku: | 680 KB |
FRAGMENT KSIĄŻKI
Xawery Konarski
adwokat, starszy wspólnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Informatyki i Telekomunikacji, Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska
Nowelizacja ustawy o ochronie danych osobowych ustanawia nowe zasady organizacji ochrony danych osobowych. Zgodnie z nimi administrator danych może wybrać, czy zadania te chce wykonywać samodzielnie, czy też przy pomocy Administratora Bezpieczeństwa Informacji. W tym drugim przypadku w ustawie wprowadzono dodatkowe, korzystne rozwiązania dla administratorów danych.
Nowe zasady organizacji ochrony danych
Z konstrukcyjnego punktu widzenia organizacja ochrony danych osobowych przez administratorów danych może być realizowana w dwóch, równoważnych modelach:
1. samodzielnie przez administratora danych (ADO) albo
2. z udziałem Administratora Bezpieczeństwa Informacji (ABI), powołanego przez administratora danych.
Należy podkreślić, że wybór jednego z powyższych modeli nie ma znaczenia z punktu widzenia zakresu ochrony danych osobowych, do której zobowiązany jest ADO.
W obu modelach administratorzy danych są zobowiązani do podjęcia działań tego samego rodzaju, np. w zakresie doboru środków technicznych i organizacyjnych zabezpieczenia danych.
Z drugiej strony w dyrektywie nr 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych1 uprzywilejowano model z udziałem ABI-ego.
W art. 18 ust. 2 dyrektywy określony jest on jako „urzędnik do spraw ochrony danych osobowych„ (data protection official).
W myśl regulacji unijnej, administratorzy danych, którzy w ramach swoich struktur stworzą tego rodzaju funkcję, mogą liczyć na zwolnienie z obowiązku zgłaszania przetwarzania danych do rejestracji w organie ds. ochrony danych osobowych.
Jest to wyraz – preferowanej na poziomie unijnym – idei zapewnienia nie tylko kontroli instytucjonalnej w zakresie ochrony danych, sprawowanej przez powołany do tego organ (w Polsce – Generalnego Inspektora Ochrony Danych Osobowych, GIODO), ale także kontroli funkcjonalnej, realizowanej w ramach struktury wewnętrznej administratora danych2.
Przyjmuje się, że kontrola tego rodzaju jest efektywniej organizowana w sytuacji powołania specjalnej struktury u administratora danych.
Funkcjonowanie ABI przed nowelizacją
W dotychczasowym stanie prawnym funkcjonowanie ABI było regulowane jednym przepisem, tj. art. 36 ust. 3 ustawy o ochronie danych osobowych3. Zgodnie z nim „administrator wyznacza Administratora Bezpieczeństwa Informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności”.
Z treści tego przepisu Generalny Inspektor wywodził obowiązek wyznaczania ABI przez tych administratorów danych, którzy działają jako osoby prawne (np. spółki).
Stanowisko to zostało potwierdzone w orzecznictwie sądów administracyjnych4. Obowiązku takiego nie mieli natomiast ci administratorzy danych, którzy byli osobami fizycznymi (np. przedsiębiorcy prowadzący jednoosobową działalność gospodarczą).
W ich przypadku możliwe było więc osobiste sprawowanie nadzoru nad danymi osobowymi, bez konieczności wyznaczania ABI.
Korzyści z powołania Administratora Bezpieczeństwa Informacji to uproszczona kontrola i uproszczona rejestracja
Nowelizacja uodo wprowadza istotną zmianę w powyższym zakresie. Przepis art. 36a ust. 1 znowelizowanej uodo stanowi bowiem, że „administrator danych może powołać Administratora Bezpieczeństwa Informacji”.
Równocześnie w art. 36b wyraźnie wskazano, że w przypadku niepowołania Administratora Bezpieczeństwa Informacji zadania w zakresie zapewnienia przestrzegania przepisów o ochronie danych osobowych wykonuje administrator danych.
W świetle powyższych przepisów należy uznać, że po 1 stycznia 2015 r. każdy administrator danych (a więc również osoby prawne) będzie mógł wybrać bądź model osobistego sprawowania nadzoru nad ochroną danych osobowych, bądź też utworzyć powołaną do tego specjalną strukturę, w skład której wchodzą ABI i – ewentualnie – jego zastępcy (art. 36a ust. 6).
Dalsze uwagi poświęcone zostaną modelowi, w którym administrator danych powołuje Administratora Bezpieczeństwa Informacji.
Związane jest z nim bowiem ustanowienie dodatkowych korzyści w ustawie, jest on również – patrząc na treść projektu rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych – docelowym sposobem dla dużej grupy administratorów danych.
Korzyści płynące z powołania ABI
Fakultatywność obowiązku powołania ABI każe zadać pytanie, czy i jakie są ewentualne korzyści dla administratora danych związane z jego ustanowieniem. Analiza przepisów znowelizowanej uodo pozwala w związku z tym na wskazanie dwóch podstawowych zachęt. Należą do nich w szczególności tzw. uproszczona kontrola oraz uproszczona rejestracja.
Do uproszczonej kontroli odnosi się art. 19b ust. 1 znowelizowanej uodo.
Zgodnie z tym przepisem Generalny Inspektor może zwrócić się do Administratora Bezpieczeństwa Informacji wpisanego do rejestru o dokonanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Sprawdzenie to wykonywane jest u administratora danych, który powołał ABI-ego, a jego zakres i termin określa Generalny Inspektor.
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| - uwaga |
| |
| Istotą kontroli uproszczonej jest to, że nie ma ona charakteru kontroli „zewnętrznej” wykonywanej przez pracowników GIODO, ale kontroli „wewnętrznej” realizowanej przez osobę powołaną przez administratora danych. Niewątpliwie jest to rozwiązanie korzystne dla ADO. |
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
Uproszczona rejestracja jest z kolei regulowana przepisem art. 43a) ust. 1a znowelizowanej uodo.
Zgodnie z nim powołanie ABI i zgłoszenie go Generalnemu Inspektorowi do rejestracji skutkuje brakiem konieczności zgłaszania przez administratora danych do rejestracji zbiorów zwykłych, a więc zbiorów niezawierających danych wrażliwych, których katalog określony jest w art. 27 ustawy o ochronie danych osobowych.
Oprócz wyraźnie wskazanych w ustawie korzyści dotyczących powołania ABI-ego wymienić należy dalsze jeszcze zalety przyjęcia takiego modelu.
W pierwszej kolejności należy wskazać na ograniczenie ryzyka ponoszenia odpowiedzialności karnej za nieprzestrzeganie przepisów o ochronie danych osobowych przez osoby sprawujące w imieniu Administratora Danych Osobowych nadzór nad ochroną danych (np. członkowie zarządu).
Po drugie, ustanowienie Administratora Bezpieczeństwa Informacji – w stosunku do części administratorów danych – przewidziane jest w projekcie rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (tzw. ogólne rozporządzenie o ochronie danych).
Powołanie Administratora Bezpieczeństwa Informacji na podstawie znowelizowanych przepisów uodo stanowić więc będzie dla tych podmiotów element przygotowania danej organizacji do spełnienia wymogów prawnych, które pojawią się w przyszłości.
Po trzecie, nie do przeceniania jest tzw. aspekt wizerunkowy. Podmioty, które posiadają sprofesjonalizowaną strukturę ochrony informacji, powszechnie traktowane są jako lepiej dbające o należyte zabezpieczenie danych osobowych.
Darmowy fragment