Zapoznaj się z naszą ofertą

GIODO i dane osobowe po zmianach, czyli o co chodzi z tym ABI-m w pytaniach i odpowiedziach

W ostatnim czasie pojawiło się dużo szumu informacyjnego związanego ze zmianami w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.  Pojawiło się wiele pytań o los Administratora Bezpieczeństwa Informacji. Niektórzy wprost twierdzili, że do 30 czerwca 2015 roku należy zgłosić ABI do Generalnego Inspektora Ochrony Danych Osobowych. Należy zapytać – a po 30 czerwca już nie będzie można?

Cały szum spowodował więcej pytań i odpowiedzi, dlatego też postanowiliśmy to wszystko rzetelnie zebrać w jednym miejscu tak aby Sprzedawcy wiedzieli, o co w tym wszystkim chodzi.

ABI, ADO. Kto to?

Zacznijmy od wytłumaczenia podstawowych pojęć.

ADO

ADO to skrót od Administratora Danych Osobowych. Choć ustawa posługuje się jedynie pojęciem administratora danych, skrót ADO jest powszechnie używany w praktyce ochrony danych osobowych.

Ustawa o ochronie danych osobowych za administratora danych uznaje organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 tejże ustawy, decydujące o celach i środkach przetwarzania danych osobowych.

Administratorem danych mogą być zarówno podmioty publiczne, np. organy państwowe, np. Prezydent oraz organy administracji rządowej, organy samorządu terytorialnego, jak również (bardziej nas interesujące) podmioty prywatne, np. osoby fizyczne, inne osoby prawne (np. kapitałowe spółki prawa handlowego, stowarzyszenia, spółdzielnie, fundacje).

Należy pamiętać, że podmioty prywatne objęte są obowiązkami płynącymi z omawianej ustawy, jeżeli przetwarzają dane osobowe w związku z prowadzoną działalnością zarobkową, zawodową lub dla realizacji celów statutowych. ADO będzie jest więc, np. Urząd Pracy dla danych osób bezrobotnych zarejestrowanych w powiatowym urzędzie pracy,  a także sama spółka jawna, a nie wspólnicy spółki jawnej (wyrok WSA z dn.10.07.2006 r. II SA/Wa 955/06), spółka z ograniczoną odpowiedzialnością, a nie członek zarządu tek spółki (wyrok NSA z dnia 30.01.2002 r.  II SA 1098/01), czy Leszek Nowak prowadzący działalność gospodarczą pod firmą PHU Leszek Nowak.

ABI

ABI to Administrator Bezpieczeństwa Informacji. W odróżnieniu od pojęcia Administratora Danych Osobowych, ustawa o ochronie danych osobowych wprost posługuje się pojęciem administratora bezpieczeństwa informacji.

ABI może zostać tylko osoba fizyczna (zgodnie ze stanowiskiem wyrażonym przez Naczelny Sąd Administracyjny w wyroku z dnia 21 lutego 2014 r. (I OSK 2445/12) administratorem bezpieczeństwa informacji może być wyłącznie osoba fizyczna, gdyż: (…) administrator danych osobowych będący osobą prawną ze swej istoty nie może korzystać z komentowanej instytucji i samodzielnie wykonywać obowiązków administratora bezpieczeństwa informacji), która 1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, 2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych, 3) nie była karana za umyślne przestępstwo.

W nauce prawa wskazuje się na możliwość żądania od kandydata na ABI dostarczenia zaświadczenia o niekaralności z Krajowego Rejestru Karnego. W przepisach ustawy brak jest jednak po stronie GIODO kompetencji do samodzielnego występowania do Krajowego Rejestru Karnego z żądaniem przekazania takich informacji dotyczących ABI.(Paweł Barta, dr Paweł Litwiński, Ustawa o ochronie danych osobowych. Komentarz, 2015).

Czy powołanie ABI jest obowiązkowe?

Pamiętać trzeba, że powołanie ABI jest uprawnieniem, a nie obowiązkiem ADO (art. 36a ust. 1 wprost stwierdza, że administrator danych może powołać administratora bezpieczeństwa informacji.) W legislacji, czyli w sztuce pisania aktów prawnych powszechnie uznaje się, że wyraz może wyznacza uprawnienie, a nie obowiązek. Gdyby przepis ten miałby nakazać powołania ABI, to mógłby brzmieć, np. ADO powołuje API.

Niezależność, organizacyjna odrębność, odpowiednie środki ???

Ważne jest, że ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych, np. wspominanemu wyżej Leszkowi Nowakowi.

Ustawa nakłada na ADO obowiązek zapewnienia środków i organizacyjnej odrębności administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań. Niestety, ustawa nie określa ani konkretnych środków, ani konkretnego stopnia organizacyjnej odrębności.

Zgodnie z stanowiskiem doktryny przez zapewnienie środków i organizacyjnej odrębności ma polegać na dostarczeniu odpowiednich środków technicznych (sprzętowych) ), ale także na nadaniu odpowiednich kompetencji i – w konsekwencji – umieszczenia w odpowiedniej pozycji w strukturze organizacyjnej, które będą się w szczególności sprowadzały się do umożliwienia wydawania poleceń dotyczących przestrzegania zasad określonych w dokumentacji (art. 36a ust. 2 pkt 1 lit. b OchrDanOsU), jak również kontrolowania działalności administratora danych pod kątem zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (art. 36a ust. 2 pkt 1 lit. a OchrDanOsU), prowadzenia szkoleń dotyczących przepisów o ochronie danych osobowych (art. 36a ust. 2 pkt 1 lit. c OchrDanOsU) oraz prowadzenia rejestru zbiorów danych (art. 36a ust. 2 pkt 2 OchrDanOsU).( Paweł Barta, dr Paweł Litwiński, Ibidem). Poprzez niezależność działań ABI ci sami Autorzy uważają, że działania ABI nie mogą być uzależnione od działań innych osób ani też środków będących w ich dyspozycji, które mogłyby w efekcie uniemożliwiać ich wykonanie.

Wcześniej jednak omówimy krótko poniżej obowiązki obu tych podmiotów.

Jakie obowiązki ma ADO – Administrator danych osobowych

Zgodnie z art. 38 omawianej ustawy administrator danych jest zobowiązany stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. W szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Ustawa nakazuje ponadto ADO prowadzić dokumentację opisującą sposób przetwarzania danych oraz ww. środki.

Ważne!!! W tym zakresie odpowiada zawsze ADO, nawet gdy powołał ABI.

Jakie obowiązki ma ABI – Administrator bezpieczeństwa informacji

Dodany art. 9 pkt 4 ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U.2014.1662) art. 36a ust. 2 ustawy o ochronie danych osobowych zobowiązuje ABI-ego do

  1. zapewniania przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
    1. sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
    2. nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
    3. zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
  2. Prowadzenie w sposób jawny rejestru zbiorów danych przetwarzanych przez ADO, z wyjątkiem zbiorów danych wrażliwych zawierającego nazwę zbioru oraz podstawowe informacje o zbiorze danych.

Należy pamiętać, że ADO może powierzyć ABI wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań ustawowych. Przykładami takich obowiązków są, np. kontrola systemów teleinformatycznych stosowanych przez ADO z przepisami  ustawy o ochronie danych osobowych, czy wydawanie w imieniu ADO upoważnień do przetwarzania danych osobowych.

Czy powołanie ABI należy zgłosić GIODO?

ADO decydując się na powołanie ABI-ego musi pamiętać, że jest zobowiązany zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania.  Z strony Ministerstwa Administracji i Cyfryzacji można pobrać gotowe wzór (http://mac.bip.gov.pl/fobjects/download/23112/zalacznik-do-rozporzadzenia-pdf.html).

Na żądanie ADO,  GIODO wyda zaświadczenie o zarejestrowaniu ABI.

Czy po zgłoszeniu ABI należy zgłaszać zbiory danych do Generalnego Inspektora?

Wszystko zależy od rodzaju przetwarzanych danych.

W przypadku  zbiorów danych osobowych nie zawierających tzw. danych  sensytywnych (wskazanych w art. 27 ust. 1 u.o.d.o.), np. pochodzenie rasowe lub etniczne,  poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, to nie istnieje obowiązek ich zgłaszania do GIODO, jeśli administrator danych powołał ABI i zgłosił go do GIODO. Zgodnie z art. 36a ust. 2 pkt 2 omawianej ustawy obowiązek prowadzenia jawnego rejestru takich zbiorów danych przechodzi wówczas na ABI.

W przypadku zbiorów zawierających wrażliwe dane osobowe, nadal istnieje obowiązek zgłoszenia takich zbiorów danych do rejestracji GIODO przed rozpoczęciem przetwarzania.

Co daje ABI?

ABI ma na celu nadzorować sposób przetwarzania danych osobowych. Działa zarówno na rzecz ADO, jak i Generalnego Inspektora Ochrony Danych Osobowych. Sprawdzenie jest przeprowadzane bądź w trybie sprawdzenia planowego – według planu sprawdzeń, bądź sprawdzenia doraźnego – w przypadku nieprzewidzianym w planie sprawdzeń, w sytuacji powzięcia przez administratora bezpieczeństwa informacji wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia (por. rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U.2015.745). ABI ma stale monitorować procesy przetwarzania danych.

Ponadto ABI jest takim wewnętrznym kontrolerem GIODO, ponieważ na mocy art. 19b ustawy o ochronie danych osobowych GIODO może zwrócić się do ABI o dokonanie sprawdzenia  zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, które ADO przedstawia GIODO. Więcej informacji o tym znajduje się tutaj. Jednakże kontrola ABI na zlecenie GIODO nie wyłącza prawa GIODO do przeprowadzenie kontroli w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych.

A co było tyle zamieszania?

Wspominaliśmy, że niektórzy wprost twierdzili, że do 30 czerwca 2015 roku należy zgłosić ABI do Generalnego Inspektora Ochrony Danych Osobowych. Otóż, teraz też można zgłosić ABI.

Magiczna data 30 czerwca 2015 roku dotyczyła ABI, którzy byli już powołani przed styczniem 2015 r. ADO jeżeli chciał, aby powołany na ABI nadal pełnił tę funkcję musiał o zgłosić go do GIODO. Jeżeli tego nie uczynił ABI od 1 lipca 2015 roku przestawał być ABI, a jego zadania przejął ADO. Nic nie stoi na przeszkodzie, aby ADO powołał ABI już na nowych zasadach.

Podsumowanie. Czy warto powołać ABI-ego?

Jak widać, czasami niepełna, niesprawdzona informacja może wyrządzić więcej szkody niż pożytku.

Po nowelizacji ADO musi sobie zadać pytanie, czy opłaca mu się powołać ABI. ADO decydując się na powołanie ABI musi brać pod uwagę, np. wielkość firmy (czy jest na tyle rozbudowana, że konieczne jest utworzenie kolejnego etatu dla ABI, ewentualnie przyjęcie ABI na umowę zlecenie), wspominane wyżej koszty zatrudnienia, zlecenia ABI. ADO pamiętać powinien, że jeżeli nie zgłosi ABI, to sam wypełnia jego obowiązki.

ADO może się skusić na opisaną powyżej możliwość zlecenia ABI kontroli przez GIODO, co skutkować może mniejszą ilością kontroli przez pracowników GIODO. A także rodzi nadzieję, że zatrudniony ABI przychylniej spojrzy na przetwarzanie danych w firmie. Tu widzimy właśnie słabość tej nowelizacji. ADO musi pamiętać, że powołując ABI musi mu zapewnić środki i organizacyjną odrębność niezbędne do niezależnego wykonywania przez niego zadań.

Nie znamy jeszcze statystyk o liczbie kontroli zleconych ABI przez GIODO. Podkreślmy raz jeszcze, że kontrola ABI na zlecenie GIODO nie wyłącza prawa GIODO do przeprowadzenie kontroli w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych.

A czy Ty zgłosiłeś już zbiory do GIODO?

Jeśli jeszcze tego nie zrobiłeś, warto o to zadbać, ponieważ jak już wiesz, jest to Twój obowiązek – zwłaszcza, jeśli prowadzisz sklep internetowy. W nagrodę za to, że dotrwałeś do końca tego obszernego wpisu, możemy to zrobić za Ciebie z dodatkowym upustem. Zachęcamy do wykorzystania 10% zniżki na kompleksową dokumentację GIODO dla sklepu internetowego przygotowaną przez prawników z portalu Prokonsumencki.pl. Aby ją otrzymać, skontaktuj się z nami w wygodny dla Ciebie sposób i podaj kod rabatowy – GIODO10, a przydzielimy Ci 10% rabatu na zgłoszenie zbiorów do GIODO i kompleksową dokumentację w tym zakresie.

Masz pytania? Chętnie odpowiemy – skontaktuj się z nami na kontakt@prokonsumencki.pl

 

Pisząc niniejszy artykuł autor korzystał z Paweł Barta, dr Paweł Litwiński, Ustawa o ochronie danych osobowych. Komentarz, 2015, a także z materiałów pokonferencyjnych Ochrona danych osobowych autorstwa mec. Agnieszka Goźlińska, mec. dr Justyna Kurek dostępnych pod adresem: http://webcaster.pl/media/pliki/parp_odo_ca%C5%82osc_30_06_2015.pdf

 





GIODO i dane osobowe po zmianach, czyli o co chodzi z tym ABI-m w pytaniach i odpowiedziach
2 votes, 5.00 avg. rating (98% score)

Wyślij komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Czy zamierzasz otworzyć sklep internetowy albo już sprzedajesz online?

Zapisz się teraz na newsletter prawny

otrzymasz za darmo poradniki i porady prawne!

Będziesz na bieżąco ze zmianami prawa doty. sprzedaży internetowej i zabezpieczysz lepiej interesy swojej firmy.

Przeczytaj poprzedni wpis:
Paragon może ułatwić złożenie reklamacji – wnioski po decyzji zobowiązującej UOKiK wobec Auchan

W sobotę 4 lipca mijają dwa miesiące od ciekawej z punktu widzenia zarówno sprzedawców, jak i konsumentów decyzji Prezesa Ochrony...

Zamknij