Zwolnienie administratora danych z obowiązku zgłaszania zbioru danych osobowych do rejestracji GIODO w przypadku powołania administratora bezpieczeństwa informacji
Nowelizacja ustawy o ochronie danych osobowych, umożliwi wdrożenie jednego z dwóch alternatywnych modeli wewnętrznego przestrzegania przepisów o ochronie danych osobowych w organizacji:
- z powołanym administratorem bezpieczeństwa informacji (ABI),
- bez powołanego administratora bezpieczeństwa informacji.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Stanie się to możliwe, dzięki uchyleniu obecnie obowiązującego art. 36 ust. 3 ustawy i dodaniu przepisów wprowadzających możliwość powołania administratora bezpieczeństwa informacji, regulujących jego podstawowe zadania (obowiązek zapewnienia przestrzegania przepisów o ochronie danych osobowych oraz prowadzenia jawnego rejestru zbiorów danych przetwarzanych w jednostce organizacyjnej), warunki jego powołania (pełna zdolność do czynności prawnych oraz korzystanie z pełni praw publicznych, legitymowanie się odpowiednią wiedzą z zakresu przepisów o ochronie danych osobowych, niekaralność za przestępstwo popełnione z winy umyślnej), możliwość powołania jego zastępcy oraz usytuowanie organizacyjne w jednostce administratora danych (bezpośrednia podległość kierownikowi jednostki organizacyjnej).
Nowelizacja ustawy (art. 36 b) ustanawia dla administratora danych, w przypadku niepowołania administratora bezpieczeństwa informacji, obowiązek wykonywania jego zadań. Podkreślić należy, że w świetle obowiązujących przepisów realizacja nałożonych na administratora danych obowiązków wymaga podjęcia takich samych działań jakie wymagane są od administratora bezpieczeństwa informacji. Trudno bowiem przyjąć, że administrator danych prawidłowo będzie przetwarzał dane, jeżeli podległe mu osoby je przetwarzające nie będą zapoznane z przepisami o ochronie danych osobowych, nie będzie on miał kontroli nad procesami przetwarzania danych, a także nad działaniami mającymi na celu wdrożenie i aktualizowanie dokumentacji. Tym samym przedmiotowa regulacja stanowi jedynie niezbędne dostosowanie do zmienionych przepisów, a niepowołanie administratora bezpieczeństwa informacji nie będzie generowało dodatkowych obciążeń dla administratora danych.
Wykonywanie obowiązku zgłaszania do rejestracji GIODO zbiorów danych, a następnie aktualizowanie zawartych w nich informacji, stanowi znaczne obciążenie administracyjne dla administratorów danych, w tym przedsiębiorców.
Przepisy rozdziału 6. ustawy o ochronie danych osobowych dotyczące obowiązku rejestracji zbiorów danych stanowią implementację przepisów dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych, zamieszczonych w rozdziale II sekcji IX zatytułowanej „Zawiadomienie”. Dyrektywa w tej części reguluje instytucję tzw. „notyfikacji”, tj. nałożonego na administratora danych obowiązku powiadamiania organu nadzorczego o zamierzonych operacjach przetwarzania danych osobowych. Na gruncie wspomnianej dyrektywy niedopuszczalne jest zrezygnowanie przez państwo członkowskie z obowiązku notyfikacji, ale możliwe jest jej uproszczenie bądź zwolnienie z ww. wymogu w zakresie wyznaczonym dyrektywą. Obowiązek powiadamiania wprowadza art. 18 ust. 1 dyrektywy, natomiast art. 18 ust. 2 określa przypadki, w których administrator danych może być zwolniony z tego obowiązku.
W szczególności przepis ten dopuszcza, aby państwa członkowskie uprościły obowiązek notyfikacyjny lub z niego zwolniły, jeżeli administrator danych wyznaczy inspektora ds. ochrony danych osobowych (data protection official), spełniającego dwa warunki: zapewnienie w sposób niezależny przestrzegania krajowych przepisów o ochronie danych osobowych (opartych na dyrektywie 95/46/WE) oraz prowadzenie rejestru operacji związanych z przetwarzaniem danych dokonywanych przez administratora danych, zawierającego takie same elementy jak rejestr ogólnokrajowy prowadzony przez państwowy organ ds. ochrony danych osobowych (tzw. uproszczona rejestracja). Jest to jedyne przewidziane w dyrektywie zwolnienie o charakterze kompleksowym. Inne zwolnienia dotyczą określonych kategorii danych (art. 18 ust. 4) lub też zależą od kryteriów wpływu na prawa i wolności podmiotu danych (art. 18 ust. 2 tiret pierwsze) czy dostępności danych osobowych (art. 18 ust. 3). Jednakże polski ustawodawca nie skorzystał dotychczas z możliwości uregulowania instytucji inspektora ds. ochrony danych osobowych. Przewidziany w polskiej ustawie administrator bezpieczeństwa informacji nie spełnia warunków uznania go za inspektora ds. ochrony danych osobowych w rozumieniu dyrektywy. Ustawa nie gwarantuje mu bowiem niezależności, zbyt wąsko określa jego zadania w odniesieniu do uregulowań dyrektywy w tym zakresie, jak również nie przyznaje kompetencji w zakresie uproszczonej rejestracji. Aktualnie w ustawie o ochronie danych osobowych znajduje się tylko jeden przepis dotyczący ABI (art. 36 ust. 3).
Inspektor Ochrony Danych.
Czas na praktyczne umiejętności!
Nowelizacja zakłada zatem kompleksowe zwolnienie z obowiązku rejestracyjnego administratora danych, który powołał i zgłosił administratora bezpieczeństwa informacji do GIODO (biuro będzie prowadziło kolejny rejestr) oraz jednoczesną zmianę przepisów odnoszących się do zadań i usytuowania organizacyjnego ABI w jednostce administratora danych. Zwolnienie z obowiązku rejestracyjnego nie dotyczy jednakże zbiorów zawierających dane osobowe wrażliwe (art. 27 ust. 1), ponieważ w ramach rejestracji uregulowanej w polskiej ustawie wykonywany jest obowiązek kontroli wstępnej (prior checking) przetwarzania tych danych, tj. operacji, które mogą stwarzać zagrożenie praw i wolności podmiotu danych (art. 20 dyrektywy 95/46/WE).
Ze względu na powyższe wymogi prawa unijnego w zakresie dopuszczalności kompleksowego zwolnienia administratorów danych z obowiązku rejestracji zbiorów wprowadza się nowe przepisy dotyczące statusu i zadań ABI, które zapewnią zachowanie standardów wyznaczonych dyrektywą 95/46/WE, tj.: niezależność w wykonywaniu zadań, obowiązek zapewnienia stosowania w jednostce organizacyjnej przepisów o ochronie danych osobowych, w szczególności przez przyznanie kompetencji do kontroli wewnętrznej w zakresie przestrzegania przepisów o ochronie danych osobowych, a także prowadzenie wewnętrznego rejestru zbiorów danych.
Jednocześnie, w ramach proponowanych rozwiązań, określony zostaje status ABI, na który składają się wymogi stawiane osobie mającej pełnić tę funkcję, organizacyjne usytuowania funkcji oraz dopuszczenie nałożenia na ABI innych zadań niż określonych w ustawie o ochronie danych osobowych. Nowelizacja przyjmuje, że ABI może wykonywać inne nałożone na niego zadania, które nie naruszają jego obowiązków dotyczących ochrony danych osobowych.
Należy przy tym podkreślić, iż projektowana zmiana celowo unika regulowania kwestii zmierzających w kierunku tworzenia nowej grupy zawodowej. Jednocześnie zmiany dopuszczają outsourcing zadań administratora bezpieczeństwa informacji. Dopuszczono także możliwość powołania zastępców administratora bezpieczeństwa informacji, co ma znaczenie szczególnie w sytuacjach, gdy ABI przejściowo nie może realizować swoich zadań.
Niezależnie od zwolnienia z obowiązku rejestracyjnego, proponuje się wprowadzenie zwolnienia w odniesieniu do zbiorów danych, które nie są prowadzone w systemie informatycznym, z wyjątkiem zbiorów zawierających dane szczególnie chronione, określone w art. 27 ust. 1. Rozwiązanie to będzie zgodne z dyrektywą, która pozwala na zwolnienie z obowiązku rejestracji wszystkich zbiorów (bez względu na kategorię danych), do prowadzenia których nie wykorzystuje się systemów informatycznych (art. 18 ust. 5 dyrektywy), a jednocześnie zmniejszy obciążenia administracyjne tych administratorów danych (przedsiębiorców), którzy nie mogą skorzystać ze zwolnienia z obowiązku rejestracji zbioru danych z uwagi na brak powołania ABI. Jednakże obowiązkowi rejestracji będą podlegały zbiory, do prowadzenia których nie wykorzystuje się systemu informatycznego, jeżeli będą w nich przetwarzane dane szczególnie chronione. Obowiązek rejestracji zbiorów zawierających tę szczególną kategorię danych, podobnie jak w przypadku kompleksowego zwolnienia z obowiązku rejestracji administratorów danych, którzy powołali ABI, zostaje utrzymany z uwagi na wykonywaną w postępowaniu rejestracyjnym przez GIODO kontrolę wstępną w odniesieniu do tych danych.
Rejestracja administratorów bezpieczeństwa informacji (ABI) zamiast zbiorów danych osobowych.
Nowelizacja ustawy przewiduje rozszerzenie kompetencji rejestracyjnych Generalnego Inspektora Ochrony Danych Osobowych na informacje o administratorach bezpieczeństwa informacji. Od 1 stycznia 2015 r. administrator danych osobowych (ADO) będzie zobowiązany zgłosić GIODO powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania. Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji będzie zawierało:
Diagnoza zgodności RODO.
Zrób to sam
- 1oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany,
- dane administratora bezpieczeństwa informacji: imię i nazwisko, numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość, adres do korespondencji, jeżeli jest inny niż adres administratora danych osobowych,
- datę powołania,
- oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków niezbędnych do pełnienia wskazanej funkcji.
Zmiany informacji objętych powyższym zgłoszeniem należy aktualizować w terminie 14 dni od dnia ich zaistnienia.
System rejestracji administratorów bezpieczeństwa informacji ma w prosty sposób zapewnić kontrolę, czy administrator danych faktycznie spełnił warunki niezbędne do zwolnienia go z obowiązku rejestracyjnego, przysługującego podmiotom, które powołają u siebie administratora bezpieczeństwa informacji. Jednocześnie, tak jak system rejestracji zbiorów danych osobowych, przez jawność danych zawartych w rejestrze będzie wypełniał, zgodnie z przepisami dyrektywy, postulat transparentności operacji przetwarzania danych osobowych.
GIODO, ze względu na niezależną kompetencję kontrolną ABI, będzie mógł powierzyć mu wykonywanie czynności polegających na sprawdzeniu zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Stanowi to istotne odciążenie dla administratorów danych (w tym przedsiębiorców) w stosunku do stanu aktualnego, w którym w każdym wymagającym tego przypadku (np. skargi osoby trzeciej) podlegają oni bezpośredniej kontroli GIODO. Kontrola wykonywana przez ABI w żaden sposób nie naruszy kompetencji GIODO, który jedynie uznaniowo dopuszcza uproszczoną kontrolę i nie jest ograniczony w możliwości jej późniejszego przeprowadzenia.
Należy przy tym pamiętać, że sprawdzenie, o którym mowa w art. 16a ustawy o ochronie danych osobowych, i sprawdzenie z art. 36a ust. 2 pkt 1 lit. a, to dwie różne instytucje prawne. W pierwszym przypadku ABI na zlecenie GIODO dokonuje sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych u administratora danych, który go powołał. Sprawozdanie z takiego sprawdzenia jest przedstawiane, za pośrednictwem administratora danych, GIODO. W drugim przypadku sprawdzenie przeprowadzone przez ABI ma charakter kontroli wewnętrznej, a zatem powstałe w jego wyniku sprawozdanie jest dokumentem wewnętrznym administratora danych.
Przewiduje się wprowadzenie przepisów przejściowych, zgodnie z którymi dotychczasowy administrator bezpieczeństwa informacji pełni tę funkcję zgodnie ze starymi przepisami do czasu wpisania go do rejestru, nie dłużej jednak niż do 30 czerwca 2015 r. Ponadto do postępowań rejestracyjnych prowadzonych przez GIODO na podstawie zgłoszeń, o których mowa w art. 41 ust. 1 i 2, niezakończonych przed dniem wejścia w życie przepisów wprowadzających nowe zwolnienia z obowiązku rejestracyjnego, będą miały zastosowanie dotychczasowe przepisy ustawy o ochronie danych osobowych.
Przekazywanie danych do państw trzecich oraz państw członkowskich EOG bez zgody GIODO
Celem zmian art. 48 ustawy o ochronie danych osobowych jest przystąpienie przez polski organ do spraw ochrony danych osobowych do procedury wzajemnego uznawania (ang. mutual recognition). Zmiany polegają na przeniesieniu (z istotnymi zmianami) dotychczasowej treści art. 48 ustawy o ochronie danych osobowych do nowego art. 48 ust. 1. Nowelizacja zwalnia administratora danych z obowiązku uzyskania zgody GIODO na przekazanie danych do państwa trzeciego w przypadku zastosowania standardowych klauzul umownych, zatwierdzonych przez Komisję Europejską, zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE, lub wiążących reguł korporacyjnych, zatwierdzonych przez GIODO. Jednocześnie GIODO otrzymuje uprawnienia do zatwierdzania wiążących reguł korporacyjnych po przeprowadzeniu konsultacji z organami ochrony danych państw członkowskich Europejskiego Obszaru Gospodarczego.
W świetle decyzji Komisji Europejskiej zastosowanie standardowych klauzul umownych uznaje się za rozwiązanie zapewniające odpowiednie gwarancje dla praw i wolności osoby, której dane dotyczą. Dlatego w przypadku zastosowania w procesie przekazania danych do państwa trzeciego standardowych klauzul umownych nie ma uzasadnienia prowadzenia postępowania administracyjnego zmierzającego do uzyskania zgody, o której mowa w nowym art. 48 ust. 1 ustawy.
Zastosowanie wiążących reguł korporacyjnych, które jako instrument prawny powinny mieć charakter generalny, znajdujący zastosowanie we wszystkich transferach międzynarodowych w grupie przedsiębiorstw i być zatwierdzane przez GIODO, nie będzie wymagało wyrażania przez GIODO zgody na poszczególne transfery danych. Wiążące reguły lub polityki ochrony danych, przyjęte w ramach grupy przedsiębiorstw do celów przekazania danych osobowych przez administratora lub podmiot, o którym mowa w art. 31 ust. 1 (procesora danych), do należącego do tej samej grupy administratora lub podmiotu, o którym mowa w art. 31 ust. 1, w państwie trzecim (wiążące reguły korporacyjne) są instrumentami prawnymi mającymi na celu zapewnienie jednolitych i odpowiednio elastycznych standardów ochrony danych osobowych w grupie przedsiębiorstw międzynarodowych. Instrument ten ma szczególne znaczenie w gospodarce globalnej i jest wspierany zarówno przez środowiska gospodarcze, jak i organy ochrony danych osobowych. Zatwierdzenie wiążących reguł korporacyjnych, jako zapewniających odpowiednie gwarancje, pozwala na rezygnację z konieczności uzyskiwania zgody na poszczególne operacje przekazywania danych osobowych do państw trzecich. Ze względu na globalny charakter wiążących reguł korporacyjnych ważne jest, aby ich zatwierdzenie odbywało się po przeprowadzeniu uprzedniej konsultacji co do ich treści z organami ochrony danych państw członkowskich EOG. Tryb takich konsultacji jest obecnie określany w ramach dobrowolnych uzgodnień między organami ochrony danych osobowych i obejmuje w szczególności wzajemne uznawanie opinii poszczególnych organów ochrony danych w sprawie wiążących reguł korporacyjnych.
Nowelizacja art. 48 ustawy o ochronie danych osobowych, mająca na celu umożliwienie administratorowi danych przekazanie danych do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, bez każdorazowego uzyskiwania w drodze decyzji administracyjnej zgody GIODO, dotyczy dwóch sytuacji:
- gdy zastosowano standardowe klauzule umowne zatwierdzone przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych,
- gdy zastosowano prawnie wiążące reguły korporacyjne zatwierdzone przez GIODO zgodnie z art. 8 pkt 8 projektu ustawy o ułatwieniu wykonywania działalności gospodarczej i art. 48 ust. 3 ustawy o ochronie danych osobowych.
Nie ma głupich pytań RODO.
Są darmowe odpowiedzi
Co więcej, wyżej wskazana reguła będzie się także odnosiła do międzynarodowych korporacji przetwarzających dane na zlecenie (w ramach umowy powierzenia, o której mowa w art. 31 ustawy o ochronie danych osobowych). Zatwierdzenie wiążących reguł korporacyjnych przyjętych przez międzynarodową korporację świadczącą usługi przetwarzania danych będzie oznaczało, iż administrator danych zlecający taką usługę nie będzie musiał uzyskiwać zgody GIODO na związany z tą usługą transfer danych do państwa trzeciego niezapewniającego na swoim terytorium odpowiedniego poziomu ochrony danych osobowych.