Zadania Administratora Bezpieczeństwa Informacji

Po zmianie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, wprowadzona została instytucja Administratora Bezpieczeństwa Informacji. Podmiot ten ma za zadanie niejako zdjąć z barków samego administratora danych osobowych niektóre z „ciążących” na nim obowiązków związanych z zapewnieniem ochrony i bezpieczeństwa zbiorów przetwarzanych danych osobowych.   W dnu 1 stycznia 2015 r. weszła w życie zmiana ustawy o ochronie danych (dalej również jako: ustawa). Wśród zmian wprowadzonych do ustawy, wprowadzona została instytucja Administratora Bezpieczeństwa Informacji (ABI). Zgodnie z art. 36a ustawy, do zadań administratora bezpieczeństwa informacji należy: 1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, b) nadzorowanie opracowania i aktualizowania dokumentacji, opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych, oraz przestrzegania zasad w tej dokumentacji określonych, c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych; 2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem niektórych zbiorów, wskazanych wyraźnie w ustawie.   Jeżeli chodzi o samą osobę, która może pełnić obowiązki ABI, to, zgodnie z art. 36a ust. 5 ustawy, administratorem bezpieczeństwa informacji może być osoba, która: 1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych; 2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; 3) nie była karana za umyślne przestępstwo. Odnośnie przesłanki posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych (art. 36a ust. 5 pkt 2 ustawy), to wskazać należy, że poziom tej wiedzy jest oceniany jedynie przez samego administratora danych, który to poświadcza posiadanie tej wiedzy przez ABI w zgłoszeniu do GIODO. Jako że jest to więc w interesie administratora danych, powinien on powołać osobę, która ma rzeczywistą wiedzę z zakresu ochrony danych. Przepisy ustawy o ochronie danych osobowych, same w sobie, nie wprowadzają wymogu posiadania przez ABI jakichkolwiek certyfikatów, poświadczeń ukończenia odpowiednich szkoleń, kursów czy studiów. Poziom wiedzy ABI powinien być jednak dostosowany do prowadzonych u administratora danych operacji przetwarzania danych oraz wymogów ich ochrony.   Administrator danych może powołać również zastępców administratora bezpieczeństwa informacji, którzy spełniać muszą ww. warunki, jaki stawiane są wobec samego ABI.   Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. W tym miejscu przypomnieć należy, iż, zgodnie z art. 7 pkt. 4 ustawy o ochronie danych osobowych, administratorem danych jest organ, jednostka organizacyjna, podmiot lub m.in. osoba fizyczna i osoba prawna oraz jednostka organizacyjna niebędąca osobą prawną, jeżeli przetwarza dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, decydujące o celach i środkach przetwarzania danych osobowych, która ma siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Polski.   Zgodnie z art. 36a ust. 1 ustawy, powołanie ABI jest uprawnieniem administratora danych, nie zaś jego obowiązkiem. W przypadku niepowołania ABI, jego zadania wykonuje sam administrator danych (art. 36b ustawy o ochronie danych osobowych), z wyłączeniem obowiązku sporządzania sprawozdania i obowiązku prowadzenia wewnętrznego rejestru zbiorów danych przetwarzanych przez administratora danych. Również bowiem po nowelizacji przepisów ustawy na administratorze danych ciążą jego dotychczasowe obowiązki prawidłowego zorganizowania procesu przetwarzania danych osobowych.   Jeżeli administrator danych powoła administratora bezpieczeństwa informacji, zgodnie z art. 46b ust. 1 ustawy, jest obowiązany zgłosić do rejestracji do GIODO powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania.   Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji powinno zawierać: 1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany; 2) dane administratora bezpieczeństwa informacji: a) imię i nazwisko, b) numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość, c) adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 1; 3) datę powołania ABI; 4) oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków określonych w art. 36a ust. 5 i 7 ustawy, tj. wymogów, które dana osoba winna spełnić aby zostać administratorem bezpieczeństwa informacji oraz fakt pozostawania ABI w stosunku podległości wobec kierownika jednostki organizacyjnej lub osoby fizycznej będącej administratorem danych. Administrator danych jest obowiązany zgłosić Generalnemu Inspektorowi zmianę informacji objętych zgłoszeniem w terminie 14 dni od dnia zmiany.   Zgłoszenie odwołania administratora bezpieczeństwa informacji powinno natomiast zawierać: 1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany; 2) dane administratora bezpieczeństwa informacji: a) imię i nazwisko, b) numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość; 3) datę i przyczynę odwołania. Na żądanie administratora danych lub administratora bezpieczeństwa informacji GIODO wydaje zaświadczenie o zarejestrowaniu administratora bezpieczeństwa informacji. Administratorzy bezpieczeństwa informacji zgłoszeni do GIODO będą wpisywani do ogólnokrajowego jawnego rejestru ABI (art. 46c ustawy).   Po zgłoszeniu ABI do GIODO zmieniają się zasady dotyczące zgłaszania zbiorów danych do GIODO. W przypadku zbiorów danych należących do kategorii danych wskazanych w art. 27 ust. 1 ustawy, nadal istnieje obowiązek zgłoszenia takich zbiorów danych do rejestracji GIODO przed rozpoczęciem ich przetwarzania (art. 40 ustawy).   Zgodnie z art. 27 ust. 1 ustawy zabronione jest przetwarzanie danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Przetwarzanie danych, o których mowa wyżej (w art. 27 ust. 1 ustawy), jest jednak dopuszczalne, jeżeli: 1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych; 2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony; 3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora; 4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych; 5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem; 6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie; 7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych; 8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą; 9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone; 10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.   Jeśli chodzi natomiast o zbiory danych osobowych nie zawierające danych wskazanych w art. 27 ust. 1 ustawy, to nie ma obowiązku ich zgłaszania do GIODO, jeśli administrator danych powołał ABI i zgłosił go prawidłowo do GIODO. Obowiązek prowadzenia jawnego rejestru takich zbiorów danych (zgodnie ww. z art. 36a ust. 2 pkt 2 ustawy) przechodzi wówczas na ABI. Rejestr ten powinien być prowadzony przez ABI u administratora danych i obejmować wszystkie zbiory danych prowadzone przez tego administratora danych, z wyjątkiem niektórych zbiorów danych wyłączonych z obowiązku zgłoszenia do rejestracji GIODO, wskazanych szczegółowo w art. 43 ust. 1 ustawy.   Zgodnie z art. 43 ust. 1 ustawy, z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: 1) zawierających informacje niejawne; 2) 1aktóre zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności; 3) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym; 4) przetwarzanych przez Generalnego Inspektora Informacji Finansowej; 5) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym; 6) przetwarzanych przez właściwe organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej; 7) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego; 8) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się; 9) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta; 10) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego; 11) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności; 12) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej; 13) powszechnie dostępnych; 14) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; 15) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego; 16) przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1 ustawy.   Podsumowując, wskazać należy, iż mimo że powołanie administratora bezpieczeństwa informacji jest fakultatywne, jego powołanie może znacznie ułatwić administratorowi danych osobowych zarządzanie swoimi zbiorami danych, a co za tym idzie samemu przedsiębiorcy będącemu administratorem danych osobowych, „skupić się” na innych aspektach swojej działalności.   Michał Łazowski Prawnik Kancelaria NK Legal]]>