Miało być pięknie a wyszło jak zawsze czyli nowelizacja ustawy o ochronie danych osobowych

Nowelizację ustawy o ochronie danych osobowych omawiamy już od miesięcy. Nowelizacja, która została wprowadzona w IV pakiecie deregulacyjnym teoretycznie miała zapewnić ułatwienie życia przedsiębiorcom tj. wykonywanej przez nich działalności.

Przykre obowiązki administracyjne w postaci zgłaszania, aktualizowania, wykreślania zbiorów z rejestru GIODO miały zniknąć. Jedynym warunkiem dla skorzystania ze zwolnienia było powołanie ABI i zarejestrowanie go w rejestrze GIODO. Jednak wszystko to było alternatywą dla przedsiębiorców. Ci, kórzy nie zdecydowali się na powołanie ABI mogli się nowelizacją nie interesować. To twierdzenie jednak w aktualnym stanie wiedzy jest fałszywe. Okazuje się bowiem, że nowelizacja dotyczy wszystkich administratorów danych.

Nowelizacja potraktowała ABI bardzo poważnie. Mamy bowiem nowego quasi urzędnika, wyposażonego po zęby w quasi urzędnicze narzędzia w celu wypełniania swojej funkcji. Nowy status w postaci odrębności organizacyjnej, niezależności, szczegółowo określony katalog zadań. Trzy rozporządzenia wykonawcze i mnożące się pytania oraz wątpliwości.

Najważniejsze rozporządzenie wykonawcze  w sprawie trybu i sposobu realizacji zadań w celu przestrzegania przepisów o ochronie danych osobowych jak dotychczas nie zostało uchwalone, co potęguje niepewność prawną odnośnie nowej regulacji.

Czytając projekt nasuwa się sporo wątpliwości, zwłaszcza w kontekście głownego założenia IV pakietu deregulacyjnego polegającego na ułatwieniu wykonywania działalności . Zgodnie z intencją prawodawcy wprowadzone w ustawie o ochronie danych zmiany miały dotyczyć jedynie podmiotów, które w trybie przewidzianym w ustawie o ułatwieniu działalności gospodarczej powołają i zgłoszą do GIODO administratora bezpieczeństwa informacji.

Wielokrtonie w toku prac legislacyjnych podkreślano, iż decyzja o powołaniu ABI miała zależeć od woli administratorów danych. Nowy system miał mieć charakter fakultatywny. Tymczasem obowiązki określone w rozporządzeniu wykonawczym dotyczącym trybu i realizacji zadań ABI, będą dotyczyć wszystkich administratorów danych osobowych nawet tych, którzy nie zdecydują się nie powołanie ABI i nie będą objęci zwolnieniem z obowiązków rejestracji zbiorów w GIODO..

Rozszerzenie nowych obowiązków zapewnienia zgodności przetwarzania danych osobowych na wszystkich administratorów również tych, którzy nie skorzystają z ułatwień regulacji, gdyż nie zdecydują się na powołanie ABI  niweczy cel zmian deregulacyjnych.

Czyli miało być pięknie a wyszło jak zawsze…

Powołanie ABI nie jest obowiązkiem

Inspiracją do tego wpisu była rozmowa z klientem, który zadzwonił do mnie z przerażeniem, że zmieniły się przepisy i że on chce zgodnie z nimi uporządkować obszar ochrony danych osobowych i powołać  ABI .

W toku rozmowy zorientowałam się, iż  klient ma przeświadczenie, że powołanie ABI stało się obowiązkiem prawnym, o czym przypomina nieustanny spaming od firm, które świadczą tego rodzaju usługi w zakresie ochrony danych osobowych.

Świadectwo klienta trochę mnie wprawiło w osłupienie, gdyż nie zdawałam sobie sprawy, że uprawiane są tego rodzaju naganne praktyki. Dodatkowo jeszcze wprowadzające w błąd. Bowiem nowelizacja ustawy o ochronie danych osobowych, która weszła w życie z dniem 1 stycznia 2015 r. nie wprowadza obowiązku powołania ABI a wręcz przeciwnie stanowi, iż powołanie ABI jest prawem a nie obowiązkiem administratora danych.

W przypadku niepowołania ABI jego zadania z wyłączeniem obowiązku sporządzania sprawozdania wykonuje administrator danych.

Czy administrator danych osobowych w związku z niepowołaniem ABI, w świetle znowelizowanej ustawy o ochronie danych osobowych  osobowych będzie miał więcej obowiązków, przyjrzymy się w kolejnych wpisach.

Szkolenie ABI

Na jednym ze szkoleń podczas prezentowania nowych uprawnień i obowiązków dla ABI, jedna z uczestniczących ABI zadała proste ale kluczowe pytanie “kto będzie nas wspierał czy może w GIODO zostanie stworzona jakaś komórka doradzająca ABIm”.

Są bowiem osoby pełniące funkcję ABI, które takiego wsparcia potrzebują, które słuchając o tych rozlicznych nowych obowiązkach trochę czują się przerażone.

Ustawa podnosząc rangę ABI wyposaża go w niezależność, precyzuje katalog zadań. Oczywistym jest, iż tylko osoba, która posiada solidną wiedzę w zakresie ochrony danych osobowych będzie w stanie sprostać wymaganiom Ustawy.

Z drugiej strony ustawa nie precyzuje jakichkolwiek wymagań formalnych co do kompetencji ABI pozostawiając ocenę w tym zakresie w gestii administratora danych. Jednakże nawet administrator danych może mieć nie lada zagwozdkę w weryfikacji eksperckiej wiedzy kandydatów na ABI.

Inne też kryteria oceny należy stosować wobec firmy, która zawodowo zajmuje się świadczeniem usług ABI a inne wobec osoby, która ma wykonywać zadania jako ABI wewnętrzny.

Ze strony ustawodawcy mamy jeden zapis, który mówi, iż to administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania zadań. Jednakże przepis ten w mojej ocenie oznacza tylko tyle lub aż tyle, że na ADO spoczywa obowiązek zapewnienia ABI niezależnego pełnienia tej funkcji i zapewnienie środków oraz organizacyjnej odrębności ma temu służyć. Na temat jednak kompetencji ABI i kryteriów ich oceny ustawa milczy.

Oznacza to, że administrator danych samodzielnie musi dokonać oceny wiedzy i fachowości kandydata na ABI. Łatwiejsze to będzie w stosunku do osób, firm, które zawodowo  świadczą tego rodzaju usługi i mają udokumentowane doświadczenie.

W przypadku wewnętrznych ABI kryteria oceny mogą być podobne jednakże jak sądzę w przypadku tej grupy pomoc ze strony ADO powinna być większa w zakresie zapewnienia odpowiednich szkoleń czy wsparcia eksperckiego. Bowiem na biuro GIODO w tym zakresie raczej bym nie liczyła biorąc pod uwagę fakt, iż to GIODO liczy na pomoc ABI w sprawdzaniu przedsiębiorców.

Wszystkich zainteresowanych pogłębieniem lub usystematyzowaniem wiedzy w zakresie ochrony danych osobowych oraz przygotowaniem do pełnienia funkcji ABI i wypełnianiem obowiązków zgodnie z najnowszymi przepisami zapraszam na szkolenie 3-4 sierpnia do Warszawy. Więcej na:

Szkolenie ABI 3-4 sierpnia Warszawa

Odwołanie ABI w okresie przejściowym

Debata wokół nowelizacji ustawy o ochronie danych osobowych dotycząca ABI nie milknie. Dochodzą nowe głosy i nowe wątpliwości. Prezentowane stanowiska wśród zainteresowanych stron są bardzo różne od zdecydowanie pozytywnych po negatywne.

Jedno jest pewne w dalszym ciągu zarówno przedsiębiorcy jak i ABI nie do końca wiedzą na czym stoją. Niepewność ta potęguje niechęć do nowej regulacji.

Faktem jest, że z dniem 1 stycznia 2015 r. ustawa w znowelizowanej postaci zaczęła obowiązywać. Faktem jest też to, że dotyczy ona w tej chwili całej rzeszy ABI powołanych na gruncie starych przepisów.

Dodatkowo w świetle wprowadzonych nowelą przepisów przejściowych do ABI powołanych w oparciu o przepisy sprzed 1 stycznia 2015 r., stosuje się przepisy nowej ustawy, do czasu zgłoszenia ich do Rejestru GIODO, nie później jednak niż do 30 czerwca.

Oznacza to, że ABI powołani przed 1 stycznia 2015 r. i nie odwołani przed tą datą objęci zostali nową regulacją nawet, jeśli nie zostali jeszcze zgłoszeni do rejestru GIODO. Problem jednak w tym, że w dalszym ciągu brakuje przepisów wykonawczych precyzujących tryb i sposób wykonywania tychże obowiązków. Taka sytuacja potęguje dezorientację wśród przedsiębiorców, którzy podejmują decyzję odwołaniu ABI.

Czy ABI w okresie przejściowym  może być odwołany. Doktryna prawnicza jest zgodna, że ABI powołany na mocy starych przepisów  w okresie od 1 stycznia do 30 czerwca 2015 r. tj. w okresie przejściowym może zostać odwołany.

Nowelizacja przewiduje zarówno powołanie do pełnienia funkcji ABI jak i odwołanie. Nie ma więc przeszkód, aby “stary” ABI w okresie przejściowym mógł być odwołany. Wraz z tą decyzją odpada obowiązek zgłoszenia ABI do rejestru GIODO oraz szereg obowiązków wprowadzanych przez nowe przepisy.

Pamiętać jednak należy, że odwołanie ABI nie zwalnia administratora danych z odpowiedzialności za zgodność przetwarzania danych osobowych z przepisami w swojej organizacji.

Ustawa mówi wyraźnie, iż w przypadku niepowołania ABI określone zadania wykonuje sam administrator danych, który oczywiście nie musi tych obowiązków wykonywać osobiście. W szczególności administrator danych, który jest jednostką organizacyjną określone ustawą obowiązki będzie wykonywał przy pomocy wyznaczonych w tym celu osób.

ABI musi mieć odpowiednią wiedzę – nowelizacja ustawy o ochronie danych osobowych

W ostatnim artykule pisałam o dylematach kadrowej, która przed nowelizacją ustawy o ochronie danych osobowych czyli przed 1 stycznia 2015 r. została wyznaczona w firmie do pełnienia funkcji ABI. Jaki jest stan jej wiedzy o ochronie danych osobowych. Mówiąc oględnie daleki od ideału. Czy jest to odosobniony przypadek. Myślę, że raczej typowy. Nie przeczę, że są też ABI wewnątrz organizacji doskonale przygotowani do pełnienia tej funkcji, wyszkoleni i z pewnością legitymujący się odpowiednią wiedzą.

Odpowiednia wiedza to jeden z ustawowych wymogów, który musi spełniać administrator bezpieczeństwa informacji. Odrębną kwestią, ale też ciekawą jest w jaki sposób administrator danych ma tę wiedzę weryfikować.

Myślę, że nie będzie przesadą stwierdzenie, iż w stanie prawnym sprzed nowelizacji w wielu sytuacjach ABI w firmie był tylko figurantem. Ktoś musiał być wyznaczony na tę funkcję. Prezes firmy wyznaczał więc czasem z rozmysłem a czasami z przypadku różne osoby.

Zdarzało się oczywiście, że w ślad za tym administrator danych dostarczał wyznaczonemu ABI niezbędnych narzędzi do pełnienia tej funkcji, choćby w postaci niezbędnego doszkalania. Jednak bywały też i sytuacje w których kadrowa pozostawała kadrową, księgowa księgową a informatyk świadczył pracę informatyka i  wiedza tych osób w zakresie ochrony danych osobowych nie wzrosła w związku z nominacją na ABI.

Czy sytuacje takie będą możliwe w aktualnym stanie prawnym. Jak to w życiu, oczywiście możliwe jest wszystko, jednak pewne będzie, że sytuacja, w której ABI nie ma odpowiedniej wiedzy w zakresie ochrony danych osobowych, będzie niezgodna z prawem. Osoba nie legitymująca się odpowiednią wiedzą nie spełnia ustawowego wymogu niezbędnego do pełnienia funkcji ABI.

Nowelizacja wprowadza szczegółowy katlog zadań, które ABI jest obowiązany w wykonywaniu swojej funkcji wypełniać. Do zadań ABI należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych.

Ustawa precyzując w ten sposób kompetencje ABI czyni zeń jedną z kluczowych osób w procesie przetwarzania danych osobowych. Tak naprawdę to ABI, o ile adminsitrator danych go wyznaczy, będzie odpowiedzialny za poziom i stan ochrony danych osobowych w organizacji.

Jest to ogromne novum. Jedno zdanie z ustawy sprzed nowelizacji zostało zastąpione rozbudowaną regulacją dotyczącą statusu ABI, jego kompetencji oraz określenia sposobów realizacji tych kompetencji. Mamy trzy rozporządzenia wykonawcze do nowelizacji. Rozporządzenia szczegółowo określają sposób i tryb wypełniania przez ABI ustawowo przyznanych zadań.

Osoba, na której spoczywa ciężar zapewnienia przestrzegania przepisów o ochronie danych osobowych musi oczywiście doskonale te przepisy znać, umieć je interpretować i swobodnie się w nich poruszać. Ponadto powinna posiadać tez niezbędną wiedzę w zakresie wymogów techniczno-organizacyjnego zabezpieczenia danych. Jak sądzę tylko taka osoba będzie się legitymować spełnieniem wymogu w zakresie posiadania odpowiedniej wiedzy w zakresie ochrony danych osobowych.

W świetle powyższego oczywiste jest, że ABI nie może być już figurantem, nie może pełnić tej funkcji niejako dodatkowo, nie wypełniając wszystkich przez ustawę nałożonych obowiązków. Taki ABI nawet, jeśli będzie równocześnie kadrową czy księgową czy informatykiem będzie musiał być też specjalistą w zakresie ochrony danych osobowych z pełnymi tego konsekwencjami.

Na koniec należy dodać, iż ABI zgłoszony do rejestru GIODO, będzie w zakresie legitymowania się odpowiednią wiedzą podlegał niejako zewnętrznej weryfikacji ze strony GIODO. Do ABI zarejestrowanego Generalny Inspektor może wystąpić o przeprowadzanie na jego wniosek kontroli i sporządzenie z tejże kontroli odpowiedniego sprawozdania. W toku uproszczonej kontroli GIODO z pewnością bardzo szybko się rozezna czy wiedza ABI jest na wystarczającym poziomie, aby dawać rękojmię należytego wykonywania tej funkcji.

W przypadku stwierdzenia, w toku uproszczonej kontroli braku u ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych, GIODO z urzędu wydaje decyzję o wykreśleniu takiego ABI z rejestru.

O odpowiedzialności ABI pisałam już, ale w kontekście tej sytuacji to też jest ciekawe zagdnienie kto i w jakim zakresie ponosi odpowiedzialność za przestrzeganie przepisów o ochronie danych osobowych, jeśli ABI nie posiada odpowiedniej wiedzy.

Taką odpowiedzialność na pewno zostanie obciążony administrator danych. Na koniec wydaje się oczywiste, że stan, w którym ABI był figurantem to przeszłość. Zarówno w interesie administratorów danych, jak i osób, które powoływane są do pełnienia funkcji ABI jest to, aby nie były to osoby przypadkowe a takie, które są specjalistami w zakresie przepisów o ochronie danych osobowych.

W świetle nowelizacji żaden pracownik czy księgowa, kadrowa czy informatyk nie powinien wyrazić zgody na pełnieni funkcji ABI bez zagwarantowania mu odpowiednich środków i organizacyjnej odrębności niezbędnych do należytego wykonywania przez niego zadań. Tak samo administrator danych  nie może powoływać przypadkowej osoby na stanowisko ABI.

Takie przypadkowe powołanie, bezprzedmiotowe dla zapewnienia odpowiedniego poziomu ochrony danych w organizacji, dodatkowo może to być przyczyną dodatkowego postępowania i negatywnej oceny ze strony Generalnego Inspektora.

Wszystkich zainteresowanych pogłębieniem lub usystematyzowaniem wiedzy w zakresie ochrony danych osobowych oraz przygotowaniem do pełnienia funkcji ABI i wypełnianiem obowiązków zgodnie z najnowszymi przepisami zapraszam na szkolenie 3-4 sierpnia do Warszawy. Więcej na:

Szkolenie ABI 3-4 sierpnia Warszawa

Nasz ABI to Kadrowa a nowelizacja ustawy o ochronie danych osobowych

Spotykając się z życiem często nasze wyobrażenia o czymś się weryfikują lub zaczynamy widzieć drugą stronę medalu. Takie odczucia towarzyszyły mi podczas szkolenia, które miałam okazję prowadzić ostatnio.

Tematem szkolenia była nowelizacja ustawy o ochronie danych osobowych, która weszła w życie 1 stycznia 2015 r. Jak wiadomo nowelizacja prawie w całości dotyczy statusu ABI. Przyczynkiem do refleksji stało się wydawałoby się pozornie proste i banalne pytanie czy główna księgowa może być ABI.

Pytania takie biorą się oczywiście z samego życia tzn. z praktyki w zakresie stosowania prawa ochrony danych osobowych, w tym przypadku w zakresie stosowania instytucji administratora bezpieczeństwa informacji.

Codziennością przed nowelizacją było, że informatyk, prawnik a nawet kadrowa czy księgowa pełnili w firmie funkcję ABI. Nikomu nie przyszło do głowy robić z tego tytułu jakiegokolwiek zarzutu. Przepisy jednym zdaniem regulowały status ABI, więc nie było o co robić hałasu. Informatyk, prawnik czy księgowa wykonywali codzienne obowiązki i bez uszczerbku dla nich niejako dodatkowo pełnili funkcję ABI. Taka praktyka była codziennością w typowej organizacji, która wyznaczała ABI spośród własnych pracowników.

W ślad za pełnieniem funkcji ABI zwykle nie wiązała się zmiana umowy o pracę czy zakresu obowiązków. Jednak skoro tych obowiązków nie było zbyt wiele ani tez nie wiązała się z tym jakaś szczególna odpowiedzialność, to nikt nie robił problemu a pracownicy uznawali czasem wyznaczenie ich do pełnienia funkcji ABI, jako swoistą nobilitację.

Okazuje się, że aktualnie w dalszym ciągu kadrowa jest ABI. Czy sytuacja taka jest prawidłowa i jak należy ją oceniać w świetle ostatniej nowelizacji ustawy o ochronie danych osobowych spróbuję ocenić w kolejnym wpisie…

Wszystkich zainteresowanych pogłębieniem lub usystematyzowaniem wiedzy w zakresie ochrony danych osobowych oraz przygotowaniem do pełnienia funkcji ABI i wypełnianiem obowiązków zgodnie z najnowszymi przepisami zapraszam na szkolenie 3-4 sierpnia do Warszawy. Więcej na:

Szkolenie ABI 3-4 sierpnia Warszawa