SABI – Stowarzyszenie Inspektorów Ochrony Danych
Stowarzyszenie
Władze
Statut
KodeksEtyki
Materiały z debaty, konferencji
RODO/Wytyczne
Działalność
Aktualności
Kalendarium nowelizacji ustawy o ochronie danych osobowych - ustawa deregulacyjna
Akty prawne
Członkostwo
Przydatne linki
Kontakt
SABI-THE ASSOCIATION OF DATA PROTECTION OFFICERS
Wniosek o patronat
FACEBOOK
Aktualności
 

15 czerwca 2015 r- w czasopiśmie „Informacja w administracji publicznej” (C.H.Beck) ukazał się wywiad z Maciejem Byczkowskim, Prezesem SABI, poświęcony działalności Stowarzyszenia Administratorów Bezpieczeństwa Informacji oraz ostatniej nowelizacji ustawy o ochronie danych osobowych.

Prezes Maciej Byczkowski przedstawił główne założenia działalności Stowarzyszenia Administratorów Bezpieczeństwa Informacji: promowanie ich rozwoju przez podnoszenie umiejętności zawodowych związanych z zapewnianiem przestrzegania przepisów o ochronie danych osobowych,  podejmowanie działań mających na celu rozpowszechnianie wiedzy związanej z tematyką szeroko pojętego bezpieczeństwa danych osobowych oraz standardów etycznych i dobrych praktyk w pracy ABI. Jednym z innych celów działań Stowarzyszenia jest ustalanie i rozpowszechnianie standardów etycznych i dobrych praktyk w pracy ABI, jako osoby zaufania publicznego. W tym celu w 2008 r. Stowarzyszenie opracowało i przyjęło Kodeks etyki zawodowej ABI.

Prezes Byczkowski zaznaczył, że SABI aktywnie uczestniczy w procesach legislacyjnych związanych z przepisami o ochronie danych osobowych, zarówno w Polsce jak i UE, przygotowując projekty przepisów oraz wydając opinię na ich temat. Podkreślił, że przedstawiciele SABI brali czynny udział w pracach nad dwiema nowelizacjami ustawy o ochronie danych osobowych w latach 2008–2010 oraz 2012–2014, a ostatnio  także w pracach nad nowymi rozporządzeniami wykonawczymi dotyczącymi wykonywania zadań ABI.  

W swoich wypowiedziach Prezes Byczkowski zaakcentował, że od samego początku funkcjonowania SABI celem nadrzędnym podejmowanych działań było wzmocnienie pozycji ABI i przygotowanie projektu zmiany statusu funkcji ABI w przepisach o ochronie danych osobowych.

Komentując sprawność systemu ochrony danych osobowych w Polsce Prezes Byczkowski ocenił, że są w Polsce odpowiednie przepisy o ochronie danych osobowych zgodne z Dyrektywą Parlamentu Europejskiego(funkcjonujące od 17 lat). Zwrócił uwagę, że problemem są inne akty prawne, na podstawie których zbiera się dane osobowe w wielu podmiotach w Polsce. Zaznaczył, że ponieważ te przepisy nie zostały zmienione lub dostosowane do wymagań związanych z przetwarzaniem danych osobowych niosą różnego rodzaju niedogodności przy przetwarzaniu danych, szczególnie w zakresie celowości i adekwatności lub czasu przetwarzania danych osobowych (np. przepisy prawa pracy lub różne przepisy branżowe). Prezes Byczkowski przypomniał, że istotnym problemem jest również brak ustawy o monitoringu wizyjnym oraz potrzeba aktualizacji rozporządzenia MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, ze względu na zmiany, jakie zaszły w technologiach informatycznych i telekomunikacyjnych stosowanych obecnie do przetwarzania danych.

Prezes Byczkowski mocno zaakcentował fakt, że sprawność systemu zależy przede wszystkim od realizacji obowiązków ustawowych przez samych ADO. Tymczasem powszechny jest fakt, że najczęściej ochrona danych osobowych jest bardziej wymuszona niż wynika ze społecznej wrażliwości czy obowiązku poszanowania praw innych osób.

Omawiając najczęściej zgłaszane do SABI problemy Prezes Byczkowski  przywołał pytania o zakres zadań ABI oraz jak właściwie umocować funkcję ABI w strukturze organizacyjnej ADO. Pytania te nasiliły się  po nowelizacji  ustawy: jak zorganizować się w „nowej rzeczywistości”, czy być ABI powołanym i zgłoszonym do rejestracji GIODO, czy lepiej nie być powołanym i wykonywać nowe zadania na innym stanowisku etc.

Prezes Maciej Byczkowski omówił także  praktyczne jakie zmiany niesie za sobą ostatnia nowelizacja ustawy o ochronie danych osobowych m.in. zagadnienia możliwości zwolnienia organizacji z obowiązku zgłaszania zbiorów danych (nie zawierających danych osobowych wrażliwych) do rejestracji GIODO pod warunkiem powołania ABI zgodnie z nowymi zasadami, nowe wymagania dotyczące statusu ABI, w tym: zasady jego powołania, zakres jego zadań i trybu ich realizacji, wymagane kwalifikacje, warunki organizacyjne, w których może wykonywać on swoją funkcję.

Prezes Maciej Byczkowski podkreślił, że nowelizacja wprowadziła istotne zmiany dotyczące wykonywania obowiązków związanych z zabezpieczaniem danych osobowych - wszyscy ADO muszą wypełniać nowe obowiązki związane z zapewnianiem przestrzegania przepisów o ochronie danych osobowych, w tym: przeprowadzać sprawdzenia zgodności przetwarzania danych z przepisami, nadzorować zasady ochrony danych określone w odpowiedniej dokumentacji, zapoznawać osoby dopuszczone do przetwarzania danych z przepisami.  Zaakcentował również, że zmieniona ustawa pozostawia administratorom danych możliwość wyboru sposobu realizacji tych obowiązków: albo powołają do ich wykonywania ABI na niezależnym stanowisku, albo sami będą realizować te obowiązki wyznaczając do tego inne osoby. W sytuacji braku powołania ABI, ADO nadal ma obowiązek zgłaszać zbiory danych do rejestracji GIODO.

Prezes Byczkowski w  jednej ze swoich wypowiedzi zwrócił uwagę na to, że nowe przepisy zgodnie z którymi GIODO może zwrócić się do powołanego i zarejestrowanego ABI z wnioskiem o dokonanie sprawdzenia zgodności przetwarzania danych z przepisami o ochronie danych. W ocenie Prezesa SABI jest to korzystne rozwiązanie dla administratorów danych, ponieważ z dotychczasowej praktyki wynika, że w przypadku wielu kontroli przeprowadzanych przez GIODO wystarczająca byłaby rozmowa z ABI, zamiast kilkudniowej inspekcji w siedzibie administratora danych a sprawdzenie wykonywane przez wewnętrznego ABI będzie na pewno wygodniejsze i mniej stresujące.

Prezes SABI podkreślił również fakt, że nowym  udogodnieniem wprowadzonym w nowelizacji są ułatwienia dotyczące transferu danych osobowych do państwa trzeciego - do końca zeszłego roku w sytuacji gdy ADO nie posiadał przesłanek dopuszczalności na przekazanie danych osobowych do państwa trzeciego określonych w art. 47 ust. 2 i 3, musiał zwracać się do GIODO o uzyskanie zgody na taki transfer. Natomiast na podstawie nowych przepisów zgodnie z art. 48 ust. 2 zgoda GIODO nie jest wymagana jeżeli ADO zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. ADO może to zrobić poprzez zastosowanie, w umowach z podmiotem do którego transferuje dane, standardowych klauzul umownych ochrony danych osobowych zatwierdzonych przez Komisję Europejską. Wskazał, że innym rozwiązaniem jest wprowadzenie w ramach funkcjonowania podmiotów z grup kapitałowych, w ramach których dochodzi do transferu danych, prawnie wiążących reguł lub polityk ochrony danych osobowych, zwanych „wiążącymi regułami korporacyjnymi”, które muszą jednak być wcześniej zatwierdzone przez GIODO.

W swoich wypowiedział Prezes Byczkowski zwrócił także uwagę na fakt wprowadzenia  znowelizowanych przepisach określonych wymogów kwalifikacyjnych, które powinny być stawiane osobom pełniącym funkcję ABI: zgodnie z art. 36a ust. 5 ustawy o ochronie danych osobowych ABI może być osoba, która: ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, posiada odpowiednią wiedzę w zakresie ochrony danych osobowych oraz nie była karana za umyślne przestępstwo. Teraz przy podejmowaniu decyzji o powołaniu ABI trzeba będzie powołać odpowiednio przygotowaną osobę. Prezes SABI zaakcentował, że przepis ten ma zapobiegać w praktyce, aby na ABI nie były powoływane osoby przypadkowe. Fachowcy na stanowisku ABI mają zapewnić sprawność działania systemu ochrony danych osobowych. Jednocześnie zwrócił uwagę na to, że przepisy wymagają także, aby ABI podlegał bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych, tak aby przy wykonywaniu zadań ABI nie było podległości pośrednich w strukturze ADO, a raportowanie kierowane było bezpośrednio do ADO.

Prezes Byczkowski w swoich wypowiedziach odniósł się także do mitów  funkcjonujących w mediach oraz na różnego rodzaju konferencjach i w ofertach szkoleń, które dotyczą nowych uregulowań na gruncie znowelizowanej ustawy. Jako współtwórca zapisów ustawowych w zakresie nowej funkcji ABI i uczestnik procesu legislacyjnego, Prezes Byczkowski przedstawił prawidłową interpretację zapisów ustawy m.in. odnoszących się do:

  • wyboru przez ADO sposobu realizacji nowych obowiązków związanych z zapewnieniem przestrzegania przepisów o ochronie danych osobowych, czyli albo powołania do tego ABI (zgodnie z art. 36a) albo samodzielnej  realizacji  tych zadań (zgodnie z art. 36b)
  • braku ograniczenia czasowego co do możliwości powołania  ABI  przez ADO w każdym momencie
  • terminu 30 czerwca 2015 r., jako terminu, do którego funkcję ABI mogą pełnić – zgodnie z nowymi przepisami – osoby wyznaczone na ABI przed 1 stycznia 2015 r., na podstawie uchylonego przepisu z art. 36 ust. 3. co w praktyce oznacza, że ADO ma czas do 30 czerwca 2015 r. na podjęcie decyzji, co zrobić z wyznaczonym wcześniej ABI: czy powołać go na nowo na podstawie art. 36a i zgłosić do rejestracji GIODO, czy pozostawić tę osobę, ale już na innym stanowisku, i zlecić wykonywanie części lub wszystkich nowych zadań zapewniania przestrzegania przepisów o ochronie danych zgodnie z art. 36b.
  • wymogu posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych
  • sprawdzana przez ABI zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych (bez obowiązku przesyłania takich sprawozdań do GIODO, chyba, że na  podstawie art. 19b GIODO zwróci się do ABI o przeprowadzenie sprawdzenia u ADO, ABI za pośrednictwem ADO będzie musiał przesłać do GIODO sprawozdanie z takiego sprawdzenia)
  • przepisu art. 19b - GIODO może zwrócić się jedynie do ABI wpisanego do rejestru o dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia.  Prezes Byczkowski wskazał, że w sytuacji niepowołania ABI przez ADO taka czynność nie może być zlecana przez GIODO.

Prezes Byczkowski w jednej ze swoich wypowiedzi  wyjaśnił dużą liczbę zarejestrowanych  w ostatnim czasie w GIODO, ABI będących pracownikami administracji publicznej. Wskazał jako przyczynę fakt, że w podmiotach ze sfery prywatnej funkcja ABI była przypisywana do tej pory, w zależności od typu organizacji czy procesów przetwarzania danych, do różnych stanowisk np. administratora systemu IT, czy innego z działu bezpieczeństwa, kadr, administracji czy prawnego. Rzadziej w tym wypadku wiązana była ona ze stanowiskiem. Natomiast w podmiotach ze sfery publicznej częściej funkcja ABI była przypisywana do stanowiska. Dlatego, aby takie stanowisko było zachowane w strukturze ADO i osoba ta nadal pełniła funkcję na tym stanowisku, decyzje o powołaniu ABI w podmiotach ze sfery publicznej zapadają szybciej.  Podsumował, że wielu administratorów danych, szczególnie ze sfery prywatnej, wstrzymało się z decyzją powołania ABI do czasu ukazania się przepisów wykonawczych w zakresie wykonywania zadań ABI.

Oceniając dalsze perspektywy rozwoju regulacji ochrony danych osobowych dotyczących ABI, także w kontekście planowanych zmian prawa unijnego Prezes SABI podkreślił, że ostatnia nowelizacja ustawy o ochronie danych osobowych w zakresie funkcji ABI jest pierwszym krokiem w kierunku zmian, które zapowiadane są w ramach reformy przepisów o ochronie danych osobowych w UE.  Zaznaczył, że  SABI od początku prac nad ostatnią nowelizacją argumentowało potrzebę zmian statusu ABI również w kontekście przygotowania ADO do nowych przepisów wspólnotowych.

Prezes Byczkowski omówił także kwestię wpływu zmian w technologiach informatycznych i telekomunikacyjnych na specyfikę sprawowania funkcji ABI a przede wszystkim na  fakt, że rozwojowi technologii nie towarzyszy odpowiedni rozwój technologii bezpieczeństwa.  Podkreślił, że między innymi z tego powodu ABI w ramach wykonywania swoich zadań zapewnienia przestrzegania przepisów o ochronie danych powinien przeprowadzać (w miarę możliwości) lub zalecać zlecanie przez ADO specjalistom, okresowej analizy zagrożeń związanych z przetwarzaniem danych osobowych za pomocą systemów teleinformatycznych, tak aby dobierać adekwatne środki zabezpieczenia przetwarzanych danych osobowych.

Źródło: „Informacja w administracji publicznej”.