Dane osobowe pod ochroną tylko uprawnionych osób

Wprowadzona z początkiem roku ustawa z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (ta sama, która przewidziała możliwość pominięcia wykonania badań wstępnych w nowym miejscu pracy) znowelizowała również przepisy ustawy o ochronie danych osobowych, m.in. w części dotyczącej administratora bezpieczeństwa informacji (dalej: ABI). Niewątpliwie celem nowelizacji było wprowadzenie pewnych ułatwień w zakresie prowadzonej działalności, a przedsiębiorcy zostali zobowiązani do podjęcia określonych decyzji. Jedną z nich była ta dotycząca powoływania w zakładach pracy administratora bezpieczeństwa informacji. Instytucja ABI ma istotne znaczenie dla zapewnienia przestrzegania u pracodawcy przepisów ustawy o ochronie danych osobowych.

Zakres zadań

Przed wejściem w życie tej nowelizacji administrator danych – którym jest każdy pracodawca – na mocy art. 36 ust. 3 ustawy o ochronie danych osobowych miał obowiązek powołać ABI zajmującego się nadzorowaniem przestrzegania zasad ochrony przetwarzania danych osobowych. Wyjątkiem od tej zasady były sytuacje, w których administrator sam wykonywał te obowiązki. Począwszy od stycznia 2015 r., pracodawcy mają już wyraźny wybór. Ustawa stanowi, że mogą oni powołać ABI, ale im tego nie nakazuje (art. 36a ust. 1 ustawy).

Ustawodawca zdecydował się natomiast na wskazanie dokładnego katalogu zadań takiego ABI. Nowelizacja w tym zakresie nie ma wpływu na dotychczasowe obowiązki administratora danych. Był on i nadal jest odpowiedzialny za właściwe, zgodne z prawem, w tym z normami ustawy, zorganizowanie procesu przetwarzania danych osobowych >patrz ramka. Dodatkowe obowiązki pracodawca może powierzyć ABI wyłącznie wówczas, gdy nie naruszy to prawidłowego wykonywania jego podstawowych zadań.

W poprzednim stanie prawnym istniały wątpliwości co do tego, czy ABI koniecznie musi być osobą fizyczną, czy też jego zadania można powierzyć specjalistycznej firmie, zdejmując z siebie jednocześnie część odpowiedzialności za nadzór nad przetwarzaniem danych. Obecnie z art. 36a ust. 5 znowelizowanej ustawy wyraźnie wynika, że ABI może być osoba, która:

1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;

2. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;

3. nie była karana za umyślne przestępstwo.

Wyliczenie to pozwala przyjąć, że administratorem tym może być wyłącznie osoba fizyczna. Nie jest zatem możliwe wskazanie jako ABI jednostki organizacyjnej np. spółki. Dopuszcza się zawarcie umowy z podmiotem, który specjalizuje się w świadczeniu tego rodzaju usług (tzw. outsourcing funkcji ABI), ale w zawartej umowie jako ABI musi być wskazana konkretna osoba z imienia i nazwiska.

Kwestia odpowiedzialności...

Ustawa nie nakazuje pracodawcom, aby ABI był powoływany spośród własnych pracowników. Mogą to być również osoby zatrudnione na podstawie umowy cywilnoprawnej czy prowadzące swoją działalność gospodarczą. W tym przypadku wystąpi jednak różnica w zakresie odpowiedzialności takiego administratora. ABI zatrudniony na podstawie umowy o pracę w sytuacji naruszenia swoich obowiązków pracowniczych w zakresie związanym z ochroną danych osobowych poniesie wyłącznie odpowiedzialność wskazaną w przepisach kodeksu pracy. Podobnie będzie również z powołanymi przez administratora danych zastępcami ABI.

Zdarzają się sytuacje, że jeden ABI wykonuje swoje zadania w kilku podmiotach należących do tej samej grupy kapitałowej bądź w inny sposób powiązanych (np. osobowo czy organizacyjnie), będąc wyłącznie pracownikiem jednego z nich. Skoro podstawą wykonywania przez tego administratora zadań mogą być różne stosunki zatrudnienia, to możliwe jest również, aby z jednym podmiotem łączył ABI stosunek pracy, a na rzecz drugiego wykonywał on zadania, np. w ramach wspomnianego outsourcingu. Istotne jest, aby wypełniał wszystkie ustawowo wymagane kryteria.

... i podległości

Kluczowy jest ustawowo uregulowany wymóg podlegania przez ABI bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych (w przypadku pracodawców prowadzących jednoosobową działalność gospodarczą). Powiązane z tym obowiązkiem jest zobowiązanie administratora danych nie tylko do zapewnienia środków, ale również organizacyjnej odrębności ABI niezbędnej do należytego wykonywania powierzonych zadań.

Działania ABI nie mogą być uzależnione od działań innych osób ani też środków będących w ich dyspozycji. Jedną bowiem z przyczyn nowelizacji ustawy była potrzeba wzmocnienia pozycji ABI w jednostce organizacyjnej i zagwarantowania mu niezależności względem innych osób, zgodnie z wymogami określonymi w dyrektywie 95/46 /WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (DzUrz WE L 281 z 23 listopada 1995 r.). Przy czym należy wskazać, że w sytuacji, gdy pracodawca jest spółką, kierownik jednostki nie może być utożsamiany z administratorem danych. Są to dwa odrębne używane w przepisach ustawy pojęcia. Za kierownika jednostki należy uznać np. prezesa zarządu jako osobę stojącą na czele organu kierującego działaniami osoby prawnej. Niezapewnienie podległości bezpośrednio kierownikowi danej jednostki organizacyjnej może skutkować wykreśleniem ABI z rejestru z urzędu przez GIODO.

Środki na działania

Zapewniając ABI i jego zastępcom odpowiednią komórkę organizacyjną, pracodawca nie powinien zapominać o wyposażeniu jej również w odpowiedni budżet i środki zapewniające niezależność w wykonywaniu zadań. Utrzymywanie struktur, w których ABI podległy jest hierarchicznie kilku osobom i któremu nie pozostawiono do dyspozycji żadnych środków umożliwiających wykonywanie zadań, jest niezgodne z ustawą.

Planując strukturę organizacyjną, należy również pamiętać o ewentualnych zastępcach ABI. Nie powinni oni bowiem podlegać innym osobom niż ABI albo kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem.

Dodatkowe obowiązki

Problematyczne staje się powierzenie pracownikowi na stanowisku ABI wykonywania innych, dodatkowych zadań. Jak bowiem wcześniej podkreślono, można mu je powierzyć, pod warunkiem że ich wykonywanie nie będzie skutkować naruszeniem prawidłowego realizowania obowiązków w zakresie nadzoru nad przestrzeganiem przepisów ustawy. Ocenić to można przy uwzględnieniu konkretnych okoliczności faktycznych. Nie wystarczy tu poprzestanie na analizie pisemnego zakresu obowiązków i uznanie na tej podstawie, że ABI będzie miał taką możliwość.

Przykład

Pracownik pełni funkcję ABI w wymiarze 2/3 etatu. W tym zakresie służbowo podlega zarządowi, a w pozostałym czasie jest zatrudniony na stanowisku specjalisty ds. rozwoju oprogramowania systemów informatycznych. W takiej sytuacji należy wskazać, że w zakresie wykonywania pracy na dotychczasowym stanowisku podwładny nadal będzie podlegał dotychczasowemu przełożonemu. Pracodawca nie może natomiast wyciągać wobec niego konsekwencji za ewentualne nierealizowanie jego dotychczasowych obowiązków, jeżeli wskaże on, że ich wykonanie na równi z zadaniami ABI nie było możliwe. Wówczas ciężar dowodu, że podwładny miał taką możliwość, spoczywa w całości na pracodawcy.

Powołanie do bytu

Fakt powołania ABI pracodawca ma obowiązek zgłosić w ciągu 30 dni do rejestracji GIODO. Zgłoszeni ABI są wpisywani do ogólnokrajowego, jawnego rejestru (art. 46c u.o.d.o.).

Administrator danych, który zgłosi ABI do rejestracji, ma obowiązek zgłaszać generalnemu inspektorowi każdą zmianę informacji objętych zgłoszeniem powołania ABI w terminie 14 dni, a jego odwołanie w terminie 30 dni, odpowiednio od dnia dokonania zmiany lub odwołania. ?Jeśli wolą administratora danych było, aby dotychczasowy ABI pełnił tę funkcję również po nowemu, to osoba ta musiała spełniać przewidziane przez nowelę warunki, tj.:

- wypełniać kryteria dotyczące samego ABI,

- podlegać bezpośrednio kierownikowi jednostki, oraz

- mieć zapewnione środki i organizacyjną odrębność administratora niezbędną do niezależnego wykonywania przez niego swoich obowiązków.

ABI wyznaczony jeszcze przed początkiem 2015 r., po spełnieniu ww. przesłanek, powinien był zostać zgłoszony w GIODO najpóźniej do 30 czerwca 2015 r. Jeśli pracodawca nie dokonał takiego zgłoszenia w terminie, dotychczasowy ABI przestał pełnić swoje zadania. Jego obowiązki – z wyłączeniem konieczności sporządzania sprawozdania – powróciły do administratora danych, który od 1 lipca 2015 r. ponownie ponosi pełną odpowiedzialność za przestrzeganie przepisów o ochronie danych osobowych.

Zdaniem autorki

Katarzyna Gospodarowicz, radca prawny w Kancelarii Prawnej Schampera, Dubis, Zając (SDZLEGAL SCHINDHELM)

Najczęściej funkcję ABI powierza się jednemu z pracowników działu IT danej spółki. W takiej sytuacji powstaje praktyczny problem. Specjalista z zakresu informatyki z reguły bowiem podlega szefowi działu, a nie bezpośrednio zarządowi. Wprawdzie w tym wypadku może zachodzić służbowa zależność pracownika wobec władz spółki, ale z całą pewnością nie spełnia ona wymogu bezpośredniości. Takie wyznaczenie ABI w świetle nowych przepisów jest nieprawidłowe. Jeżeli pracodawca chce wybrać jednego ze swoich specjalistów, aby powierzyć mu te obowiązki, powinien zacząć od zmiany jego umowy w ten sposób, aby zatrudnić go na stanowisku ABI ze wskazaniem podległości służbowej bezpośrednio zarządowi. Nowelizacja pociąga zatem za sobą konieczność zmiany schematów organizacyjnych pracodawcy i uwzględnienie bezpośredniej podległości ABI kierownikowi jednostki. Konieczność takiego działania potwierdza zobowiązanie do zapewnienia organizacyjnej odrębności ABI (art. 36 a ust. 8 ustawy).

Obowiązki firmowego ABI

Zgodnie z ustawą do powinności ABI należy:

1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,