Administratorzy danych osobowych a nowe przepisy

Może się okazać, że administratorzy danych nie zdecydują się na powołanie ABI. Nie będą chcieli stosować niejasnych przepisów – pisze ekspert.

Publikacja: 27.05.2015 09:05

Łukasz Czynienik

Łukasz Czynienik

Foto: materiały prasowe

Wkrótce zacznie obowiązywać, z blisko półrocznym opóźnieniem, rozporządzenie do zmienionych od 1 stycznia 2015 r. przepisów ustawy o ochronie danych osobowych. Chodzi o rozporządzenie ministra administracji i cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji. Zostało już podpisane i teraz czeka na publikację w Dzienniku Ustaw. Nowe przepisy zaczną obowiązywać następnego dnia po ogłoszeniu.

Rozporządzenie precyzuje sposób realizacji przez administratora bezpieczeństwa informacji (tzw. ABI) zadań, które nakłada na niego ustawa. Wyznaczony przez administratora ABI ma obowiązek zapewnić przestrzeganie przepisów o ochronie danych osobowych. Realizacja tego zadania polega m.in. na kontrolowaniu przez ABI zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Kto musi stosować

Pierwszy projekt rozporządzenia był gotowy pod koniec grudnia 2014 r. i w założeniu powinien wejść w życie razem ze zmienioną ustawą, jednak liczba uwag zgłoszonych przez uczestników procesu legislacyjnego sprawiła, że ministerstwo przygotowało istotnie zmienioną wersję tego aktu. Porównanie pierwotnej wersji do wchodzącego w życie lada dzień aktu obrazuje skalę wprowadzonych zmian. Na szczególną uwagę zasługują dwie z nich.

Zmianie uległ sam tytuł rozporządzenia. Dodano wyrażenie wskazujące jednoznacznie, że przepisy powinny być realizowane przez ABI, a więc wyłącznie przez tych administratorów danych, którzy zdecydowali się na powołanie takiej osoby. Na tę z pozoru czysto redakcyjną zmianę należy spojrzeć łącznie z inną, która dotyczy pierwotnego brzmienia § 15. W wersji z grudnia 2014 r. przepis wskazywał jednoznacznie, że postanowienia tego aktu znajdują odpowiednie zastosowanie również do tych administratorów danych, którzy nie zdecydowali się na powołanie ABI. Rozporządzenie w obecnej wersji nie zawiera analogicznego postanowienia. Można więc dojść do wniosku, że skoro w tytule aktu prawnego wskazano wprost na podmiotowy zakres jego zastosowania, przy jednoczesnym usunięciu postanowienia o odpowiednim stosowaniu do administratorów danych, którzy nie powołali ABI, to rozporządzenie będą stosować wyłącznie administratorzy danych mający w swojej strukturze ABI powołanego zgodnie z nowymi przepisami.

Teza ta nie jest tak oczywista w świetle uwag zgłoszonych do wspomnianego § 15 rozporządzenia w wersji z grudnia 2014 r. Z jednej strony Rządowe Centrum Legislacji postulowało usunięcie wszystkich przepisów przejściowych, a więc również §15, wskazując jednocześnie, że przepisy te powinny znaleźć się w ustawie. Z drugiej zaś strony w swoich uwagach do rozporządzenia generalny inspektor ochrony danych osobowych wskazał, że jego zdaniem zapis § 15 jest zbędny, gdyż konieczność stosowania przepisów rozporządzenia przez administratorów danych, którzy nie powołali ABI, wynika z art. 36b ustawy. Zgodnie z przywołanym przepisem w przypadku niepowołania ABI jego zadania, z pewnymi wyjątkami, realizuje sam administrator danych. Ostatecznie usunięto § 15.

Wobec tych wątpliwości jedyną wskazówką dla administratorów danych pozostaje tytuł rozporządzenia. Nie oznacza to jednak, że administratorzy, którzy nie wyznaczyli ABI, są zwolnieni z realizacji obowiązków, które na tych ostatnich nakłada ustawa. W dalszym ciągu muszą stosować art. 36b ustawy. Mimo więc braku formalnego związania przepisami rozporządzenia administratorzy danych, którzy nie powołali ABI, będą do niego sięgać jako swoistego kodeksu dobrych praktyk.

Pierwsze sprawdzenie

Drugą istotną zmianę w porównaniu z wersją z grudnia 2014 r. stanowi usunięcie z rozporządzenia § 11. Precyzował on, że ABI przedstawia administratorowi danych plan sprawdzeń w terminie 30 dni od dnia swojego powołania.

Zgodnie z rozporządzeniem ABI będzie przeprowadzał tak zwane planowe sprawdzenia zgodności przetwarzania danych osobowych. Sprawdzenia te powinny być przeprowadzone według przygotowanego wcześniej planu. Rozporządzenie przewiduje, że plan musi obejmować okres nie krótszy niż kwartał i nie dłuższy niż rok. Stąd wniosek, że przeprowadzane przez ABI sprawdzenie planowe powinno mieć miejsce przynajmniej raz w roku. Problem w tym, że nie wiadomo, kiedy konkretnie ABI powinien przedstawić administratorowi danych plan sprawdzeń. Rozporządzenie wskazuje jedynie, że plan musi zostać przedstawiony nie później niż dwa tygodnie przed dniem rozpoczęcia okresu nim objętego. Ponieważ rozporządzenie nie przewiduje jakichkolwiek sankcji w przypadku uchybienia temu terminowi, należy przyjąć, że ma ono charakter czysto instrukcyjny. W rezultacie rozporządzenie nie wskazuje wprost terminu przeprowadzenia przez ABI pierwszego planowego sprawdzenia.

Dylematy administratorów

Trudno nie odnieść wrażenia, że idea deregulacji, która przyświecała zmianom do ustawie, nie została odzwierciedlona w rozporządzeniu. Co prawda w porównaniu z wersją z grudnia 2014 r. zostało uproszczone i usunięto z niego niektóre przepisy. Mankamentem jest jednak brak przepisów przejściowych, które jednoznacznie wyjaśniałaby wątpliwości administratorów danych co do kręgu podmiotów objętych zakresem tego aktu oraz terminów realizacji określonych w nim zadań.

Autor jest radcą prawnym w Linklaters

Wkrótce zacznie obowiązywać, z blisko półrocznym opóźnieniem, rozporządzenie do zmienionych od 1 stycznia 2015 r. przepisów ustawy o ochronie danych osobowych. Chodzi o rozporządzenie ministra administracji i cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji. Zostało już podpisane i teraz czeka na publikację w Dzienniku Ustaw. Nowe przepisy zaczną obowiązywać następnego dnia po ogłoszeniu.

Pozostało 91% artykułu
Opinie Prawne
Tomasz Pietryga: Sędziowie 13 grudnia, krótka refleksja
https://track.adform.net/adfserve/?bn=77855207;1x1inv=1;srctype=3;gdpr=${gdpr};gdpr_consent=${gdpr_consent_50};ord=[timestamp]
Opinie Prawne
Rok rządu Donalda Tuska. "Zero sukcesów Adama Bodnara"
Opinie Prawne
Rok rządu Donalda Tuska. "Aktywni w pracy, zapominalscy w sprawach ZUS"
Opinie Prawne
Rok rządu Donalda Tuska. "Podatkowe łady i niełady. Bez katastrofy i bez komfortu"
Materiał Promocyjny
Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite
Opinie Prawne
Marcin J. Menkes: Ryzyka prawne transakcji ze spółkami strategicznymi