Administrator bezpieczeństwa informacji może sprawić kłopoty

Obowiązująca od 1 stycznia br. znowelizowana ustawa o ochronie danych osobowych przewiduje dobrowolność powoływania niezależnych administratorów bezpieczeństwa informacji. Z tym że do połowy roku administratorzy wyznaczeni przed tą datą muszą wykonywać nową funkcję, chyba że zostaną odwołani.

Nowe zasady

1 stycznia br. weszła w życie nowelizacja ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2014 r., poz. 1182; dalej: ustawa) przyjęta w ustawie z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (DzUz 2014 r., poz. 1662; dalej: ustawa deregulacyjna). Wprowadza się w niej zupełnie nowe zasady zapewniania przestrzegania przepisów o ochronie danych osobowych w sferze wewnętrznej każdego podmiotu podlegającego przepisom ustawy.

Polegają one w szczególności na obowiązkowym sprawdzaniu zgodności przetwarzania danych osobowych z przepisami prawa, nadzorowaniu opracowania wymaganej dokumentacji przetwarzania i ochrony danych oraz zapoznawaniu osób upoważnionych do przetwarzania danych osobowych z przepisami w tym zakresie. Każdy podmiot objęty zakresem ustawy (tj. administrator danych lub podmiot przetwarzający powierzone dane) wybiera, czy samodzielnie realizować wymienione zadania, czy też do ich wykonywania powołać u siebie administratora bezpieczeństwa informacji (ABI).

Zmieniona ustawa przewiduje zarówno organizacyjne, jak i kompetencyjne warunki wykonywania funkcji ABI. Jego sprawdzenia kończą się sprawozdaniami oceniającymi stan zgodności przetwarzania danych z przepisami, które są przekazywane do podmiotu powołującego, ale także – na żądanie – do generalnego inspektora ochrony danych osobowych (GIODO). Powołany ABI musi podlegać bezpośrednio kierownikowi jednostki organizacyjnej, a podmiot powołujący jest dodatkowo zobligowany zapewnić jego organizacyjną odrębność i środki na wykonywanie zadań. Służy to zagwarantowaniu niezależności ABI w realizacji ustawowych zadań.

Powołanego ABI należy zgłosić do GIODO, który prowadzi ogólnokrajowy rejestr osób wykonujących tę funkcję. W tym wypadku bonusem powołania i zgłoszenia ABI jest zwolnienie administratora danych z obowiązków rejestracyjnych zbiorów danych osobowych wobec GIODO (z wyjątkiem zbiorów zawierających dane wrażliwe). W zamian ABI prowadzi w swoim podmiocie uproszczony jawny rejestr zbiorów podlegających temu wymogowi. Takie rozwiązanie odciążające od formalnych obowiązków notyfikacyjnych względem krajowego organu ds. ochrony danych zostało już wcześniej przewidziane w stanowiącej pierwowzór polskiej ustawy unijnej dyrektywie 95/46/WE.

Przed podmiotami objętymi zakresem ustawy postawiono więc wybór między dwoma wariantami wewnętrznego zapewnienia przestrzegania przepisów o ochronie danych osobowych. Powołanie ABI wymaga jednak spełnienia dodatkowych ustawowych warunków, z których kluczowe wydaje się zapewnienie jego niezależności w realizacji zadań. W zamian następuje daleko idące zwolnienie z wymogów rejestracyjnych w stosunku do GIODO.

Dotychczasowy administrator

To spójne rozwiązanie zaburza jednak przepis przejściowy zawarty w art. 35 ustawy deregulacyjnej, który odnosi się do dotychczas wyznaczonych ABI. Przypomnijmy, że funkcję ABI przewidywała również ustawa sprzed nowelizacji. Jednak przedtem taki administrator wykonywał jedynie ogólnie zakreślone zadanie nadzoru nad przestrzeganiem zasad technicznej i organizacyjnej ochrony danych, bez dookreślenia kompetencji oraz kwestii organizacyjnych. Powodowało to istotne rozbieżności w wykonywaniu tej funkcji w skali całego kraju.

Zgodnie z przepisem przejściowym administrator wyznaczony przed 1 stycznia br. pełni tę funkcję w rozumieniu obowiązującego od tej daty przepisu art. 36a ust. 1 ustawy do czasu jego zgłoszenia do GIODO, jednak nie dłużej niż do 30 czerwca br. Z kolei przepis art. 36a ust. 1 ustawy dopuszcza możliwość powołania ABI według nowych zasad.

Z przepisu przejściowego wynikają daleko idące konsekwencje, ponieważ ABI wyznaczony przed 1 stycznia ma pełnić z mocy prawa do połowy roku nową funkcję, nawet jeśli nie zostanie zgłoszony do GIODO. Pełnienie funkcji według znowelizowanych przepisów wiąże się natomiast z koniecznością spełnienia przedstawionych wyżej wymogów organizacyjnych oraz wykonywania określonych kompetencji.

Rozwiązane przejściowe należy ocenić krytycznie. Odnosi się ono do bardzo dużej grupy podmiotów, ponieważ zgodnie z wyrokiem NSA z 21 lutego 2014 r. (I OSK 2445/12) w poprzednim stanie prawnym wyznaczenie ABI było obowiązkiem każdego podmiotu oprócz osób fizycznych prowadzących działalność gospodarczych. W stosunki do tych administratorów  przepis przejściowy przewiduje, że przez sześć miesięcy będą z mocy prawa pełnić funkcję, która przecież miała być wynikiem wyboru podmiotu objętego zakresem ustawy. Z wyborem opcji funkcjonowania niezależnego ABI wiąże się konieczność odpowiednich przygotowań organizacyjnych oraz przeznaczenia środków. Tymczasem wchodząca w życie 1 stycznia 2015 r. nowelizacja została opublikowana dopiero 27 listopada ubiegłego roku, a do dzisiaj nie wydano przepisów wykonawczych dotyczących trybu i sposobu realizacji zadań przez ABI.

Dopuszczalne odwołanie

Jednak w mojej ocenie podmioty, do których stosuje się ustawę, mogą odwołać ABI pełniącego swoją funkcję na mocy przepisu przejściowego. Ustawa sprzed nowelizacji tego nie zakazywała, a po zmianach wprost dopuszcza odwołanie ABI. Powołanie i odwołanie jest szczególną czynnością dokonywaną na podstawie ustawy, mającą bezpośrednie skutki tylko na gruncie przepisów o ochronie danych osobowych. Konsekwencją odwołania będzie samodzielne realizowanie przez podmiot zadań zapewniania przestrzegania przepisów o ochronie danych osobowych w swojej jednostce organizacyjnej. W ten sposób nadal w okresie przejściowym zagwarantowany jest wybór opcji, w jaki sposób każdy podmiot realizuje te zadania dotyczące własnej sfery wewnętrznej.