Administrator Bezpieczeństwa Informacji – nowe rozwiązanie dla przedsiębiorców

W związku z wejściem w życie w dn. 25 grudnia 2014 r. ustawy o prawach konsumenta, prowadzona była szeroka akcja informacyjna dotycząca wymogów związanych z prowadzeniem sprzedaży na odległość. Szczególnie podkreślano przy tym również obowiązki dotyczące wymogów z ustawy o ochronie danych osobowych. Wielokrotnie bowiem przedsiębiorcy, choć respektowali uprawnienia konsumentów, to kompletnie pomijali kwestię przetwarzania ich danych gromadzonych w toku działalności.

Ustawą z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej wprowadzono nowe rozwiązanie dostępne dla przedsiębiorców, jakim jest możliwość powołania Administratora Bezpieczeństwa Informacji. Wielu przedsiębiorców sceptycznie podchodzi do wszelkich nowości i wymogów prawnych, jednak w tym względzie jest to zarówno działanie nieobowiązkowe, jak i przynoszące istotne korzyści.

ADO, a ABI

Dla celów porządkowych, warto zaznaczyć, że obecnie na gruncie Ustawy o ochronie danych osobowych (dalej jako u.o.d.o.), funkcjonuje pojęcie Administratora Danych Osobowych oraz Administratora Bezpieczeństwa Informacji.

Przez Administratora Danych Osobowych rozumieć należy organ, jednostkę organizacyjną, podmiot lub inną osobę, decydujące o celach i środkach przetwarzania danych osobowych, tj. osoby fizyczne i osoby prawne oraz jednostki organizacyjne niebędące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych (art. 7 pkt 4 w zw. z art. 3 ust. 2 pkt 2 u.o.d.o.).

Przez Administratora Bezpieczeństwa Informacji rozumieć należy osobę powołaną przez Administratora Danych Osobowych, nadzorującą przestrzeganie zasad ochrony danych osobowych i odpowiadającą za bezpieczeństwo danych osobowych przetwarzanych m.in. w systemie informatycznym.

Zgodnie z art. 36a ADO może powołać administratora bezpieczeństwa informacji. Istotna jest przy tym fakultatywność tego działania, w związku z czym nie ma obowiązku dokonywania takowego powołania.

Obowiązki Administratora Bezpieczeństwa Informacji

Ustawa o ochronie danych osobowych zawiera katalog czynności, które należą do obowiązków ABI-ego, jednak pozwala przydzielić mu również inne, nie uwzględnione w Ustawie. Tego typu konstrukcja przepisu umożliwia dostosowanie działalności przedsiębiorców do zakresu zadań związanych z przetwarzaniem danych osobowych, zwłaszcza gdy w firmie istnieją szczególne procedury z tym związane.

Do zadań administratora bezpieczeństwa informacji należy:

1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

• a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
• b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
• c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

2. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7.

Zgodnie ze wskazaniem zawartym powyżej, ADO może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania w/w zadań (art. 36a ust. 4 w zw. z ust. 2 u.o.d.o.).

Korzyści z powołania

Każdy z przedsiębiorców, który prowadzi sprzedaż na odległość, gromadzi dane osobowe innych osób w związku z prowadzoną działalnością. Następuje to również m.in. wskutek podejmowanych działań marketingowych. Przykładowo do przetwarzania danych osobowych dochodzi w przypadku wysyłania informacji handlowych drogą elektroniczną. Należy pamiętać, że co do zasady, zgodnie z art. 40 u.o.d.o., Administrator danych – czyli przedsiębiorca, jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Jednym z wyjątków od tego wymogu jest właśnie przypadek powołania Administratora Bezpieczeństwa Informacji. Zgodnie bowiem z literalnym brzmieniem przepisu z art. 43 ust. 1a u.o.d.o. obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ust. 2.

Innymi słowy – przedsiębiorcy mogą powołać ABI i tym samym zwolnić się od obowiązku dokonania zgłoszenia zbioru danych osobowych.

Należy pamiętać jednak, że wyjątek od dokonywania zgłoszenia zbiorów danych do GIODO, w przypadku powołania Administratora Bezpieczeństwa Informacji, nie dotyczy sytuacji przetwarzaniach danych wrażliwych. Są to informacje takie jak ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (art. 27 ust. 1). Zgodnie z aktualnym orzecznictwem katalog ten ma charakter ścisłego wyjątku i jako taki powinien być wykładany możliwie ściśle (por. wyrok Naczelnego Sądu Administracyjnego w Warszawie, z dnia 18 grudnia 2014 r., I OSK 900/13, LEX nr 1650435). W związku z powyższym, nawet jeśli przedsiębiorca powoła ABIego, a przetwarza dane wrażliwe, przy czym nie zachodzi żaden z wyjątków ustawowych (art. 27 ust. 2 u.o.d.o.), to wciąż jest obowiązany do dokonania zgłoszenia do GIODO.

Drugą z istotnych korzyści, jest możliwość uniknięcia kontroli zewnętrznej dokonywanej przez Generalnego Inspektora Ochrony Danych Osobowych (dalej jako: GIODO). Może on bowiem zwrócić się do administratora bezpieczeństwa informacji wpisanego do rejestru o dokonanie sprawdzenia (kontroli), u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia. Po dokonaniu sprawdzenia, administrator bezpieczeństwa informacji, za pośrednictwem administratora danych, przedstawia Generalnemu Inspektorowi sprawozdanie (art. 19b ust. 1 w zw. z ust. 2 u.o.d.o). W przedsiębiorstwie, w którym powołano ABI, GIODO będzie mógł więc przeprowadzać, zamiast kontroli wykonywanej przez własnych inspektorów, tzw. kontrolę wewnętrzną. Polega to na sprawdzeniu i weryfikacji czy dane osobowe w firmie przetwarzane są zgodnie z prawem. Taka kontrola z pewnością stanowi znaczne ułatwienie dla przedsiębiorców. Nie będą oni wówczas kontrolowani przez zewnętrzne podmioty, lecz przez „własnego” pracownika, który przedstawi GIODO odpowiednie sprawozdanie z przedsięwziętych czynności. Należy jednak zaznaczyć, że jeśli przedsiębiorca nie powoła ABI-ego, wówczas kontrole GIODO będą odbywały się na starych zasadach. Niezależnie od powyższych, GIODO może również przeprowadzić kontrolę z pominięciem ABI-ego (zgodnie z art. 19b ust. 3 u.o.d.o.), jednak są to raczej przypadki marginalne, czy też wynikające z niewłaściwych wyników sprawozdania ABI-ego, bądź jego nierzetelnego sporządzenia.

Kto może być ABI?

Ustawa o ochronie danych osobowych wyraźnie określa kto może pełnić funkcję Administratora Bezpieczeństwa Informacji. Zgodnie z art. 36a ust. 5 może być to osoba, która:

• 1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
• 2. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
• 3. nie była karana za umyślne przestępstwo.

Należy jednocześnie podkreślić, że musi być to osoba fizyczna, w związku z czym przedsiębiorca nie może powołać na stanowisko ABI-ego przykładowo – spółki z ograniczoną odpowiedzialnością. Również w literaturze przedmiotu stwierdza się, iż mimo, że ustawa u.o.d.o. nie stanowi o tym wyraźnie, to należy przyjąć, że ABI powinien być osobą fizyczną, a w konsekwencji administrator danych może przejąć jego obowiązki tylko wtedy, gdy jest osobą fizyczną (A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Wydawnictwo Prawnicze LexisNexis 2005, str. 252 i nast.).

Jak powołać ABI-ego?

Zgłoszenia powołania ABI do rejestracji Generalnemu Inspektorowi oraz zgłoszenia odwołania ABI należy dokonać wyłącznie przy użyciu formularzy zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji, których wzory stanowią załączniki do rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. (Dz. U. z 2014 r., poz. 1934). Formularz zgłoszenia powołania może być również wykorzystany przez administratora danych do zgłoszenia zmian informacji objętych zgłoszeniem powołania ABI.

Zaznaczenia wymaga, że zgłoszenie musi spełniać również wymogi formalne przewidziane w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2013 r., poz. 267 z późn. zm.), tj. aby zostało złożone na formularzach zgłoszenia powołania i odwołania administratora bezpieczeństwa informacji, których wzory stanowią załącznik do powołanego wyżej rozporządzenia, zawierało w swojej treści informacje, o których mowa w art. 46b ust. 2 i 3 u.o.d.o., a także aby zostało podpisane przez osobę/osoby upoważnione do reprezentowania administratora danych. Jeżeli jednak ADO udzielił pełnomocnictwa do reprezentowania go w postępowaniu rejestracyjnym ABI, wówczas zobowiązany jest do załączenia oryginału bądź urzędowo poświadczonego odpisu pełnomocnictwa wraz z dowodem uiszczenia opłaty skarbowej należnej zgodnie z przepisami ustawy z dnia 16 listopada 2006 r. o opłacie skarbowej (Dz. U. z 2014 r., poz. 1628 z późn. zm.).

Pomimo teoretycznych komplikacji związanych z powołaniem Administratora Bezpieczeństwa Informacji, w rzeczywistości wypełnienie formularza nie powinno stanowić większych problemów. Wzór można znaleźć pod adresem: http://isap.sejm.gov.pl

W przypadku prowadzenia działalności w formie np. spółki z ograniczoną odpowiedzialnością, konieczne może być podjęcie stosownej uchwały w celu powołania ABI-ego.

Autor: Maciej Grzegorczyk

Prawnik w Kancelarii Prawnej Szostek_Bar i Partnerzy - Z wykształcenia prawnik oraz politolog, ze specjalizacją w mediach elektronicznych. Zainteresowania w prawie handlowym oraz prawie nowych technologii, w tym w szczególności w zakresie baz danych oraz ochrony danych osobowych. Kontakt: emjgrzegorczyk@gmail.com