Dnia 24 listopada br. Prezydent RP podpisał ustawę z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (tzw. IV ustawa deregulacyjna). Ustawa z pewnymi wyjątkami zacznie obowiązywać od dnia 1 stycznia 2015 roku, a zakres wprowadzonych nią zmian obejmie także przepisy ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (UODO).
Podstawowym zakresem deregulacji w ustawie o ochronie danych osobowych objęto zwolnienie administratora danych z obowiązku zgłoszenia zbioru danych osobowych do rejestracji GIODO związane z powołaniem administratora bezpieczeństwa informacji oraz zwolnienie zgłoszenia zbioru danych osobowych do rejestracji związane ze zbiorami danych, które nie są prowadzone w systemie informatycznym.
Ustawodawca starając się uprościć funkcjonowanie administratorów danych dodał w art. 43 UODO przepis wprowadzający nowe, kompleksowe zwolnienie z obowiązku zgłoszenia do rejestracji Generalnemu Inspektorowi zbiorów danych. Zgodnie z dodanym art. 43 ust. 1 pkt 12 UODO z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, za wyjątkiem danych określonych w art. 27 ust. 1 (tzw. dane szczególnie chronione).
Aktualnie sposób prowadzenia zbioru, tj. przetwarzanie w nim danych w sposób tradycyjny bez użycia systemu informatycznego, czy też z jego użyciem nie ma żadnego wpływu na obowiązek jego rejestracji. Jak stanowi art. 40 UODO administrator danych obowiązany jest zgłosić zbiór danych osobowych do rejestracji, Generalnemu Inspektorowi Ochrony Danych Osobowych. Katalog zwolnień z obowiązku z rejestracji zbiorów zawierają przepisy art. 43 ust. 1 pkt 1-11 UODO, dotyczą one np. zbiorów danych zawierających informacje niejawne, przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej i in. Na zwolnienie administratora danych z obowiązku rejestracji nie ma w żaden sposób wpływu wyznaczenie, bądź jego brak, administratora bezpieczeństwa informacji powołanego zgodnie z art. 36 ust. 3 UODO.
Zgodnie z obowiązującą regulacją na każdym administratorze danych ciąży obowiązek wyznaczenia administratora bezpieczeństwa informacji, chyba że administrator danych sam wykonuje jego zadania (art. 36 ust. 3 UODO). Jednakże administrator danych nie ma obowiązku zgłaszania Generalnemu Inspektorowi powołania takiej osoby. Administrator danych jest zobowiązany poinformować Generalnego Inspektora jedynie o fakcie powołania ABI, bez wskazywania jego danych osobowych, w każdym zgłoszeniu zbioru danych do rejestracji. Jedyny obowiązek rejestracyjny ciążący na administratorze danych uregulowany w ustawie dotyczy zbioru danych osobowych. Z dniem 1 stycznie 2015 zwolnieni z obowiązku zgłoszenia do rejestracji zbiorów będą administratorzy danych, którzy powołali i zgłosili Generalnemu Inspektorowi administratora bezpieczeństwa informacji. Jest to bezpośrednio związane z uchyleniem art. 36 ust. 3 UODO i dodanie nowych przepisów art. 36a oraz art. 36b wprowadzających możliwość powołania administratora bezpieczeństwa informacji, oraz regulujących jego podstawowe zadania tj. obowiązek zapewnienia stosowania przepisów o ochronie danych osobowych oraz prowadzenia jawnego rejestru zbiorów danych przetwarzanych w jednostce organizacyjnej, zawierającego informacje, o których mowa w art. 41 ust. 1 pkt. 1-4a i 7 UODO.
Warunkiem powołania administratora bezpieczeństwa informacji będzie jego pełna zdolność do czynności prawnych oraz możliwość korzystania z pełni praw publicznych, legitymowanie się odpowiednią wiedzą z zakresu przepisów o ochronie danych osobowych, a także niekaralność za przestępstwo popełnione z winy umyślnej. Taki administrator ma podlegać bezpośrednio kierownikowi danej jednostki organizacyjnej, który to zapewnia niezbędne środki i organizacyjną odrębność administratora bezpieczeństwa informacji w niezależnym wykonywaniu przez niego zadań oraz dopuszczenie nałożenia na ABI innych zadań niż określone w ustawie pod warunkiem, że nie naruszą one możliwości prawidłowego wykonywania jego ustawowych zadań. Aktualnie w Ministerstwie Administracji i Cyfryzacji trwają pracę nad wprowadzeniem przepisów regulujących zasady opracowania zgłoszeń powołania, zmiany informacji objętych zgłoszeniem i odwołania administratora bezpieczeństwa informacji.
Taki kształt nowych przepisów będzie miał istotny wpływ na kontrolę zgodności przetwarzania danych osobowych. Obecnie zgodnie z art. 12 pkt. 1 UODO kompetencję w zakresie przeprowadzania kontroli w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych posiada wyłącznie Generalny Inspektor Ochrony Danych Osobowych. Od stycznia 2015 roku będzie istniała możliwość uproszczonej kontroli przestrzegania przepisów o ochronie danych osobowych, która będzie wykonywana na wniosek Generalnego Inspektora przez niezależnego administratora bezpieczeństwa informacji, zastępując w tym zakresie bezpośrednią kontrolę GIODO. Po przeprowadzonej kontroli administrator bezpieczeństwa informacji będzie sporządzał sprawozdanie zawierające informacje określone w ustawie, które następnie przedstawi Generalnemu Inspektorowi. Zgodnie z założeniami do ustawy będzie stanowiło to istotne odciążenie dla administratorów danych, czyli w głównej mierze dla przedsiębiorców.
Z praktycznego punktu widzenia ustawa co do zakresu deregulacji niewiele się zmienia. Jedyne zmiany to te przedstawione powyżej oraz pomniejsze związane z dostosowaniem przepisów do wprowadzonych zmian. Więc czy deregulacja w takim zakresie okaże się przydatna? Z punktu widzenia przedsiębiorców zdecydowanie tak. Należy zaznaczyć, że nie będą już musieli podawać informacji o stosowanych środkach zabezpieczeń, składać wniosku do GIODO podając w nim zakres przetwarzanych danych itd.
W zupełności wystarczy, że administrator danych powoła administratora bezpieczeństwa informacji, który będzie czuwał nad przestrzeganiem zasad ochrony danych osobowych i w sytuacji zainteresowania GIODO procesem przetwarzania danych osobowej w danej jednostce wyjaśni wszelkie wątpliwości i przedstawi niezależny raport zawierający informacje związane z zachowaniem zasad bezpieczeństwa danych osobowych. Z punktu widzenia osób których dane są przetwarzane deregulacja chyba zmniejsza gwarancje zgodności przetwarzania danych w stosunku do stanu sprzed jej podjęcia.
Należy ze smutkiem stwierdzić, że obecnie przedsiębiorcy mało swojej uwagi poświęcają problemom ochrony danych osobowych, co prawda deregulacja nie zmienia ich obowiązków w związku z samą ochroną danych i przestrzeganiem pewnych zasad, daje za to większe pole dowolności we wdrożeniu i stosowaniu zasad, procedur ochrony danych. Pozostawienie w kwestii administratorów danych i administratorów bezpieczeństwa informacji przestrzegania zasad ochrony nie zwiększa więc poziomu bezpieczeństwa i zasadności przetwarzania danych, ale stanowi istotne uproszczenie dla samych przedsiębiorców i GIODO i może spowoduje zmianę podejścia do zagadnień związanych z ochroną danych osobowych.
Więcej:
Jednolity tekst ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej