Każdy przedsiębiorca, który przetwarza dane osobowe osób fizycznych zobowiązany jest do ich przetwarzania w zgodzie z obowiązującym porządkiem prawnym, to pewne. Często jednak przedsiębiorcy nie wiedzą lub nie odróżniają sposobów na zgodne z prawem uregulowanie przetwarzania danych osobowych w swojej firmie. Ustawodawca przewidział dwojaki sposób na uregulowanie tego zagadnienia. Sposoby dopuszczone przepisami prawa są zgoła odmienne i w zależności o woli przedsiębiorcy mogą w pełni zaangażować go w ochronę danych osobowych lub całkowicie „wyoutsourcować” obowiązki jakie wynikają z ustawy.
Rejestracja zbiorów danych osobowych u Generalnego Inspektora Ochrony Danych Osobowych.
Jest to tradycyjny sposób uregulowania ciążącego na przedsiębiorcy obowiązku. Według tej możliwości Administrator danych osobowych (ADO), a więc podmiot, który faktycznie przetwarza dane osobowe w jakimś określonym celu i na własny użytek, musi zadbać o to, aby dane te przetwarzane były w zgodny z prawem sposób. Według ustawy o ochronie danych osobowych ADO musi przede wszystkim dokonać rejestracji zbiorów danych osobowych u Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Zbiory rejestruje się za pomocą właściwych formularzy, a sam wniosek może zostać złożony w biurze podawczym lub przesłany do GIODO pocztą lub też złożony w formie elektronicznej. Zbiory danych rozróżniane są ze względu na cel w jakim dane są przetwarzane, a każdy zbiór powinien mieć odróżniającą go nazwę.
Poza zgłoszeniem wniosku, w przypadku przetwarzania danych osobowych z użyciem systemów informatycznych, w tym urządzeń z połączeniem do internetu, Administrator danych osobowych musi wprowadzić określone procedury związane z przetwarzaniem danych osobowych. Procedury o których mowa powyżej zawierają się w Polityce bezpieczeństwa informacji oraz Instrukcji zarządzania systemem informatycznym. Same dokumenty o których mowa powyżej wymagane są przez Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Poza wspomnianym koniecznym jest prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych, a nad całą firmą piecze powinien sprawować wyznaczony Administrator Bezpieczeństwa Informacji (ABI) – którego w przypadku tego trybu nie należy mylić z tzw. zewnętrznym ABI o którym będzie mowa w dalszej części. Funkcję ABIego w przypadku mniejszych, jednoosobowych działalności może pełnić sam przedsiębiorca, będący jednocześnie Administratorem danych osobowych. Administrator Bezpieczeństwa Informacji to osoba która faktycznie zajmuje się ochroną danych w firmie i przestrzega procedur wprowadzonych Polityką bezpieczeństwa oraz Instrukcją zarządzania systemem informatycznym.
Konsekwencje rejestracji zbiorów danych u GIODO.
Jeżeli przedsiębiorca dokona zgłoszenia zbioru danych do rejestracji we własnym imieniu, to on będzie fizycznie odpowiedzialny za prawidłowość przetwarzania danych osobowych w swojej firmie. W praktyce oznacza to, że jeżeli sam przedsiębiorca lub jego pracownik dopuści się naruszenia przepisów, to sąd przy udziale GIODO będzie mógł wyciągnąć konsekwencje bezpośrednio przeciwko niemu. Takiego stanu rzeczy nie zmieni nawet wyznaczenie w obrębie firmy Administratora Bezpieczeństwa Informacji, bowiem ADO będzie za niego odpowiadał, taka jak za każdego z pracowników.
Dla kogo jest samodzielne zgłoszenie zbioru danych osobowych?
Samodzielne prowadzenie dokumentacji związanej z ochroną danych osobowych, a także bezpośrednia odpowiedzialność za przetwarzanie danych osobowych wskazana jest dla mniejszych firm. Szczególnie dla firm zatrudniających niewielu pracowników i firm u których nie ma potrzeby zatrudniania Administratora Bezpieczeństwa Informacji jako wyszczególnionego pracownika, którego zadaniem w firmie będzie tylko i wyłącznie funkcja ABI.
Rejestracja Administratora Bezpieczeństwa Informacji.
Rejestracja ABI jest alternatywą do rejestracji zbiorów danych osobowych u GIODO przez Administratorów danych osobowych, a sama instytucja wynika z próby uproszczenia prowadzenia działalności zaproponowanej przez ustawodawcę kilka lat temu. Według ustawy o ochronie danych osobowych Administrator Danych Osobowych może powołać Administratora Bezpieczeństwa Informacji, który będzie bezpośrednio odpowiedzialny za przetwarzanie danych przez konkretnego ADO. Zgłoszenie ABI do GIODO powinno nastąpić najpóźniej w terminie 30 dni od jego powołania. Co ważne osoba, która ma pełnić funkcje ABI musi według przepisów ustawy mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych, ponadto musi posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych, a także nie może być karana za umyślne przestępstwo.
Do zadań administratora bezpieczeństwa informacji należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdań dla administratora danych, nadzorowanie opracowania i aktualizowanie dokumentacji, zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, a także prowadzenie rejestru zbiorów danych przetwarzanych przez Administratora danych osobowych. Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej Administratorem danych osobowych.
Konsekwencje zgłoszenia Administratora Bezpieczeństwa Informacji.
W przeciwieństwie do zgłoszenia zbioru danych do rejestracji, zgłoszenie ABI do GIODO pociąga za sobą konsekwencje przede wszystkim w stosunku do samego Administratora Bezpieczeństwa Informacji. Od momentu zgłoszenia jest on bezpośrednio odpowiedzialny za poprawność przetwarzania danych osobowych, czy też prowadzenie zbiorów danych osobowych w danym przedsiębiorstwie (u konkretnego Administratora danych osobowych). W przypadku kontroli ze strony GIODO lub w przypadku stwierdzenia jakichkolwiek nieprawidłowości to właśnie ABI będzie ponosił bezpośrednią odpowiedzialność za ewentualne nieprawidłowości.
Dla kogo rejestracja Administratora Bezpieczeństwa Informacji?
Rejestracja Administratora Bezpieczeństwa Informacji do GIODO wskazana jest szczególnie wśród tych firm, które przetwarzają dane osobowe w wielu zbiorach o różnych celach w jakich dane te są przetwarzane. Warto również pomyśleć o zewnętrznym ABI jeżeli firma zatrudnia powyżej przynajmniej 20 osób, które fatycznie zajmują się przetwarzaniem danych osobowych np. dotyczących klientów firmy. Przy takiej liczbie pracowników, kwestie związane z prawidłową ochroną danych osobowych stają się na tyle pracochłonne, że osoba fizycznie odpowiedzialna za same procedury może potrzebować czasu wyłącznie na sprawy związane właśnie z ochroną danych osobowych. Oczywiście w tym względzie wiele zależy od finansów jakie dany przedsiębiorca chce przeznaczyć na zagadnienia związane z ochroną danych osobowych, dużo więc zależy w tym względzie właśnie od tego czynnika. Warto w tym miejscu przypomnieć, że oszczędność i brak powołania zewnętrznego ABI może być fikcyjna, przez wzgląd na czas jaki poświęci się na studiowanie przepisów o ochronie danych, a nie faktyczny rozwój firmy.
Jakub Szajdziński
Partner Zarządzający
ENSIS Kancelaria Doradztwa Prawnego
Cioczek & Szajdziński Spółka Cywilna
Jeżeli potrzebujesz pomocy z zakresu ochrony danych osobowych skontaktuj się z nami: ensiskancelaria.com
Jeżeli chcesz porozmawiać o prawie w e-biznesie dołącz do naszej grupy na Facebook