Wywiad z Prezesem ENSI i Prezesem Zarządu SABI Maciejem Byczkowskim

Informacja w administracji publicznej | 02/2015

Maciej Byczkowski, Prezes Zarządu ENSI, firmy zajmującej się bezpieczeństwem informacji i ochroną danych osobowych. Pełni funkcję Prezesa Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji (od 2007 r.). Brał udział w pracach: sejmowej Komisji Sprawiedliwości i Praw Człowieka nad nowelizacją ustawy o ochronie danych osobowych (2007–2010); Zespołu ekspertów powołanego przez GIODO, który opracował projekt zmiany ustawy o ochronie danych osobowych w ramach ustawy deregulacyjnej Ministerstwa Gospodarki dla przedsiębiorców (2011–2014); sejmowej Komisji Nadzwyczajnej ds. związanych z ograniczeniem biurokracji nad nowelizacją ustawy o ochronie danych osobowych w ramach ustawy o ułatwieniu wykonywania działalności gospodarczej (deregulacja IV) oraz pracach Ministerstwa Administracji i Cyfryzacji nad opracowywaniem nowych projektów wykonawczych do ustawy o ochronie danych osobowych w zakresie wykonywania zadań ABI. Uczestniczy również w pracach nad zmianą rozporządzenia wykonawczego w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych do ustawy o ochronie danych osobowych oraz konsultacjach w przygotowaniu polskiego stanowiska na forum Rady Europy w związku z reformą ochrony danych osobowych w Unii Europejskiej.

Maciej Byczkowski, Prezes Zarządu ENSI, firmy zajmującej się bezpieczeństwem informacji i ochroną danych osobowych. Pełni funkcję Prezesa Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji (od 2007 r.). Brał udział w pracach: sejmowej Komisji Sprawiedliwości i Praw Człowieka nad nowelizacją ustawy o ochronie danych osobowych (2007–2010); Zespołu ekspertów powołanego przez GIODO, który opracował projekt zmiany ustawy o ochronie danych osobowych w ramach ustawy deregulacyjnej Ministerstwa Gospodarki dla przedsiębiorców (2011–2014); sejmowej Komisji Nadzwyczajnej ds. związanych z ograniczeniem biurokracji nad nowelizacją ustawy o ochronie danych osobowych w ramach ustawy o ułatwieniu wykonywania działalności gospodarczej (deregulacja IV) oraz pracach Ministerstwa Administracji i Cyfryzacji nad opracowywaniem nowych projektów wykonawczych do ustawy o ochronie danych osobowych w zakresie wykonywania zadań ABI. Uczestniczy również w pracach nad zmianą rozporządzenia wykonawczego w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych do ustawy o ochronie danych osobowych oraz konsultacjach w przygotowaniu polskiego stanowiska na forum Rady Europy w związku z reformą ochrony danych osobowych w Unii Europejskiej.

1. Czym charakteryzuje się działalność Stowarzyszenia ABI?

Głównym celem działalności Stowarzyszenia jest integracja środowiska Administratorów Bezpieczeństwa Informacji (ABI) oraz promowanie ich rozwoju przez podnoszenie umiejętności zawodowych związanych z zapewnianiem przestrzegania przepisów o ochronie danych osobowych. Stowarzyszenie podejmuje działania mające na celu rozpowszechnianie wiedzy związanej z tematyką szeroko pojętego bezpieczeństwa danych osobowych oraz standardów etycznych i dobrych praktyk w pracy ABI. Stowarzyszenie bardzo aktywnie uczestniczy w procesach legislacyjnych związanych z przepisami o ochronie danych osobowych, zarówno w Polsce, jak i UE, przygotowując projekty przepisów oraz wydając opinię na ich temat. Przedstawiciele SABI brali czynny udział w pracach nad dwiema nowelizacjami ustawy o ochronie danych osobowych w latach 2008–2010 oraz 2012–2014, a ostatnio w pracach nad nowymi rozporządzeniami wykonawczymi dotyczącymi wykonywania zadań ABI. Stowarzyszenie jest również członkiem CEDPO – Konfederacji Europejskich Organizacji Inspektorów Ochrony Danych.

2. Jakie działania podejmuje Stowarzyszenie w celu wspierania osób pełniących funkcję ABI w realizacji zadań?

Od samego początku funkcjonowania SABI celem nadrzędnym podejmowanych działań było wzmocnienie pozycji ABI i przygotowanie projektu zmiany statusu funkcji ABI w przepisach o ochronie danych osobowych. Projekt zmian w tym zakresie przygotowany przez SABI w 2009 r. został włączony przez GIODO do ostatniej nowelizacji ustawy o ochronie danych osobowych, która została przyjęta 7 listopada 2014 r. w ramach ustawy o ułatwieniu wykonywania działalności gospodarczej. Zmienione przepisy określają nowy sposób powołania ABI oraz doprecyzowują zakres obowiązków ABI, wymagania kwalifikacyjne do pełnienia funkcji ABI oraz umiejscowienie ABI w strukturze administratora danych lub procesora. Projekt zmian był szeroko konsultowany i dyskutowany przez SABI w środowisku ABI na szeregu różnych konferencji i seminariów. Po przyjęciu nowelizacji SABI rozpoczęło organizację cyklu seminariów dla swoich członków, które wyjaśniają zakres zmian w statusie ABI oraz pomagają podjąć decyzję co do wyboru sposobu realizacji nowych obowiązków zapewnienia przestrzegania przepisów o ochronie danych osobowych (z powołanym ABI oraz bez powołania ABI). Planujemy także w tym zakresie ogólnopolską debatę informacyjną dla wszystkich ABI w czerwcu bieżącego roku. Jednym z innych celów działań Stowarzyszenia jest ustalanie i rozpowszechnianie standardów etycznych i dobrych praktyk w pracy ABI, jako osoby zaufania publicznego. W tym celu w 2008 r. Stowarzyszenie opracowało i przyjęło Kodeks etyki zawodowej ABI. Członkostwo w SABI daje również możliwość wymiany wiedzy i doświadczeń w wykonywaniu funkcji ABI, w organizacjach różnych branży zarówno w sferze publicznej, jak i prywatnej. Stowarzyszenie organizuje regularnie seminaria dla członków poświęcone bieżącym problemom ochrony danych osobowych w Polsce, w których można uczestniczyć również zdalnie, stąd osoby spoza Warszawy nie muszą za każdym razem na nie przyjeżdżać. Mamy też uruchomione specjalne internetowe forum SABI.

3. Jak ocenia Pan sprawność systemu ochrony danych osobowych w Polsce?

Mamy w Polsce odpowiednie przepisy o ochronie danych osobowych zgodne z Dyrektywą Parlamentu Europejskiego, które funkcjonują od 17 lat. Problemem są natomiast inne akty prawne, na podstawie których zbiera się dane osobowe w wielu podmiotach w Polsce. Przepisy te nie zostały zmienione lub dostosowane do wymagań związanych z przetwarzaniem danych osobowych, przez co niosą różnego rodzaju niedogodności przy przetwarzaniu danych, szczególnie w zakresie celowości i adekwatności lub czasu przetwarzania danych osobowych (np. przepisy prawa pracy lub różne przepisy branżowe). Istotnym problemem jest również brak ustawy o monitoringu wizyjnym. Aktualizacji wymaga również rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, ze względu na zmiany, jakie zaszły w technologiach informatycznych i telekomunikacyjnych stosowanych obecnie do przetwarzania danych. Natomiast sprawność systemu zależy przede wszystkim od realizacji obowiązków ustawowych przez samych ADO. Pomimo upływu lat od wejścia w życie przepisów wiele organizacji nie wprowadziło zasad ochrony danych albo prowizorycznie realizuje ustawowe obowiązki. Poza tym ochrona danych osobowych jest bardziej wymuszona niż wynika ze społecznej wrażliwości czy obowiązku poszanowania praw innych osób. Myślę, że problem wiąże się nie tylko z brakiem świadomości ochrony danych osobowych, ale wciąż z brakiem ogólnego poszanowania prawa do prywatności w naszym społeczeństwie. Poza tym pojęcie ochrony danych osobowych zdaje się być traktowane bardzo niekonsekwentnie. Z jednej strony wyczuleni jesteśmy na naszą prywatność (nasze zarobki czy miejsce zamieszkania) z drugiej chętnie mówimy o sobie czy naszej rodzinie, w tym o naszych schorzeniach, albo zamieszczamy informacje o sobie na portalach społecznościowych.

4. Z jakimi najczęściej problemami spotyka się Pan jako Prezes Stowarzyszenia skupiającego ABI?

Najczęściej osoby zwracają się z prośbami o poradę, jaki zakres zadań powinien wykonywać ABI oraz jak właściwie umocować funkcję ABI w strukturze organizacyjnej ADO. Zwłaszcza teraz, po nowelizacji, mamy dużo pytań o to, jak zorganizować się w „nowej rzeczywistości”, czy być ABI powołanym i zgłoszonym do rejestracji GIODO, czy lepiej nie być powołanym i wykonywać nowe zadania na innym stanowisku. Jest też dużo wątpliwości co do nowego zakresu zadań ABI określonych w art. 36a ust. 2, zwłaszcza w zakresie planowania i przeprowadzania sprawdzeń zgodności przetwarzania danych oraz sposobów prowadzenia rejestru zbiorów danych osobowych. Dla części członków SABI nowe zadania nie są tak naprawdę niczym nowym. Niektóre z osób od lat przeprowadzają okresowo audyty zgodności przetwarzania danych z przepisami, które są odpowiednikiem obecnie wymaganych sprawdzeń. Duża część ABI prowadzi regularnie szkolenia z ochrony danych dla pracowników swoich organizacji, zatem realizują już w ten sposób wymagania zapewniania zapoznawania osób upoważnionych do przetwarzania danych z przepisami. Natomiast większość członków SABI od lat przygotowuje i aktualizuje dokumentację przetwarzania danych osobowych, w tym Politykę bezpieczeństwa oraz Instrukcję zarządzania systemem informatycznym oraz jako jedno z głównych swoich zadań nadzoruje właśnie przestrzeganie zasad w niej określonych. Jednym z elementów prowadzenia dokumentacji jest prowadzenie aktualnego wykazu zbiorów danych osobowych, dlatego prowadzenie rejestru zbiorów zgodnie z nowymi przepisami też nie powinno stanowić problemu dla tych ABI. Wielu z ABI wykonuje również inne zadania związane z realizacją obowiązków ochrony danych osobowych, w tym przygotowywanie umów powierzenia przetwarzania danych osobowych, opracowywanie klauzul informacyjnych przy zbieraniu danych czy przygotowywanie wniosków zgłoszenia zbiorów danych do rejestracji GIODO. I właśnie w tych tematach pojawia się wiele problemów, jak choćby pytanie czy dany proces mamy traktować jako udostępnienie danych czy powierzenie. Innym sygnalizowanym problemem jest odpowiednie przygotowanie się do kontroli GIODO oraz pytanie, jaką rolę ma mieć ABI podczas takiej kontroli.

5. Czy i jakie wymogi powinny być stawiane osobom pełniącym funkcję ABI, by zapewnić sprawność działania systemu ochrony danych osobowych?

Znowelizowane przepisy wprowadziły wymogi kwalifikacyjne dla osób, które będą powoływane na ABI. Zgodnie z art. 36a ust. 5 ustawy o ochronie danych osobowych ABI może być osoba, która: ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, posiada odpowiednią wiedzę w zakresie ochrony danych osobowych oraz nie była karana za umyślne przestępstwo. Przepis ten ma zapobiegać w praktyce, aby na ABI nie były powoływane osoby przypadkowe. Wcześniej na podstawie uchylonych przepisów na ABI można było wyznaczyć dowolną osobę, a często były to osoby, które niewiele wiedziały na temat ochrony danych. Przez to właściwy nadzór nad ochroną danych w wielu podmiotach w Polsce nie jest realizowany. Teraz przy podejmowaniu decyzji o powołaniu ABI trzeba będzie powołać odpowiednio przygotowaną osobę. Osoba taka powinna posiadać doświadczenie i kompetencje niezbędne do wykonywania nowych zadań dotyczących zapewniania przestrzegania przepisów o ochronie danych osobowych. Oprócz odpowiedniej wiedzy na temat przepisów przydatne będą praktyczne umiejętności związane z planowaniem i organizacją, komunikacją interpersonalną czy rozwiązywaniem konfliktów. Bardzo istotna jest również sama postawa osoby, która pełnić będzie funkcję ABI, związana z przestrzeganiem zasad etyki oraz praw osób do prywatności. Przepisy wymagają również, aby ABI podlegał bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Chodzi przede wszystkim o to, aby przy wykonywaniu zadań ABI nie było podległości pośrednich w strukturze ADO, a raportowanie kierowane było bezpośrednio do ADO. Należy również zapewnić środki i organizacyjną odrębność ABI niezbędne do niezależnego wykonywania przez niego nowych zadań.

6. Jakie praktyczne zmiany niesie za sobą ostatnia nowelizacja ustawy o ochronie danych osobowych?

Nowelizacja ustawy uchwalona w ramach pakietu deregulacyjnego Ministerstwa Gospodarki dla przedsiębiorców miała na celu wprowadzić określone udogodnienia przy wykonywaniu, niektórych obowiązków związanych z przetwarzaniem danych osobowych przez ADO. Chodziło o ułatwienia dotyczące realizacji obowiązków zgłaszania zbiorów danych osobowych do rejestracji GIODO oraz transferu danych osobowych do państw trzecich poza Europejski Obszar Gospodarczy. Początkowo postulowane było całkowite zniesienie obowiązku rejestracji zbiorów danych osobowych, ale ponieważ nie było to możliwe na gruncie obecnej Dyrektywy, przyjęto koncepcję zgodną z Dyrektywą, która nie była wcześniej zaimplementowana w polskich przepisach. Zgodnie z Dyrektywą, jeżeli ADO powoła DPO (Data Protection Officer – odpowiednikiem, którego w Polsce jest ABI) na niezależnym stanowisku, nie będzie musiał zgłaszać zbiorów danych osobowych do rejestracji GIODO, z wyjątkiem zbiorów zawierających dane osobowe wrażliwe. Zastosowanie tej konstrukcji z Dyrektywy wymagało doprecyzowania statusu ABI w ustawie o ochronie danych osobowych. Dlatego nowelizacją ustawy została objęta również funkcja ABI. W ramach uproszczenia przepisów każda organizacja może zostać zwolniona z obowiązku zgłaszania zbiorów danych (nie zawierających danych osobowych wrażliwych) do rejestracji GIODO, ale jest to możliwe tylko wtedy, gdy powoła ona ABI zgodnie z nowymi zasadami. Ustawa określa zatem nowe wymagania dotyczące statusu ABI, w tym: zasady jego powołania, zakres jego zadań i trybu ich realizacji, wymagane kwalifikacje, warunki organizacyjne, w których może wykonywać on swoją funkcję. Przepisy wymagają, aby ABI podlegał bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Należy również zapewnić środki i organizacyjną odrębność ABI niezbędne do niezależnego wykonywania przez niego nowych zadań. Nowe zadania ABI, zgodnie z art. 36a ust. 2, są związane z zapewnianiem przestrzegania przepisów o ochronie danych osobowych oraz prowadzeniem jawnego rejestru zbiorów danych osobowych. Rejestr taki musi być prowadzony przez ABI, ponieważ przepisy tego wymagają. Informacje o zbiorach zgłaszanych do GIODO, wprowadzane są do jawnego rejestru, który udostępniony jest na stronie internetowej urzędu. Kiedy w sytuacji powołania ABI istnieje zwolnienie z obowiązku zgłaszania zbiorów do GIODO, informacje na ich temat musi udostępniać do przeglądania ABI. Powołanego ABI należy zgłosić w ciągu 30 dni do rejestracji GIODO, który prowadzi ogólnopolski rejestr ABI. Przy okazji zmiany zapisów dotyczących zmiany statusu ABI nowelizacja wprowadziła istotne zmiany dotyczące wykonywania obowiązków związanych z zabezpieczaniem danych osobowych. Wszyscy ADO muszą wypełniać nowe obowiązki związane z zapewnianiem przestrzegania przepisów o ochronie danych osobowych, w tym: przeprowadzać sprawdzenia zgodności przetwarzania danych z przepisami, nadzorować zasady ochrony danych określone w odpowiedniej dokumentacji, zapoznawać osoby dopuszczone do przetwarzania danych z przepisami. Co ważne, zmieniona ustawa pozostawia administratorom danych możliwość wyboru sposobu realizacji tych obowiązków: albo powołają do ich wykonywania ABI na niezależnym stanowisku, albo sami będą realizować te obowiązki, wyznaczając do tego inne osoby. W sytuacji braku powołania ABI, ADO nadal ma obowiązek zgłaszać zbiory danych do rejestracji ­GIODO. Nowością w przepisach są zapisy, zgodnie z którymi GIODO może zwrócić się do powołanego i zarejestrowanego ABI z wnioskiem o dokonanie sprawdzenia zgodności przetwarzania danych z przepisami o ochronie danych. Jest to korzystne rozwiązanie dla administratorów danych, ponieważ z dotychczasowej praktyki wynika, że w przypadku wielu kontroli przeprowadzanych przez GIODO wystarczająca byłaby rozmowa z ABI, zamiast kilkudniowej inspekcji w siedzibie administratora danych. Sprawdzenie wykonywane przez wewnętrznego ABI będzie na pewno wygodniejsze i mniej stresujące. Innym udogodnieniem wprowadzonym w nowelizacji są ułatwienia dotyczące transferu danych osobowych do państwa trzeciego. Do końca zeszłego roku w sytuacji gdy ADO nie posiadał przesłanek dopuszczalności na przekazanie danych osobowych do państwa trzeciego określonych w art. 47 ust. 2 i 3, musiał zwracać się do ­GIODO o uzyskanie zgody na taki transfer. Natomiast na podstawie nowych przepisów – zgodnie z art. 48 ust. 2 – zgoda GIODO nie jest wymagana, jeżeli ADO zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. ADO może to zrobić poprzez zastosowanie, w umowach z podmiotem, do którego transferuje dane, standardowych klauzul umownych ochrony danych osobowych zatwierdzonych przez Komisję Europejską. Innym rozwiązaniem jest wprowadzenie w ramach funkcjonowania podmiotów z grup kapitałowych, w ramach których dochodzi do transferu danych, prawnie wiążących reguł lub polityk ochrony danych osobowych, zwanych „wiążącymi regułami korporacyjnymi”, które muszą jednak być wcześniej zatwierdzone przez GIODO.

7. Na XIX Kongresie ABI zorganizowanym przez ENSI przedstawił Pan bardzo ciekawą kwestię dotyczącą mitów, które już funkcjonują i dotyczą nowych uregulowań na gruncie znowelizowanej ustawy. Proszę o ich przybliżenie naszym Czytelnikom

Każde nowe czy zmieniane przepisy mają swoich interpretatorów. Wiele osób wypowiada się autorytatywnie na tematy, w których nie ma rozeznania czy wiedzy i wprowadza tym chaos oraz dezinformację. Tak jest również niestety obecnie w przypadku zmiany przepisów dotyczących funkcji ABI. Pojawiają się różne mity na temat nowelizacji, rozpowszechniane na różnych szkoleniach, konferencjach, forach internetowych czy stronach. Niektóre z nich wynikają z niezrozumienia istoty i celu nowelizacji, inne są celowym wprowadzaniem w błąd administratorów danych czy ABI w celu odniesienia korzyści finansowych. Jako współtwórca zapisów ustawowych w zakresie nowej funkcji ABI i uczestnik procesu legislacyjnego mogłem odnieść się na ostatnim Kongresie ABI do funkcjonujących mitów dotyczących nowelizacji, przedstawiając fakty, w celu ich obalenia. Oto kilka przykładów: Pierwszy mit: „Nowelizacja wprowadza obowiązek powołania ABI przez każdego ADO”. Po nowelizacji nie ma obowiązku powołania ABI przez administratora danych. Przepisy art. 36a ust. 1 wyraźnie mówią, że „Administrator danych może powołać administratora bezpieczeństwa informacji”. Obowiązek wyznaczenia ABI przez ADO istniał do 31 grudnia 2014 r. Teraz administrator danych ma wybór sposobu realizacji nowych obowiązków związanych z zapewnieniem przestrzegania przepisów o ochronie danych osobowych, albo powoła do tego ABI – zgodnie z art. 36a, albo sam będzie realizował te zadania – zgodnie z art. 36b. Kolejny mit: „30 czerwca 2015 r. to ostateczny termin zgłoszenia ABI do rejestracji GIODO”. Zgodnie z nowymi przepisami ADO może powołać ABI w każdym momencie, a następnie w ciągu 30 dni zgłosić go do rejestracji GIODO – nie ma w tym zakresie żadnego ograniczenia czasowego. Może go też w dowolnym momencie odwołać, zgłaszając w ciągu również 30 dni taką informację do GIODO, który wykreśli go z rejestru. Natomiast wymieniony w przepisach przejściowych ustawy o ułatwieniu wykonywania działalności gospodarczej (w art. 35) termin 30 czerwca 2015 r., to termin, do którego funkcję ABI mogą pełnić – zgodnie z nowymi przepisami – osoby wyznaczone na ABI przed 1 stycznia 2015 r., na podstawie uchylonego przepisu z art. 36 ust. 3. ADO ma zatem czas do 30 czerwca 2015 r. na podjęcie decyzji, co zrobić z wyznaczonym wcześniej ABI: czy powołać go na nowo na podstawie art. 36a i zgłosić do rejestracji GIODO, czy pozostawić tę osobę, ale już na innym stanowisku, i zlecić wykonywanie części lub wszystkich nowych zadań zapewniania przestrzegania przepisów o ochronie danych. Podkreślam, że od 1 lipca 2015 r. stanowisko ABI będzie odnosić się do ABI powołanego na podstawie nowych przepisów. W ramach rozpowszechniania tego mitu pojawiły się nawet groźby skierowane do organizacji ze sfery publicznej, że jakoby GIODO będzie karał grzywnami tych administratorów, którzy nie zgłoszą ABI do rejestracji w terminie do 30 czerwca! Kolejny mit: „Aby móc pełnić funkcję ABI, trzeba posiadać odpowiedni certyfikat potwierdzający kwalifikacje zawodowe. Certyfikat taki jest wymagany przez GIODO przy rejestracji ABI”. Ustawa nie wymaga posiadania żadnych konkretnych certyfikatów kwalifikacji zawodowych ABI, które są tym bardziej wymagane przez GIODO w procesie rejestracji ABI. Art. 36a ust. 5 określa wymóg posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych. ADO rekrutując ABI, może wymagać od kandydatów przedstawienia odpowiedniego CV, podobnie jak przy zatrudnianiu głównej księgowej, szefa działu kadr czy IT. Kandydat na ABI może przedstawić dyplomy czy certyfikaty ukończenia szkoleń, warsztatów czy studiów ukierunkowanych na ochronę danych osobowych, może również przedstawić opinię od poprzednich pracodawców, u których pełnił funkcję ABI. Natomiast ADO na wniosku zgłoszenia ABI do rejestracji GIODO składa oświadczenie, że powołana osoba posiada odpowiednią wiedzę w zakresie ochrony danych osobowych. Kolejny mit: „Sprawozdania ze sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych wykonywanych okresowo przez ABI dla ADO muszą być wysyłane obowiązkowo do GIODO”. Przepisy art. 36a ust. 2 pkt 1 lit. a, jako jedno z zadań ABI, określają sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych. Nigdzie w przepisach ustawy oraz rozporządzenia wykonawczego nie ma zapisanego obowiązku przesyłania takich sprawozdań do ­GIODO. Jedynie w sytuacji gdy na podstawie art. 19b GIODO zwróci się do ABI o przeprowadzenie sprawdzenia u ADO, ABI za pośrednictwem ADO będzie musiał przesłać do GIODO sprawozdanie z takiego sprawdzenia. I jeszcze jeden z mitów związany z poprzednim przepisem: „­GIODO może nakazać każdemu ADO wykonanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych w trybie art. 19b”. Przepis art. 19b wyraźnie wskazuje, że GIODO może zwrócić się jedynie do ABI wpisanego do rejestru o dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia. Dlatego w sytuacji niepowołania ABI przez ADO taka czynność nie może być zlecana przez GIODO.

8. Jeżeli chodzi o kwestię rejestrowania ABI, na stronach GIODO widzimy, że jest już zarejestrowanych ponad 1000 osób, większość z nich to pracownicy administracji publicznej. Jak Pan to ocenia, z czego to Pana zdaniem wynika?

Wielu administratorów danych, szczególnie ze sfery prywatnej, wstrzymuje się z decyzją powołania ABI do czasu ukazania się przepisów wykonawczych w zakresie wykonywania zadań ABI. Jest to związane z realną oceną nowego zakresu zadań ABI, który będzie doprecyzowany w nowych rozporządzeniach dotyczących trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez ABI oraz sposobu prowadzenia przez ABI rejestru zbiorów danych osobowych. W podmiotach ze sfery prywatnej funkcja ABI była przypisywana do tej pory, w zależności od typu organizacji czy procesów przetwarzania danych, do różnych stanowisk np. administratora systemu IT, czy innego z działu bezpieczeństwa, kadr, administracji czy prawnego. Rzadziej w tym wypadku wiązana była ona ze stanowiskiem. Po zmianie zakresu zadań ABI oraz wprowadzeniu wymogu w art. 36a ust. 4, zgodnie z którym ADO może powierzyć ABI wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w art. 36a ust. 2, należy przeprowadzić analizę czy osoba pełniąca funkcję ABI i wykonująca dotąd różne zadania w firmie, będzie mogła je pogodzić z wykonywaniem nowych zadań ABI. Natomiast w podmiotach ze sfery publicznej częściej funkcja ABI była przypisywana do stanowiska. Dlatego, aby takie stanowisko było zachowane w strukturze ADO i osoba ta nadal pełniła funkcję na tym stanowisku, decyzje o powołaniu ABI w podmiotach ze sfery publicznej zapadają szybciej. Przypuszczam, że właśnie z tego powodu ABI z takich podmiotów przeważają w rejestrze ABI prowadzonym przez GIODO. Myślę, że sytuacja będzie się wyrównywać po wejściu w życie rozporządzeń wykonawczych, ale będzie to przebiegało stopniowo, ponieważ nie wszyscy ADO powołają ABI do 30 czerwca.

9. Jakie są w Pana ocenie dalsze perspektywy rozwoju regulacji ochrony danych osobowych dotyczących ABI, zwłaszcza w kontekście planowanych zmian prawa unijnego?

Chcę podkreślić, że ostatnia nowelizacja ustawy o ochronie danych osobowych w zakresie funkcji ABI jest pierwszym krokiem w kierunku zmian, które zapowiadane są w ramach reformy przepisów o ochronie danych osobowych w UE. Od samego początku prac nad ostatnią nowelizacją SABI argumentowało potrzebę zmian statusu ABI również w kontekście przygotowania ADO do nowych przepisów wspólnotowych. Projekt rozporządzenia wprowadza nową funkcję Inspektora ochrony danych (ang. DPO – Data Protection ­Officer), którego status jest zbliżony do nowego statusu ABI zawartego w znowelizowanej ustawie o ochronie danych osobowych. I w takim kierunku będą rozwijać się regulacje odnośnie roli ABI. W wersji projektu rozporządzenia przygotowywanego przez Radę UE, tak jak w polskich przepisach, istnieje możliwość powołania ABI, musi on podlegać bezpośrednio pod ADO oraz posiadać niezbędną wiedzę do pełnienia swoich zadań. Natomiast projektowany zakres zadań Inspektora jest szerszy niż w polskich przepisach i obejmuje dodatkowo m.in. pełnienie roli punktu kontaktowego dla podmiotów danych oraz podejmowanie działań w sytuacji wystąpienia incydentów naruszenia ochrony danych. Na forum CEDPO dyskutuje się obecnie przyjęcie dobrego kodeksu praktyk DPO działających na terenie UE, który będzie przydatny dla nowej roli Inspektora po wejściu w życie rozporządzenia. Powołanie już dziś osób na stanowisko ABI zgodnie z nowymi przepisami jest zatem wejściem na właściwą ścieżkę zmiany: od Administratora do Inspektora.

10. Czy i w jaki sposób rozwój nowych technologii wpływa na specyfikę sprawowania funkcji ABI?

Oczywiście. Zmiany w technologiach informatycznych i telekomunikacyjnych mają duży wpływ na realizację obowiązków związanych z ochroną danych osobowych. Największym sygnalizowanym problemem przez wiele osób, jest fakt, że rozwojowi technologii nie towarzyszy odpowiedni rozwój technologii bezpieczeństwa. Dlatego ABI w ramach wykonywania swoich zadań zapewnienia przestrzegania przepisów o ochronie danych powinien przeprowadzać (w miarę możliwości) lub zalecać zlecanie przez ADO specjalistom, okresowej analizy zagrożeń związanych z przetwarzaniem danych osobowych za pomocą systemów teleinformatycznych, tak aby dobierać adekwatne środki zabezpieczenia przetwarzanych danych osobowych. Śledzenie zmian w technologiach służących do przetwarzania danych oraz ich wpływu na procesy przetwarzania danych w nadzorowanych organizacjach powinno być jednym z dodatkowych zadań ABI. Redakcja