27 kwietnia 2016 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem da-nych osobowych i w sprawie swobodnego przepływu takich dada-nych oraz uchylenia dyrektywy 95/46/WE (dalej rozporządzenie). Okres przejściowy dostosowania prze-pisów rozporządzenia upływa po 2 latach od ich publikacji w Dzienniku Urzędowym UE. Dwuletni okres vacatio legis jest konieczny w celu dostosowania przepisów roz-porządzenia do krajowego porządku prawnego.
Rozporządzenie Parlamentu Europejskiego i Rady wprowadza obowiązek po-wołania administratora bezpieczeństwa informacji, a właściwie inspektora ochrony danych (Data Protection Official). Inspektor ochrony danych to tłumaczenie literalne. Dotychczas w Polsce funkcjonował termin: administrator bezpieczeństwa informacji, zgodnie z ustawą z dnia 29 sierpnia o ochronie danych osobowych (Ustawa 2015).
W zależności od rozwiązania istnieje możliwość wyznaczenia przez grupę przed-siębiorców jednego inspektora ochrony danych.
181 Rola i zadania administratora bezpieczeństwa informacji w świetle przepisów prawa krajowego i nowego rozporządzenia unijnego
a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o któ-rych mowa w art. 9 ust. 1 rozporządzenia, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 rozporządzenia. Rozporządzenie wprowadza jednak zastrzeżenie, że musi istnieć możliwość łatwego nawiązania z nim kontaktu z każdej siedziby grupy przedsiębiorców. Takie rozwiązanie będzie dużym ułatwieniem dla grup kapitałowych, gdyż do-tychczas nie mogły one wyznaczyć jednego administratora bezpieczeństwa in-formacji, pomimo że często wprowadzały do stosowania spójne rozwiązania orga-nizacyjne, tj.: polityki, instrukcje, procedury itp.
Natomiast w przypadku podmiotów publicznych, podobnie jak w przypadku grupy przedsiębiorców, dla kilku takich podmiotów można wyznaczyć – z uwzględ-nieniem ich struktur organizacyjnych i wielkości – jednego inspektora ochrony da-nych. Rozwiązanie wskazane w rozporządzeniu umożliwia organom państwowym, takim jak np. Policja, wyznaczenie jednego inspektora ochrony danych.
Rozporządzenie (art. 37 ust. 5) stanowi, że inspektor ochrony danych jest wyzna-czany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania zadań, o których mowa w rozporządzeniu (art. 39). Powyższe wskazuje, że inspektor, oprócz wiedzy praktycznej, powinien posiadać odpowiednią wiedzę w zakresie prawa.
Ponadto rozporządzenie określa, że inspektor ochrony danych może być człon-kiem personelu administratora lub podmiotu przetwarzającego lub wykony-wać zadania na podstawie umowy o świadczenie usług. Pozwala to rozumieć, że inspektorem może być osoba zatrudniona w innym podmiocie niż administratora danych, jedynie świadcząca usługę na podstawie odpowiedniej umowy.
Nowym rozwiązaniem jest obowiązek nałożony na administratora danych publi-kacji danych kontaktowych inspektora ochrony danych (art. 37 ust. 7 rozporządzenia). Zgodnie z art. 38 ust. 1 rozporządzenia administrator lub podmiot przetwarzają-cy pilnują, by inspektor ochrony danych był właściwie i terminowo angażowany we wszystkie sprawy dotyczące ochrony danych osobowych. Zapis ten oznacza, że admi-nistrator danych powinien stworzyć inspektorowi odpowiednie warunki do realizacji
jego ustawowych zadań. Potwierdza to zapis art. 38 ust. 2, który stanowi, że admi-nistrator lub podmiot przetwarzający powinni wspierać inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do podtrzymania jego wiedzy fachowej.
Warto podkreślić, że rozporządzenie wprowadza, iż inspektor ochrony danych jest zobowiązany do dochowania tajemnicy lub poufności dotyczących wykonywa-nia swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego.
Poza tym inspektor ochrony danych może wypełniać inne zadania i obowiązki. Ad-ministrator lub podmiot przetwarzający mają jednak obowiązek dopilnowania, aby te czynności nie powodowały konfliktu interesów. Jak określa rozporządzenie, obo-wiązki dodatkowe nie mogą kolidować z ustawowymi zadaniami inspektora danych. W świetle art. 37 ust. 1 rozporządzenia do zadań inspektora ochrony danych na-leży m.in.:
· informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw człon-kowskich o ochronie danych i doradzanie im w tej sprawie;
· monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
· udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz mo-nitorowanie jej wykonania zgodnie z art. 35;
· współpraca z organem nadzorczym;
· pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwe-stiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o któ-rych mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
Rozporządzenie także zastrzega, że inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem zagrożeń związanych z operacjami przetwa-rzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
183 Rola i zadania administratora bezpieczeństwa informacji w świetle przepisów prawa krajowego i nowego rozporządzenia unijnego
Zakończenie
Instytucja ABI ma kluczowe znaczenie dla zapewnienia ochrony danych osobo-wych w jednostkach organizacyjnych. Zagrożenia związane z nieprawidłowym przetwarzaniem, przechowywaniem, kopiowaniem czy niszczeniem danych oso-bowych mogą powodować ogromne starty ekonomiczne, a w skrajnych przypad-kach nawet doprowadzić do zakończenia działalności danej jednostki. Kradzież bazy danych klientów, zainfekowanie złośliwym oprogramowaniem systemów teleinformatycznych, zagrożenia w Internecie, w tym kradzież tożsamości, to dzi-siaj wyzwania dla wielu podmiotów. Jednostki organizacyjne, prowadząc działal-ność, muszą być przygotowane na rozmaite zagrożenia. Powinny wiedzieć, w jaki sposób reagować w określonych sytuacjach, jakie podjąć działania i środki zarad-cze oraz do kogo zwrócić się w konkretnym przypadku.
Rozporządzenie unijne przewiduje wysokie kary finansowe, co w założeniu po-zwoli skutecznie egzekwować naruszenia w obszarze danych osobowych. W tej sy-tuacji pozycja i rola administratora bezpieczeństwa informacji może być niezastąpio-na w każdej jednostce organizacyjnej.
Bibliografia
Barta P., Litwiński P. (2015), Ustawa o ochronie danych osobowych, Komentarz 3, CH Beck, Warszawa.
Drozd A. (2006), Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Lexis Nexis, Warszawa.
experto24, Sprawdzenia doraźne – zasady postępowania, https://www.experto24.pl [dostęp: 21.02.2016].
Kaczmarek-Templin B. (2016), Administrator Bezpieczeństwa Informacji: kim jest i co robi?, 2 lutego 2016, CSO, http://itwiz.pl/administrator-bezpieczenstwa-informacji-kim-jest-robi/ [dostęp: 21.02.2016].
Sibiga G. (2015), Dokumentacja Administratora Bezpieczeństwa Informacji. Wzory dokumen-tów z objaśnieniami. Omówienie zmienionych przepisów, PRESSCOM Sp. z o.o., Wrocław. Stępień A. (2015), Rola i zadania administratora bezpieczeństwa informacji w świetle przepi-sów obowiązujących od stycznia 2015 r. [w:] Ekspert Ochrony Informacji, Miesięcznik Specja-listyczny, lipiec nr 1, Warszawa.
Wojczys P. (2015), Nowa Rola stare problemy ABI, „IT w Administracji”, 01.05.2015.
Rozporządzenie (2014) Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. 2014, poz. 1934).
Rozporządzenie (2015) Ministra Administracji i Cyfryzacji z 11 maja 2015 r. w sprawie sposo-bu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015, poz. 719).
Rozporządzenie (2015a) Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015, poz. 745).
185 Rola i zadania administratora bezpieczeństwa informacji w świetle przepisów prawa krajowego i nowego rozporządzenia unijnego
Ustawa (2015) z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2015, poz. 2135).
Ustawa z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 r. poz. 1662).
Wyrok NSA z 21 lutego 2014 r.; I OSK 2445/12, Legalis.
Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. http://www.giodo.gov.pl [dostęp: 01.03.2016].