Ustawą z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz. U. z 2014 r., poz. 1662), nasz suweren wprowadził w ustawie o ochronie danych osobowych znaczące, także dla Ośrodków Pomocy Społecznej zmiany.
Po pierwsze, zwrócić uwagę należy na postanowienia art. 12 ust. 4 ustawy o ochronie danych osobowych, który to przepis swym nowym brzmieniem, rozszerza katalog zadań Generalnego Inspektora Ochrony Danych Osobowych.
Od 1 stycznia 2015 r., do zadań Generalnego Inspektora Ochrony Danych Osobowych należeć będzie prowadzenie dodatkowego rejestru – administratorów bezpieczeństwa informacji.
Z początkiem nowego roku, Generalnego Inspektora obciążono także obowiązkami informacyjnymi o zarejestrowanych uprzednio administratorach bezpieczeństwa informacji.
Po wpisaniu administratora bezpieczeństwa informacji do rejestru, organ ten będzie uprawniony do wystąpienia do zarejestrowanego uprzednio ABI, o sprawdzenie zgodności z prawem, przetwarzania przez administratora i jego pracowników danych osobowych, wskazując jednocześnie zakres i termin sprawdzenia.
Po weryfikacji, administrator bezpieczeństwa informacji, za pośrednictwem administratora danych będzie zobowiązany przedstawić Generalnemu Inspektorowi sprawozdanie, które odpowiednio potwierdzi zgodność przetwarzania danych osobowych przepisami prawa, bądź zgodność tą wykluczy.
Skorzystanie przez Generalnego Inspektora Ochrony Danych Osobowych z powyżej przedstawionego uprawnienia, nie będzie wykluczać możliwości „osobistej” kontroli, którą w/w będzie mógł przeprowadzić za pomocą swoich pracowników, w siedzibie administratora danych osobowych (w Ośrodku).
W ustawie o ochronie danych osobowych, dodano także obszerne regulacje w zakresie personalnych wymogów dotyczących osób, które będą mogły pełnić funkcję administratora bezpieczeństwa informacji, jak również ich obowiązków.
W pierwszej kolejności wskazać należy, że od 1 stycznia 2015 r., do zadań administratora bezpieczeństwa informacji należeć będzie zapewnianie / dbanie o przestrzeganie przepisów o ochronie danych osobowych, w szczególności poprzez:
- sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych;
- nadzorowanie, opracowanie i aktualizowanie dokumentacji, dotyczącej ochrony danych osobowych w Ośrodku, oraz nadzór nad przestrzeganiem zasad w niej określonych;
- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
Do zadań ABI należeć będzie także prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów zawierających informacje niejawne.
Nowe brzmienie ustawy o ochronie danych osobowych, a konkretnie art. 36 a wspomnianej ustawy, utrzymuje „dobrowolność” powołania przez administratora danych osobowych, administratora bezpieczeństwa informacji.
Zgodnie z art. 36 b w/w ustawy, w przypadku nieskorzystania przez administratora danych osobowych z możliwości powołania ABI, administrator ten samodzielnie wykonuje zadania o których mowa powyżej.
Wspomnieć należy, że dotychczasowe regulacje, obowiązki te nakładały stricte na samego administratora danych osobowych (Ośrodek), zaś administrator bezpieczeństwa informacji pełnić miał jedynie funkcję pomocniczą.
Rejestr zbiorów danych osobowych pozostaje jawny, co oznacza, że przeglądać go może każdy zainteresowany, bez wskazania na konkretny interes prawny, zaś administrator danych osobowych będzie mógł powierzyć ABI także inne obowiązki (obok tych wskazanych w ustawie), „jeżeli nie naruszy to prawidłowego wykonywania zadań” przewidzianych w ustawie.
W odniesieniu do wymogów ustawowych, które musi spełniać potencjalny kandydat na administratora bezpieczeństwa informacji to wskazać należy, że od 1 stycznia 2015 r., funkcję ABI w Ośrodku będzie mogła pełnić osoba, która:
- ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
- posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
- nie była karana za umyślne przestępstwo.
Wymogi powyższe dotyczą także ewentualnych zastępców administratora bezpieczeństwa informacji, a sam ABI z mocy ustawy podlegać musi bezpośrednio kierownikowi jednostki organizacyjnej lub osoby fizycznej będącej administratorem danych osobowych.
To na administratorze danych osobowych spoczywać będzie obowiązek zapewnienia środków organizacyjnych, które zagwarantują odrębność organizacyjną administratora bezpieczeństwa informacji, co w ostateczności umożliwi zgodne z prawem i rzetelne wykonywanie przez niego zadań przewidzianych ustawą.
Wyraźne wyodrębnienie organizacyjne osoby pełniącej funkcję ABI, od pozostałej kadry Ośrodka, ocenić należy pozytywnie. Pozycja ta zapewni bowiem niezależność, co z całą pewnością przyczyni się do bardziej obiektywnej oceny, przestrzegania przez pozostałych pracowników zasad przetwarzania danych osobowych w Ośrodku.
Z początkiem roku więc, w Ośrodkach w których dotychczas funkcję ABI pełniła osoba podległa także innym niż Kierownik / Dyrektor pracownikom, konieczne będą zmiany organizacyjne.
Szczegółowy tryb i sposób realizacji przez administratora bezpieczeństwa informacji zadań ustawowych, jak również sposób prowadzenia rejestru zbioru danych osobowych, zostanie doprecyzowany przez ministra właściwego do spraw administracji, a to w drodze rozporządzenia wykonawczego do ustawy o ochronie danych osobowych.
Dalej, nowelizacja ustawy o ochronie danych osobowych określa warunki formalne jakim zadośćuczynić należy sporządzając sprawozdanie, w tym poprzez określenie jego konstytutywnych elementów.
Zgodnie z art. 36 c ustawy o ochronie danych osobowych, sprawozdanie dotyczące zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych powinno zawierać:
- oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania;
- imię i nazwisko administratora bezpieczeństwa informacji;
- wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;
- datę rozpoczęcia i zakończenia sprawdzenia;
- określenie przedmiotu i zakresu sprawdzenia;
- opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
- sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem;
- wyszczególnienie załączników stanowiących składową część sprawozdania;
- podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej – dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania;
- datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.
Nowe brzmienie przepisów ustawy o ochronie danych osobowych rozszerza zakres zwolnienia administratorów danych osobowych z obowiązku rejestracji zbiorów danych osobowych, które nie są prowadzone z wykorzystaniem systemów informatycznych, chyba że zbiory te zawierają dane szczególnie chronione, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych.
W praktyce oznacza to zwolnienie z obowiązku rejestracji zbiorów danych osobowych w postaci list klientów Ośrodka, w których znaleźć możemy jedynie adres zamieszkania, imię i nazwisko, czy też rejestr uprzednio wydanych decyzji, o ile zbiory te nie będą przetwarzane w systemie informatycznym Ośrodka (np. tylko wersja papierowa).
Administrator danych osobowych został także zwolniony z obowiązku rejestracji zbiorów danych osobowych, gdy powołał on administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji. Zwolnienie to nie dotyczy danych szczególnie chronionych, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych.
Oznacza to, że zmiany w ustawie o ochronie danych osobowych skutkować będą przeniesieniem obowiązku rejestracji zbiorów danych osobowych, które są wolne od danych szczególnie chronionych na pracownika pełniącego funkcję ABI. W odniesieniu do pozostałych danych osobowych, obowiązek ten będzie spoczywał tak zarówno na administratorze danych osobowych, jak również na osobie pełniącej funkcję ABI.
Zgodnie z nowo dodanymi przepisami, tj. art. 46 b – 46 f ustawy o ochronie danych osobowych, obowiązek zgłoszenia do rejestracji Generalnemu Inspektorowi okoliczności powołania / odwołania ABI, administrator danych osobowych musi zostać zrealizowany w terminie 30 dni od dnia jego powołania lub odwołania.
Zgłoszenie powołania musi zawierać, tak zarówno oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej (jeżeli został mu nadany), jak również dane administratora bezpieczeństwa informacji tj.:
- imię i nazwisko;
- numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość;
- adres do korespondencji, jeżeli jest inny od miejsca zamieszkania;
- datę powołania;
- oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji –warunków określonych w art. 36a ust. 5 i 7 ustawy o ochronie danych osobowych.
Jeżeli chodzi o odwołanie administratora bezpieczeństwa informacji, zgłoszenie powinno zawierać:
- oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej (jeżeli został mu nadany);
- imię i nazwisko odwołanego administratora bezpieczeństwa informacji;
- numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość;
Wszelkiego rodzaju zmiany w powyżej wymienionych danych, administrator danych osobowych w Ośrodku będzie zobowiązany zgłosić Generalnemu Inspektorowi w terminie 14 dni od dnia wystąpienia zmian, a do zgłoszenia stosuje się odpowiednio przepisy o zgłoszeniu powołania administratora bezpieczeństwa informacji.
Od 1 stycznia 2015 r., Generalny Inspektor Ochrony Danych Osobowych zobowiązany będzie także (na żądanie administratora danych lub administratora bezpieczeństwa informacji) wydać stosowne zaświadczenie, które potwierdzi fakt zarejestrowania administratora bezpieczeństwa informacji.
Ogólnokrajowy rejestr administratorów bezpieczeństwa informacji będzie jawny, a wykreślenie administratora bezpieczeństwa informacji z rejestru następuje po powiadomieniu o odwołaniu lub w przypadku jego śmierci.
Wykreślenie z rejestru nastąpi także z urzędu, w drodze decyzji administracyjnej, w każdym przypadku gdy:
- osoba nie spełnia warunków przewidzianych w ustawie, niezbędnych dla pełnienia tej funkcji;
- osoba ta nie wykonuje zadań przewidzianych w ustawie bądź gdy;
- administrator danych nie powiadomił o odwołaniu administratora bezpieczeństwa informacji.
W ostatnim przypadku, administrator danych nie będzie mógł skorzystać ze zwolnienia od obowiązku rejestracji zbiorów danych osobowych, stosownie do uwag poczynionych powyżej.
Można będzie także żądać ponownego wpisu do rejestru, administratora bezpieczeństwa informacji uprzednio z niego wykreślonego.
Żądanie to będzie uzasadnione, gdy doszło do zmiany stanu faktycznego uzasadniającego twierdzenie, że obecnie administrator ten spełnia przesłanki ustawowe, niezbędne dla zamieszczenia w rejestrze.
W takiej sytuacji, Generalny Inspektora także rozstrzygnie w drodze decyzji administracyjnej.
Wzór zgłoszenia zostanie określony w drodze rozporządzenia wykonawczego ministra właściwego ds. administracji publicznej.
Zmiany obejmują również procedurę przekazywania danych osobowych do państw trzecich, jednak na potrzeby niniejszego opracowania poruszanie tej kwestii wydaje się być zbędne.
W ostatniej już kolejności wskazać należy, że powyżej przedstawione zmiany wchodzą w życie z dniem 1 stycznia 2015 r..
Dotychczas powołani administratorzy bezpieczeństwa informacji w Ośrodkach, wyznaczeni na podstawie art. 36 ust. 3 ustawy o ochronie danych osobowych (w brzmieniu dotychczasowym), do czasu zgłoszenia ich do rejestru, nie dłużej jednak niż do dnia 30 czerwca 2015 r., nadal pełnić będą funkcję ABI, zachowując dotychczasowe kompetencje .
Do postępowań rejestracyjnych, prowadzonych przez Generalnego Inspektora Ochrony Danych Osobowych na podstawie zgłoszeń, wszczętych i niezakończonych przed dniem wejścia w życie niniejszej ustawy, stosować należy przepisy dotychczasowe.
Stan prawny na dzień: 23 grudnia 2014 r.
