Administrator Bezpieczeństwa Informacji a Inspektor Ochrony Danych – co się zmieni?

12 paź 2017 | Kategorie: Ochrona danych osobowych

Zgodnie z obecną Ustawą o Ochronie Danych Osobowych, Administratorzy Danych otrzymali możliwość wyboru, czy chcą powołać w swojej Organizacji ABI, czy też nie. Od tego, którą z opcji wybrali zależało, jakie obowiązki będą musieli wypełniać. Główne różnice pomiędzy pierwszym a drugim modelem wyglądają następująco:

Model z powołanym Administratorem Bezpieczeństwa Informacji	Model bez Administratora Bezpieczeństwa Informacji
Powołanie/ odwołanie ABI – Zakres odpowiedzialności ABI
Administrator Danych Osobowych powołuję ABI i powierza mu obowiązki wynikające z Ustawy o ochronie danych osobowych. Powołanie ABI musi nastąpić na podstawie Uchwały Zarządu, a następnie zostać zgłoszone do GIODO, który prowadzi jawny rejestr Administratorów Bezpieczeństwa Informacji. Ponadto ADO zobligowany jest do umocowania ABI w strukturze organizacyjnej bezpośrednio pod kierownikiem jednostki, musi zapewnić odpowiednie środki organizacyjne aby ABI miał możliwość wykonywać swoje obowiązki, dodatkowo ABI nie może wykonywać innych obowiązków służbowych jeżeli mogły by kolidować z wykonywaniem funkcji ABI. Powołany ABI musi spełniać wymagania określone w Rozporządzeniu MAiC: posiadać zdolność do czynności prawnych i korzystać z praw publicznych, posiadać wiedzę w zakresie ochrony danych osobowych, nie może być karany za umyślne przestępstwo.	Administrator Danych Osobowych nie powołuje ABI. ADO sam realizuje obowiązki wynikające z Ustawy o ochronie danych. ADO ma możliwość wyznaczenia osoby, która będzie go wspierała w wykonywaniu obowiązków wynikających z Ustawy. ADO ma obowiązek rejestracji/aktualizacji/wyrejestrowania zbiorów danych osobowych w terminie wskazanym w Ustawie.
Zakres zadań ABI
Zapewnienie przestrzegania przepisów o ochronie danych osobowych poprzez: - sprawdzanie zgodności przetwarzania danych osobowych zgodnie z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, - nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych, - zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, - prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych, zawierającego nazwę zbioru oraz informacje szczegółowe.	ADO sam realizuje zadania ABI wynikające z Ustawy z wyłączeniem: - obowiązku sporządzania sprawozdania, - prowadzenia jawnego rejestru zbiorów danych przez ABI.
Zbiory danych osobowych
ADO zwolniony jest z obowiązku rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane wrażliwe. ABI prowadzi jawny rejestr zbiorów danych osobowych (w takim zakresie w jakim dotychczas prowadził to GIODO).	ADO ma obowiązek rejestrowania i aktualizowania zbiorów danych osobowych w formie i trybie wskazanym w u.o.d.o. oraz zgodnie z Rozporządzeniem MSWiA z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. ADO jest zobowiązany zgłaszać do GIODO każdą zmianę dot. zbioru danych w terminie 30 dni od dnia dokonania zmiany (w przypadku danych wrażliwych – przed dokonaniem zmiany). ADO może rozpocząć przetwarzanie danych osobowych, w zależności od rodzaju danych: - dane zwykłe (art. 23 u.o.d.o.) – po zgłoszeniu zbioru danych do GIODO, - dane wrażliwe (art. 27 u.o.d.o.) – po zarejestrowaniu zbioru danych przez GIODO.
Kontrola przestrzegania przepisów o ochronie danych osobowych
Kontrola wewnętrzna – planowa (roczna, okresowa) – realizowana przez ABI, zakończona sprawozdaniem dla ADO. Kontrola wewnętrzna – doraźna (np. w sytuacji incydentu lub podejrzenia naruszenia) – realizowana przez ABI, zakończona sprawozdaniem dla ADO. Kontrola na zlecenie GIODO (w zakresie i terminie wskazanym przez GIODO) – zakończona sprawozdaniem przekazywanym do GIODO przez ADO.	Kontrola wewnętrzna (roczna, okresowa) – realizowana przez ADO (bez obowiązku przygotowywania sprawozdania). Brak możliwości przeprowadzenia kontroli na zlecenie GIODO – GIODO przeprowadza kontrole bezpośrednie za pośrednictwem swoich pracowników.

Analizując powyższe różnice spora część Administratorów Danych więcej korzyści upatruje w modelu z powołanym ABI, chociażby ze względu na brak konieczności rejestracji i aktualizacji zbiorów, co w przypadku Administratorów przetwarzających duże ilości danych mogło być uciążliwe oraz ze względu na możliwość realizacji kontroli GIODO za pośrednictwem ABI. Jak wiadomo każda kontrola bezpośrednia, niezależnie przez jaki Urząd wykonywana, jest dla Organizacji zawsze dużym stresem.

Kierując się tymi argumentami Administratorzy chcący wyznaczyć ABI najczęściej zaczynają poszukiwania odpowiedniej osoby wewnątrz Organizacji i powierzają jej wykonywanie ustawowych obowiązków. Takie rozwiązanie ma zapewne korzyści ekonomiczne dla Organizacji ponieważ nie powoduje konieczności tworzenia dodatkowego etatu ale nie zawsze stanowi należyte zabezpieczenie przetwarzanych danych osobowych.

RODO wprowadza funkcję Inspektora Ochrony Danych, który zastąpi w Organizacjach dotychczasowego Administratora Bezpieczeństwa Informacji. Jednym z istotniejszych wymagań względem przyszłych IOD, jakie nakłada Rozporządzenie jest posiadanie praktycznej wiedzy z zakresu ochrony danych osobowych. Będzie to oznaczało, że przyszły Inspektor musi wykazać się szeroką wiedzą zarówno w aspekcie prawnym – znajomości wymagań Rozporządzenia ale również wiedzą praktyczną, która posłuży do wdrożenia odpowiednich mechanizmów ochrony danych. Dodatkowo osoba taka musi posiadać wiedzę w zakresie wymagań branżowych, ponieważ każda branża cechuje się swoją specyfiką i dodatkowymi wymaganiami prawnymi, które również należy uwzględnić w projektowaniu systemu ochrony danych osobowych. Tym samym inaczej będą wyglądały rozwiązania w sektorze finansowym (bankach, firmach ubezpieczeniowych), a inaczej w sektorze telekomunikacyjnym czy medycznym. Takie zaostrzenie wymagań względem IOD może ograniczyć Organizacjom możliwość wyboru osób, które wcześniej tą tematyką się nie zajmowały, a nakłonić je do zatrudniania specjalistów bądź powierzania tej funkcji zewnętrznym wyspecjalizowanym podmiotom.

Inspektora Ochrony Danych podobnie jak Administratora Bezpieczeństwa Informacji będzie wyznaczał Administrator Danych na podstawie powołania po spełnieniu wymagania związanego z kwalifikacjami zawodowymi. Inspektorem może zostać osoba fizyczna, nie ma natomiast znaczenia sposób zatrudnienia takiej osoby. Zastosowanie takiego rozwiązania pozostawia Organizacjom możliwość korzystania z usług zewnętrznych Inspektorów i tak zwanego outsourcingu funkcji Inspektora Ochrony Danych. Znaczne zwiększenie obowiązków wynikających z pełnienia takiej funkcji będzie również wykluczało, aby IOD pełnił w Organizacji również inne funkcje. Dotychczas często osoba, która pełniła funkcję ABI była jednocześnie np. księgową i obowiązki związane z tym stanowiskiem praktycznie wypełniały cały jej czas a na kwestie związane z ochroną danych osobowych nie starczało już czasu.

RODO zmienia też kwestię dobrowolności powołania Inspektora Ochrony Danych i zakłada sytuacje, w których powołanie będzie konieczne. Obligatoryjne powołanie IOD będą miały:

organy lub podmioty publiczne, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
podmioty, których główna działalność polega na operacjach przetwarzania, które ze względu na charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, z zastrzeżeniem, iż przetwarzanie danych osobowych nie powinno być uznane za przetwarzanie na duża skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.

Obowiązek wyznaczenia IOD będzie definiowany również poprzez:

kategorię przetwarzanych danych,
cel przetwarzania danych na dużą skalę,
zawsze gdy będzie mowa o jednostce publicznej.

Kolejną nowością, którą wprowadza RODO jest możliwość wyznaczenia jednego Inspektora przez grupy przedsiębiorstw, będzie to szczególnie korzystne dla grup kapitałowych, które często wymieniają między sobą dane. Warunkiem takiego rozwiązania jest możliwość łatwego nawiązywania kontaktu z IOD przez wszystkie spółki.

Katalog zadań przyszłego Inspektora Ochrony Danych reguluje art. 39 RODO i nakłada następujące obowiązki:

informowania Administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tym zakresie,
monitorowania przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk Administratora danych lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacji przetwarzania oraz powiązane z tym audyty,
udzielania na żądanie zaleceń, co do oceny skutków oraz monitorowanie ich wykonania w przypadku, gdy Administrator danych przed rozpoczęciem przetwarzania zobowiązany jest do przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych,
współpracy z organem nadzorczym,
pełnienia funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, w przypadkach gdy ocena skutków pod kątem przetwarzania niosłaby duże zagrożenia dla podmiotu danych, gdyby Administrator nie przedsięwziął środków w celu zminimalizowania tego ryzyka, oraz w stosownych przypadkach prowadzenie konsultacji we wszystkich innych sprawach.

Na Inspektorze będzie spoczywał także obowiązek zwiększania świadomości w zakresie ochrony danych osobowych zarówno względem ADO, podmiotów przetwarzających, jak również pozostałych pracowników. ADO zobowiązany będzie do ujawniania danych IOD w procesie zbierania danych od osób, których dane dotyczą i będzie to nowym wymaganiem obowiązku informacyjnego. Inspektor stanie się również audytorem wewnętrznym obszaru ochrony danych osobowych. Kwestii audytu poświęcimy odrębny artykuł.

Mamy nadzieję, że powyższe podsumowanie pomoże Administratorom Danych, jak i Administratorom Bezpieczeństwa Informacji jeszcze lepiej przygotować się do wymagań RODO.