Z początkiem 2015 r. przedsiębiorcy i instytucje publiczne mogą liczyć na odciążenie z niektórych obowiązków związanych z przetwarzaniem danych osobowych. Zmiany wynikają z uchwalonej wczoraj przez Sejm ustawy o ułatwieniu wykonywania działalności gospodarczej. Wśród nowelizowanych przez nią aktów prawnych jest również ustawa o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182).

Główne ułatwienie dotyczyć będzie zgłaszania zbiorów danych do generalnego inspektora ochrony danych osobowych. W połowie tego roku było zarejestrowanych już prawie 150 tys. takich zbiorów, a od wielu lat liczba zgłoszeń z roku na rok rośnie. Teraz jednak trend ten może zostać zahamowany. Przedsiębiorcy, którzy powołają administratora bezpieczeństwa informacji (ABI), nie będą już musieli rejestrować zbiorów.

– Celem ustawy deregulacyjnej jest z jednej strony odciążenie przedsiębiorców i innych podmiotów przetwarzających dane osobowe, które powołają ABI, a z drugiej profesjonalizacja tych ostatnich. Wreszcie będzie ustawowo uregulowane, jakie obowiązki na nich spoczywają i jakie jest ich miejsce w wewnętrznej strukturze jednostki organizacyjnej – mówi dr Grzegorz Sibiga, kierownik Zakładu Prawa Administracyjnego Instytutu Nauk Prawnych PAN.

– To również przygotowanie gruntu dla nowej instytucji, jaką przewiduje projekt unijnego rozporządzenia regulującego ochronę danych osobowych, a mianowicie inspektora ochrony danych – dodaje.

Wzrost liczby zbiorów może zwolnić

Wzrost liczby zbiorów może zwolnić

źródło: Dziennik Gazeta Prawna

Przedsiębiorca, który powoła ABI, zgłosi to GIODO, który z kolei wpisze go do prowadzonego przez siebie rejestru. W zamian z firmy zostanie zdjęty obowiązek zgłaszania do rejestracji zbiorów danych osobowych i zmian w nich dokonywanych. Ułatwienia te nie obejmą danych wrażliwych.

Niezależność wymagana

Zmiany nie wszystkim przypadły do gustu. Negatywnie oceniła je Polska Organizacja Handlu i Dystrybucji. Zwracała uwagę, że mniejszych firm nie będzie stać na to, żeby powołać ABI. W konsekwencji nowe przepisy mogą przedsiębiorców dzielić na tych, którzy będą mogli sobie kupić ułatwienia, i tych, których nie będzie na to stać. Argumenty te były o tyle nietrafione, że zgodnie z wyrokiem Naczelnego Sądu Administracyjnego z 21 lutego 2014 r. (sygn. akt I OSK 2445/12) wszyscy przedsiębiorcy, poza osobami fizycznymi, powinni powoływać ABI. Zdaniem sądu obowiązek taki wynika z art. 36 ust. 3 ustawy. To dopiero uchwalona wczoraj nowelizacja uchyla ten przepis i sprawia, że administratorzy danych nie będą już zmuszeni powoływać ABI.

Wielu jednak się nad tym zastanowi, ponieważ brak obowiązku rejestracji zbiorów to niejedyne ułatwienie, na jakie będą mogli liczyć. Kolejne to mniejsza liczba kontroli. W razie skarg GIODO nie będzie musiał wysyłać swoich kontrolerów – sprawdzenia dokona ABI.

Ta podwójna rola, w jakiej będą występować administratorzy, budzi obawy. Czasem ABI nazywani są wręcz szpiegami GIODO.

– Zdecydowanie nie zgadzam się nie tylko z takimi sugestiami, ale nawet z samym łączeniem słowa szpieg z GIODO. To zupełne nieporozumienie. Czy audytor wewnętrzny jest traktowany jako szpieg Ministerstwa Finansów? Oczywiście, że nie, tak samo jak ABI nie będzie niczyim szpiegiem – podkreśla dr Wojciech Wiewiórowski, GIODO.

Konfliktu interesów nie boi się również dr Grzegorz Sibiga.

– Rolą ABI będzie nie tylko udzielanie odpowiedzi na wezwania GIODO, ale przede wszystkim, w przypadku stwierdzenia niedociągnięć, sanacja tego stanu, tj. znajdywanie rozwiązań zauważonych problemów i podejmowanie działań naprawczych. Dlatego zatrudniający go przedsiębiorca nie powinien go traktować jako swego przeciwnika, tylko raczej sprzymierzeńca – tłumaczy.

– Rzeczywiście jednak ABI będzie musiał wykazać się niezależnością i z pewnością pełnienie tej funkcji będzie wymagało odpowiednich cech charakteru – dodaje.

Powołanie ABI nie będzie oznaczało konieczności zatrudnienia dodatkowej osoby. Może nim zostać pracownik wypełniający także inne zadania, może również zająć się tym ktoś z zewnątrz na zasadach outsourcingu.

Tylko na papierze

Z rejestracji zbiorów zostaną też zwolnione podmioty, które nie przetwarzają danych z wykorzystaniem systemów informatycznych.

– Wbrew pozorom wciąż sporo papierowych zbiorów zgłasza się do rejestracji. Klasycznym tego przykładem może być książka wejść i wyjść, której różne instytucje wpisują dane osobowe odwiedzających je gości – wyjaśnia dr Wojciech Wiewiórowski.

Inne ułatwienie czeka też firmy, które przekazują dane do państw spoza Europejskiego Obszaru Gospodarczego. Dzisiaj, przynajmniej w teorii, muszą uzyskać na to zgodę GIODO. Po zmianach – jeśli zastosują zatwierdzone przez Komisję Europejską standardowe klauzule umowne albo zatwierdzone przez GIODO wiążące reguły korporacyjne – będą zwolnione z tego obowiązku.

Etap legislacyjny

Ustawa skierowana do Senatu