? OPIS SYTUACJI: Spółka prowadzi działalność handlową w branży spożywczej (sprzedaje głównie suplementy diety), działając na zlecenie spółek z grupy kapitałowej, w strukturach której funkcjonuje. W ramach prowadzonej działalności spółka wykorzystuje dane osobowe. W przeszłości jednego z pracowników działu kadr wyznaczono jako administratora bezpieczeństwa informacji (ABI). Były to jednak jego dodatkowe obowiązki, miały dla niego charakter drugorzędny, a i jego znajomość zagadnienia nie była imponująca. Tak naprawdę obowiązki te zostały mu dopisane do zakresu obowiązków bez oczekiwania ze strony pracodawcy, że będzie się szczególnie angażował w tym zakresie. W efekcie, za cichą akceptacją zarządu, zagadnienie ochrony danych osobowych, prowadzenia i zgłaszania baz danych oraz wypełniania innych obowiązków w tym zakresie było cały czas odkładane na dalszy plan, co de facto prowadziło do naruszania przepisów. Chociaż firma działa w branży handlowej, funkcjonowało przekonanie, że specyfika podejmowanej aktywności, korzystanie z usług zewnętrznych firm marketingowych oraz krótka lista zleceniodawców usprawiedliwiają takie podejście do problematyki ochrony danych osobowych. Ogólna świadomość potrzeby ochrony danych była dość niska, ale jednocześnie dominowało przekonanie, że minimum w postaci wyznaczenia ABI zostało spełnione, co w przypadku kontroli (której nigdy w spółce nie było) pozwoli to jakoś ją przebrnąć, a jednocześnie uchroni zarząd przed konsekwencjami.
W związku ze zmianami w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.) ABI, chociaż niechętnie, pojechał na szkolenie na temat zmian w przepisach i nowych obowiązków. Jeszcze w trakcie wyjazdowego szkolenia telefonował przejęty do kierowniczki z informacją, że nie może pełnić dłużej funkcji ABI, a po jego powrocie koniecznie muszą spotkać się z zarządem w sprawie ochrony danych osobowych. Szefowa działu kadr zorganizowała na poniedziałek spotkanie z prezesem.
● Etap I Czy dotychczasowy ABI może nim pozostać
W poniedziałek o 9.00 w gabinecie prezesa spółki rozpoczęło się spotkanie, w którym uczestniczyła pani Iwona, kierowniczka działu kadr, jej pracownik pan Wojtek (któremu powierzono zadania ABI) oraz prezes firmy Adam Borkowski. W ostatniej chwili do gabinetu wszedł pośpiesznie prawnik z kancelarii, która zapewnia spółce obsługę prawną. Przywitał się z obecnymi i zajął miejsce pomiędzy prezesem a kierowniczką.
– Co takiego pilnego się urodziło, że musimy niezwłocznie o tym porozmawiać – rozpoczął prezes, jeszcze gdy asystentka krzątała się pomiędzy obecnymi, stawiając filiżanki. Prezes zwrócił się do pani Iwony, przy słowie „niezwłocznie” pokazując palcami cudzysłów. Potem odezwał się bezpośrednio do jej podwładnego: – Czym cię tak, Wojtku, nastraszyli na tym piątkowym szkoleniu?
Firma nie była szczególnie duża, panowała w niej koleżeńska atmosfera, a prezes nie należał do tych, co obowiązkowo trzymają dystans w relacjach z pracownikami.
– Adamie, sprawa jest dość istotna i musimy podjąć kilka decyzji w sprawie danych osobowych – kierowniczka HR nie dała dojść do głosu pracownikowi, chcąc nadać sprawie odpowiednią rangę. – Nowe przepisy obowiązują od 1 stycznia tego roku, a mamy już końcówkę maja.
– To wczesne przebudzenie – w głosie prezesa nie było słychać nagany, a raczej delikatną ironię.
– Niestety, wie szef, że sprawa ochrony danych osobowych była mi kiedyś przypięta na dokładkę, a ja średnio mam czas, by się tymi sprawami na bieżąco zajmować – Wojtek, pracownik HR pełniący funkcję ABI, próbował się usprawiedliwiać. – Dopiero teraz udało mi się wybrać na szkolenie – zawahał się. – Podstawowy wniosek jest taki: nie mogę być ABI, bo zmiana dotyczyła właśnie tego, kto może nim być, jakie ma obowiązki i jakie są korzyści z powołania ABI w firmie.
– Przede wszystkim mamy czas do końca czerwca – odezwała się kierowniczka kadr. Dział HR pracował od 8.00 i rano, jeszcze przed spotkaniem u prezesa, Wojtek zdał swojej przełożonej szybką relację ze szkolenia. – Problem w tym, że od lipca Wojtek nie może być nadal ABI i jednocześnie pracować w moim dziale – powiedziała szefowa HR.
– Chcesz się go pozbyć? – zażartował prezes.
– Problem w tym, że ABI musi podlegać bezpośrednio kierownikowi jednostki, a dodatkowe obowiązki mogą być na niego nakładane, o ile nie przeszkadzają w pełnieniu funkcji ABI – Wojtkowi udało się zabrać głos przed szefową. – Teraz ABI będzie miał znacznie więcej pracy, a przecież ja naprawdę mam co robić i bez tego – skwitował.
– Istotnie tak jest – przytaknął prawnik, odpowiadając na pytające spojrzenie prezesa.
– Ja Wojtka nie oddam, do tej pory ochrona danych osobowych to była tylko mała część jego pracy, a ma dużo innej – kierowniczka HR była zadowolona z tego, jak z podstawowych obowiązków wywiązywał się Wojtek.– No i oczywiście ABI musi spełniać określone warunki, by pełnić taką funkcję – to miał być argument koronny, całkowicie przekonujący prezesa, że składu działu HR nie należy modyfikować.
RADA 1
– Rzeczywiście – potwierdził prawnik. – Nie ujmując niczego panu Wojciechowi, konieczne jest zweryfikowanie, czy spełnia warunki, aby być ABI. Oczywiście zakładam, że wymóg niekaralności nie jest problemem, ale ze względu na szczególną pozycję ABI należy poważnie potraktować kwestię przygotowania merytorycznego.
– To faktycznie ułatwi nam prowadzenie działalności. Gdzieś czytałem, że to była nowela w ramach czwartej ustawy deregulacyjnej – prezesa nie cieszyła jednak perspektywa tworzenia nowych stanowisk.
– Szefie, ale jest dobra informacja. Nie mamy obowiązku ustanawiania ABI – w przyjęciu takiej opcji pan Wojtek najwyraźniej widział wyjście z sytuacji.
● Etap II Sprawdzenie zasadności ustanowienia ABI
– To jest jakieś rozwiązanie. Tylko pytanie, jakie są tego konsekwencje – prezes, mimo dość młodego wieku, był zbyt doświadczony, by nie wiedzieć, że trzeba zrobić rachunek zysków i strat. – Ustanowienie ABI pewno daje jakieś korzyści – zastanowił się na głos.
– Nie da się ukryć – w głosie Wojtka można było usłyszeć delikatny zawód, że jego plan wykręcenia się z niechcianych obowiązków może się nie powieść. – Przede wszystkim ustanawiając ABI, eliminujemy obowiązek zgłoszenia zbioru danych do rejestru generalnego inspektora ochrony danych osobowych. Wyjątkiem są zbiory zawierające dane wrażliwe.
– Co to za dane – zainteresowała się szefowa HR.
– Są wprost wymienione w ustawie – Wojtek sięgnął do tekstu aktu prawnego. – Raczej nas to by nie dotyczyło, bo chodzi o pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym – przeczytał na głos.
– A co jeżeli nie wyznaczymy ABI? – zainteresował się prezes.
RADA 2
– Istotnie jest to możliwe. Wówczas to na firmie ciąży obowiązek zabezpieczenia danych, no i przede wszystkim trzeba rejestrować bazy w GIODO – prawnik w poniedziałkowy poranek nie był nadmiernie rozgadany.
– Tak i odpowiedzialność jest cały czas po naszej stronie, czyli zarządu – skwitował prezes.
– No tak.
– Czyli tak czy inaczej musimy mieć procedury wewnętrzne, zabezpieczenia i takie tam, a oprócz tego rejestrować zbiory w GIODO – upewniał się prezes. – Dużo tego jest?
– Myślę, że powinniśmy kilku rejestracji dokonać. Prowadzący na szkoleniu przestrzegał przed konsekwencjami zaniechania – podzielił się wiedzą pan Wojtek.
– Potraktowałbym takie ostrzeżenia poważnie – prawnik najwyraźniej zgadzał się z poglądem, który Wojciech poznał na szkoleniu.
– Oni zawsze straszą. Jednak coś w tym może być, że jak GIODO przerzuci część pracy na ABI, to będzie miał więcej czasu, by sprawdzać tych, co nie ustanowili ABI – prezes wiedział, że z jednaj strony na szkoleniach prezentowane są niekiedy czarne scenariusze, ale z drugiej strony to są realne zagrożenia.
– To co robimy? – Iwona domyślała się, w jakim kierunku zmierza rozumowanie prezesa, ale to musiała być jego decyzja.
– Zgłaszamy ABI – kości zostały rzucone.
● Etap III Weryfikacja decyzji o sposobie wypełnienia obowiązków
– Dobrze, czyli wiemy, że powołamy nowego ABI, ale jak to widzisz w praktyce. Wyciągniesz Wojtka z mojego działu?
– Spokojnie. Zastanówmy się, czy wymaga to u nas pracy na cały etat – uspokoił prezes.
– Chociaż nie ma jeszcze żadnego orzecznictwa, trzeba pamiętać o warunkach, które muszą być spełnione przy wykonywaniu funkcji ABI. Nie wydaje mi się, aby było dopuszczalne, by ta sama osoba była na pół etatu ABI, a jednocześnie w tej samej firmie na pół etatu np. w dziale HR – Wojtkowi nie spodobała się perspektywa takiego podziału etatu.
– Nie, to nie wchodzi w grę. Jeżeli coś ma nam dawać bezpieczeństwo, to nie może być zrobione w wadliwy sposób – prezes nie miał wątpliwości, że muszą dopilnować, by wszystko było zorganizowane zgodnie z przepisami. Wiedział, że to leży w interesie firmy i jego własnym.
– To zatrudnijmy kogoś z zewnątrz – zastanowiła się Iwona – może na pół etatu.
– Na szkoleniu prowadzący mówił, że ABI może być ustanowiony na podstawie umowy outsourcingu – wtrącił Wojtek.
RADA 3
– Obsługa zewnętrzna to jest rozwiązanie, które stosuje coraz większa grupa firm, i to począwszy od małych nawet do korporacji – przytaknął prawnik.
– To jest dobra myśl – ucieszył się prezes – myślę, że dla nas to będzie najlepsze rozwiązanie. Nie będziemy musieli szukać pracownika ani nikogo szkolić. Zbierzcie oferty. Mecenasie, wasza kancelaria świadczy takie usługi?
– Nie, zostawiamy to firmom, które działają w tej branży – odparł prawnik.
– Zaraz roześlę zapytania ofertowe. Musimy się pośpieszyć, bo czasu nie jest wiele – posumował prezes.
– Formalnie, na podstawie przepisów przejściowych mogę pełnić funkcje ABI bez zgłoszenia do końca czerwca, więc najlepiej byłoby, aby najpóźniej od lipca został powołany nowy ABI – dodał pan Wojtek.
● Etap IV Powołanie ABI i ustalenie zasad współpracy
– Szefie, rozumiem, że możemy liczyć na pomoc mecenasa przy zawieraniu umowy? – upewniła się kierowniczka działu HR, zwracając się do prezesa, a spoglądając na prawnika.
– Tak, jak najbardziej. Przecież wiesz, że nie podpiszę żadnej nowej umowy, jeżeli nie mam parafki mecenasa – odpowiedział prezes.
– Oczywiście, jestem do dyspozycji – zapewnił prawnik.
– Musimy zwrócić uwagę, by umowa zapewniała jak najbardziej kompleksową usługę w zakresie ochrony danych – Wojtek doskonale wiedział, że akurat w tym zakresie efekty jego dotychczasowej pracy nie są zadawalające i konieczne będzie de facto stworzenie całego systemu ochrony danych osobowych niemal od podstaw.
– Macie moją zgodę na kupno usługi kompleksowej – prezes wiedział, że konieczne są radykalne działania. – Wiem, że to musi trochę kosztować, ale dobrze negocjujcie cenę. Z tego, co Wojtek powiedział, ustanowienie ABI nie jest obowiązkiem, a prawem, więc nie działajcie zbyt pochopnie. Nawet jeżeli z końcem czerwca wygaśnie twoja funkcja – prezes zwrócił się do pracownika działu HR – nie będzie tragedii. Najwyżej zgłosimy trochę później nowego ABI.
RADA 4
– Zdecydowanie pośpiech nie jest wskazany – potwierdził prawnik. – Ważne, aby umowa była dobrze sporządzona. Jak zwykle zadbamy, aby kontrakt był bez zarzutów od strony prawnej, ale gdyby było potrzebne wsparcie merytoryczne z zakresu prawa dotyczącego danych osobowych, również służymy pomocą – prawnik wiedział, że najdalej idącą ostrożność należy zachować, zawierając umowy ze specjalistami od prawa.
– Skoro mamy twoją zgodę, to w zapytaniach ofertowych będziemy od razu wskazywali, że chodzi o stworzenie całego systemu i pełnienie funkcji ABI – szefowa HR była znana z tego, że jest dokładna i wymagająca, zarówno od siebie, jak i osób współpracujących. Dlaczego ucieszyło ją, że wreszcie jest przyzwolenie, by porządnie, profesjonalnie zająć się problemem ochrony danych osobowych. – No i oczywiście dopilnujemy, by zachować dobrą relację ceny do zakresu i jakości usług – dodała.
Co do tego prezes nie miał wątpliwości, bo już niejeden kontrahent pół żarem, pół serio wspominał o zdolnościach negocjacyjnych Iwony.
Spotkanie uznano za zakończone, a także zaskakująco owocne. Iwona i Wojtek poważnie podeszli do zadania i wkrótce prawnik otrzymał szkic umowy z firmą, która przedstawiła najlepszą ofertę. Wprawdzie nie obyło się bez poprawek, ale od lipca został zgłoszony do GIODO nowy ABI, ustanowiony przez spółkę, który pełnił funkcję w ramach umowy cywilnoprawnej zawartej z firmą zewnętrzną.
1 RADA PRAWNIKA
Wymagania wobec ABI
Zanim zgłosi się dotychczasowego ABI do rejestru lub ustanowi nowego, trzeba sprawdzić, czy spełnia on wszystkie warunki ustawowe.
Chociaż zmiany wprowadzone od 1 stycznia 2015 r. w przepisach dotyczących ochrony danych osobowych mają ułatwić prowadzenie działalności gospodarczej, to te z nich, które dotyczą ABI, były szyte na miarę dużych jednostek: korporacji, podmiotów, które stać, aby korzystać z opcji zgłoszenia ABI. Dla nieco mniejszych podmiotów, które chciałyby, aby funkcję ABI pełnił ich pracownik, problemem może okazać się jego usytuowanie w strukturze jednostki. Nadając wysoką rangę ABI, co oczywiście uzasadnione jest zakresem jego obowiązków, ale i korzyściami, jakie niesie dla jednostki jego ustanowienie, prawodawca wymaga, aby podlegał on bezpośrednio kierownikowi takiej jednostki, a w przypadku osób fizycznych będących administratorami danych – bezpośrednio takim osobom. W wielu przypadkach oznacza to konieczność wyciągnięcia pracownika będącego ABI z dotychczasowych struktur. Pomijając bowiem duże firmy, jednostki publiczne i przedsiębiorców, dla których ochrona danych osobowych miała kluczowe znaczenie ze względu na profil działalności, do niedawna powszechną praktyką było dokładanie obowiązków ABI szeregowym pracownikom. Obecnie wymóg bezpośredniej podległości szefostwu wymusza zmiany.
Kolejna sprawa to dodatkowe obowiązki. Nowy ABI nie może zajmować się taką działalnością dodatkowo. Wprost przeciwnie: to inne obowiązki mogą mieć co najwyżej dodatkowy charakter i to wyłącznie pod warunkiem, że nie kolidują z realizacją zadań przypisanych ABI. Podkreślić trzeba, że administrator danych (czyli jednostka) musi zapewnić ABI nie tylko środki, ale nade wszystko organizacyjną odrębność, niezbędną do niezależnego wykonywania zadań. Dlatego nie może być mowy o jakiejkolwiek podległości ABI wobec kogoś innego niż najwyższe władze jednostki, a stanowisko zyskuje status samodzielnego specjalisty lub wręcz stanowiska kierowniczego.
Osoby, które mają być powołane do pełnienia funkcji ABI według nowych zasad, muszą spełniać wymogi ustawowe, tj.:
● mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych;
● nie być karane za umyślne przestępstwo,
● mieć odpowiednią wiedzę w dziedzinie ochrony danych osobowych.
Dwa pierwsze wymogi są łatwe do spełnienia i zweryfikowania. Gorzej, jeżeli chodzi o trzeci. Prawodawca w duchu deregulacji nie stawia konkretnych wymagań typu: ukończenie kursu, studiów czy uzyskanie certyfikatów. Problem w tym, jak pracodawca, ale i podmiot prowadzący rejestr ABI (czyli GIODO), ma zweryfikować, czy dana osoba ma odpowiednią wiedzę. Przepisy nie przewidują żadnych egzaminów weryfikujących, udokumentowanego doświadczenia. Dokonując wyboru, pozostaje przyjęcie oświadczenia, weryfikacja CV, względnie wewnętrzny egzamin sprawdzający.
2 RADA PRAWNIKA
Obowiązki spoczywające na władzach firmy, jeżeli ABI nie zostanie zgłoszony
Nawet jeżeli do tej pory firma nie dokonywała wielu rejestracji zbiorów danych w GIODO, ustanowienie ABI może być uzasadnionym działaniem. Do niedawna część przedsiębiorców nieco bagatelizowała obowiązki w zakresie ochrony danych osobowych. Tymczasem obowiązki są ważne, a sankcje za uchybienia dotkliwe.
Obecnie część obowiązków GIODO przeszło na administratorów i powołanych przez nich ABI. Do zadań ABI należy:
1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów zwolnionych od rejestracji.
Podkreślić trzeba, że na administratorze danych spoczywa obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. W szczególności powinien: zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Powołując ABI i zapewniając mu warunki do pracy, administrator wypełnia ciążące na nim obowiązki. Gdyby jednostka nie ustanowiła ABI, wówczas musiałaby nie tylko wypełniać powyższe obowiązki (z wyjątkiem sprawozdawczości z lit. a pkt 1), lecz także dokonywać rejestracji zbiorów danych w GIODO, czyli realizować obowiązek, który nie spoczywa na nim w przypadku ustanowienia ABI.
Zdaje się oczywiste, że przeniesienie części obowiązków w zakresie zbiorów danych na administratorów, a dokładniej powołanych przez nich ABI, skutkować może liczniejszymi albo dokładniejszymi kontrolami przestrzegania zasad ochrony danych osobowych ze strony GIODO. Dlatego właśnie – jeżeli podmiot nie ustanowi ABI – rośnie znacznie ryzyko pociągnięcia do odpowiedzialności osób kierujących jednostką za naruszenie spoczywających na nich obowiązków. Dlatego jeżeli do tej pory problem ochrony danych osobowych nie był tym, co absorbowało władze jednostki, to aby tak pozostało – należy ustanowić ABI.
W przypadku gdy ABI nie zostanie ustanowiony, kontrolę przedsiębiorcy w zakresie przestrzegania zasad ochrony danych osobowych przeprowadzą pracownicy GIODO, a jeżeli ABI został powołany – GIODO jemu będzie mógł powierzyć taką kontrolę.
3 RADA PRAWNIKA
Niekoniecznie na etacie
Należy zweryfikować, czy uzasadnione jest zatrudnianie ABI w ramach stosunku pracy. Outsourcing może okazać się rozwiązaniem nie tylko w małych firmach.
Jednym z wymagań, jakie stawiane są osobom, które ustanawiane są ABI, jest posiadanie odpowiedniej wiedzy w zakresie ochrony danych osobowych. Uwzględniając zakres obowiązków ABI, jego status wewnątrz firmy i oczekiwaną przez ustawodawcę niezależność wykonywania zadań, wybór outsourcingu jako sposobu ustanowienia ABI może okazać się dobrym rozwiązaniem, nie tylko w mniejszych i średnich, lecz także w dużych podmiotach.
Oczywiście tam, gdzie zadania z zakresu ochrony danych osobowych nie absorbują pełnoetatowo, jest to formuła, która eliminuje problem rekrutacji pracownika, specjalisty o wysokich umiejętnościach na część etatu albo poszukiwania mu dodatkowych zadań, których wykonywanie nie kolidowałoby z obowiązkami wynikającymi z ustawy o ochronie danych osobowych.
Wybór formuły współpracy z firmą zewnętrzną może nieść ze sobą istotne oszczędności. Rzecz jasna, niebagatelne znaczenie ma tutaj brak konieczności ponoszenia wysokich w naszym systemie fiskalno-ubezpieczeniowym kosztów zatrudnienia pracownika, ale nie można również zapominać o kosztach szkoleń, aktualizacji wiedzy.
Zapewniając sobie obsługę ze strony wyspecjalizowanej firmy, administrator korzysta z jej wiedzy, doświadczenia zdobytego również u innych podmiotów, a także know-how w zakresie administrowania danymi. Niezwykle ważne jest to, że osoby kierujące daną jednostką mogą preferować wybór formuły zewnętrznej jako uzasadnienie dbałości o ochronę danych osobowych, co może być istotne, gdyby jednak doszło do ewentualnych uchybień. Zwłaszcza w przypadku błędów, które przecież mogą się zdarzyć, zabezpieczenie cywilnoprawne administratora może być znacznie większe, jeżeli ABI ustanowiony został w ramach umowy cywilnoprawnej zawartej z podmiotem profesjonalnie zajmującym się doradztwem i wsparciem w zakresie ochrony danych osobowych.
Pamiętać należy, że ABI może dostać zlecenie na przeprowadzenie kontroli u danego administratora. W takiej sytuacji prowadzenie czynności kontrolnych przez firmę zewnętrzną, a nie pracownika kontrolowanej jednostki, wobec konieczności zachowania niezależności, obiektywizmu, rzetelności itp., zdaje się mieć oczywiste znaczenie dla relacji wewnątrz firmy.
4 RADA PRAWNIKA
Dobrze skonstruowana umowa outsourcingowa
Formalny obowiązek zgłoszenia ABI ciąży na administratorze danych osobowych. Obecnie nie ma obowiązku ustanowienia ABI, więc nie należy działać zbyt pochopnie przy wyborze świadczeniodawcy.
W obecnym stanie prawnym administrator danych osobowych ma prawo (a nie obowiązek) ustanowienia ABI. Oczywiście nie może budzić wątpliwości to, że w wielu przypadkach jego powołanie jest uzasadnione, jednak pamiętać należy, że źle skonstruowana umowa o współpracy w tym zakresie może przynieść więcej problemów niż korzyści.
Tak jak w przypadku każdej umowy outsourcingu, kluczowe znaczenie ma prawidłowe zdefiniowania w kontrakcie kilku podstawowych elementów, do których zaliczyć należy:
● zakres usługi – w tym przypadku koniecznie należy posłużyć się treścią ustawy o ochronie danych osobowych i zakresem zadań ABI;
● zobowiązanie usługodawcy do wskazania konkretnej osoby, która będzie pełniła funkcję ABI, zidentyfikowanie jej oraz oświadczenie o spełnieniu warunków ustawowych;
● zasady odpowiedzialności świadczeniodawcy;
● obowiązki usługobiorcy;
● zasady wyznaczania wynagrodzenia;
● czas obowiązywania umowy i zasady postępowaniu przy zakończeniu umowy.
W ramach takiej umowy należy zdefiniować obowiązki świadczeniodawcy w zakresie tworzenia lub aktualizacji systemu zabezpieczania danych osobowych oraz warto zapewnić sobie doradztwo dotyczące ochrony danych osobowych.
Pamiętać trzeba, że zgłoszenia o powołaniu i o odwołaniu ABI dokonuje administrator danych.
Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji powinno zawierać:
1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
2) dane administratora bezpieczeństwa informacji:
– imię i nazwisko,
– PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość,
– adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 1;
3) datę powołania;
4) oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków określonych w ustawie.
Warto zadbać, aby mimo formalnego obowiązku spoczywającego na administratorze, świadczeniodawca pomógł klientowi w realizacji takiego obowiązku (nie tylko dostarczył niezbędne dane, bo to jest oczywiste, lecz także przygotował stosowne zawiadomienie).
Wybierając świadczeniodawcę, pamiętać trzeba, że w realizując usługę, ABI będzie zobowiązany do:
● sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
● nadzorowania opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki ich ochrony oraz przestrzegania zasad w niej określonych,
● szkolenia osób upoważnionych do przetwarzania danych osobowych w zakresie przepisów o ochronie danych osobowych.
Zwłaszcza w przypadku tego ostatniego (ale nie tylko) – oprócz wiedzy, skrupulatności działania itp. – niezwykle ważna jest komunikatywność. Nawet jeżeli podpisujemy umowę z dużą firmą, konieczne jest zapewnienie sobie w kontrakcie możliwości wyboru, akceptacji lub odmowy akceptacji konkretnej osoby jako pełniącej funkcję ABI.
Podstawa prawna
Art. 36–36b, 43, 46b ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.).
Art. 35 ustawy z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. poz. 1662).
! PODSUMOWANIE
Nowe regulacje dotyczące ochrony danych osobowych, chociaż wprowadzane przepisami ustawy o ułatwieniu wykonywania działalności gospodarczej, nie dla każdego przedsiębiorcy oznaczają uproszczenia.
Owszem, wyeliminowanie obowiązku rejestracji zbiorów przez podmioty, które ustanowiły ABI, może mieć istotny wpływ na ich funkcjonowanie, jednak nie można mieć złudzeń co do tego, że będzie taniej. Należy liczyć się z dodatkowymi wydatkami, jakie przedsiębiorcy będą ponosili w związku z nowymi rozwiązaniami.
Rzecz jasna, sytuacja dotychczasowa, w której duża część podmiotów skutecznie ignorowała obowiązki w zakresie ochrony danych osobowych, nie była dobra, jednak oczekiwania przedsiębiorców były nieco inne. Spodziewali się raczej odformalizowania pewnych obowiązków w tym zakresie, a to jednak nie do końca się udało. W konsekwencji można stwierdzić, że tym, których stać na ustanowienie ABI, będzie znacznie łatwiej, ale niekoniecznie taniej. Jednak chyba nie warto nadmiernie oszczędzać na zabezpieczeniu danych i należy skorzystać z możliwości, które oferuje znowelizowana ustawa.