2016 będzie przełomowy dla ochrony danych osobowych.

euflagZ wielu źródeł docierają wieści, że rok 2016 będzie przełomowy dla ochrony danych osobowych. Wszystko za sprawą nowego rozporządzenia unijnego, które ma wejść w życie w 2016 roku. Z dużym zainteresowaniem będziemy na blogu obserwować zmiany, pewnie niejednokrotnie je komentując i oczekując na opinie GIODO czy sądów rozstrzygających konkretne przypadki, a jednocześnie interpretując nowe przepisy. Mechanizmy odpowiedzialności finansowej zawarte w treści rozporządzenia również niewątpliwie wpłyną na wagę ochrony danych osobowych.

Rozpoczniemy jednak od analizy nowego modelu funkcjonowanie obecnego administratora bezpieczeństwa informacji. Według nowego rozporządzenia ma on nosić miano inspektora ochrony danych. Zgodnie z treścią art. 35 administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, w każdym przypadku, w którym:

  • przetwarzania dokonuje organ lub podmiot publiczny;

lub

  • przetwarzania dokonuje osoba prawna i dotyczy ono ponad 5000 podmiotów danych rocznie w dowolnym okresie kolejnych 12 miesięcy;

lub

  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych;

lub

  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu szczególnych kategorii danych zgodnie z art. 9 ust. 1, danych dotyczących lokalizacji lub danych dotyczących dzieci lub pracowników w wielkoskalowych zbiorach danych.

Grupa przedsiębiorstw może wyznaczyć głównego odpowiedzialnego inspektora ochrony danych, pod warunkiem zapewnienia łatwego kontaktu z inspektorem ochrony danych z każdej siedziby.

Jeśli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, inspektor ochrony danych może być wyznaczony dla szeregu jego jednostek organizacyjnych, z uwzględnieniem struktury organizacyjnej organu lub podmiotu publicznego.

Administrator lub podmiot przetwarzający wyznaczają inspektora ochrony danych na podstawie jego kwalifikacji zawodowych oraz w szczególności jego wiedzy specjalistycznej z zakresu prawa ochrony danych, praktyki i zdolności do wykonywania zadań określonych w rozporządzeniu. Niezbędny poziom wiedzy specjalistycznej ustala się w szczególności zgodnie z prowadzonym przetwarzaniem danych oraz ochroną wymaganą dla danych osobowych przetwarzanych przez administratora lub podmiot przetwarzający.

Kolejne przepisy wskazują na umocowanie prawne inspektora, w szczególności:

  • by inne obowiązki zawodowe inspektora ochrony danych były zgodne z zadaniami i obowiązkami tej osoby jako inspektora ochrony danych i by nie skutkowały one konfliktem interesów;
  • by inspektor ochrony danych był wyznaczany na okres co najmniej czterech lat w przypadku pracowników lub dwóch lat w przypadku zewnętrznych wykonawców usług. Inspektor ochrony danych może być powoływany na kolejne kadencje. Inspektora ochrony danych można odwołać w czasie trwania kadencji jedynie wtedy, gdy przestał spełniać warunki niezbędne do pełnienia przez niego obowiązków.
  • by inspektor ochrony danych może być zatrudniony przez administratora lub podmiot przetwarzający lub wykonywać swoje zadania na podstawie umowy o świadczenie usług.

Nadto, administrator lub podmiot przetwarzający informują organ nadzorczy oraz opinię publiczną o imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych.

Wśród wskazanych przepisów szczególne zaciekawienie budzi sposób interpretacji trzeciej sytuacji, w której powołanie inspektora będzie obligatoryjne, tj. gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych. Już na wstępie można postawić pytanie, czy przepis ten należy interpretować w ten sposób, że dotyczyć on może administratorów danych, którzy zatrudniają pracowników. Nie ulega bowiem wątpliwości, że pracodawca w sposób regularny i systematyczny monitoruje dane osobowe swoich pracowników, niejednokrotnie od nich uzależniając szczególne uprawnienia, w tym także socjalne. Przyjęcie jednak takiej interpretacji prowadziłoby do wniosku, że w zasadzie w każdej sytuacji obligatoryjne byłoby wyznaczenie inspektora ochrony danych. Co więcej, niewyznaczenie inspektora ochrony danych ma zostać obwarowane grzywną.

Cóż, pożyjemy, zobaczymy.

Tomasz Cygan

11 Comments

  1. Magdalena

    Mój mąż ma niewielką firmę z 2-ma wspólnikami, zatrudnia 2 pracowników i produkuje różne rzeczy dla podmiotów gospodarczych, Niedawno otrzymał telefon od pewnej firmy szkoleniowej z propozycją szkolenia w celu uzyskania certyfikatu ochrony danych osobowych, bo podobno jest to niezbędne w prowadzeniu firmy ?
    Proszę o odpowiedź na czym to polega, i czy rzeczywiście jest to konieczność ?
    Proszę o konkretną podstawę prawną ?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Sytuacja, którą Pani opisuje jest Oszukiwaniem firmy. Koniecznością jest spełnienie wymagań przepisów o ochronie danych osobowych, gdyż firma którą prowadzi Pani mąż jest Administratorem Danych * (przetwarzana dane w innych celach niż osobiste i domowe i jest to związane z działalnością zarobkową). Przykładowo, firma musi się zastanowić czy wyznacza ABI**, musi posiadać Politykę Bezpieczeństwa czy ewidencję osób upoważnionych do przetwarzania danych*** lub z bardziej technicznych zabezpieczeń musi szyfrować komputery przenośne z danymi osobowymi podlegającymi ochronie w przypadku wynoszenia ich poza budynek firmy.

      Co ciekawe, w całej ustawie o ochronie danych osobowych nie ma słowa o konieczności szkolenia się- jedynie o konieczności zapoznania osób które zostały upoważnione do przetwarzania danych osobowych z przepisami o ochronie danych osobowych****.

      Podsumowując, w przepisach nie ma żadnego „certyfikatu ochrony danych”…

      Pozdrawiam,

      Michał Geilke

      *- Art. 3 ust. 2. Ustawę stosuje się również do: 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.
      **- Art. 36a ust. 1. Administrator danych może powołać administratora bezpieczeństwa informacji.
      ***- Art. 36 ust. 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
      ****- Art. 36a ust. 2 Pkt. c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

      Reply
      1. januszek

        Zwracam uwagę na to, że firma męża „produkuje różne rzeczy dla podmiotów gospodarczych”. Pytanie: czy dane podmiotu gospodarczego są danymi osobowymi?

        Reply
        1. Michał (Post author)

          Dzień dobry,

          Dane podmiotów gospodarczych które prowadzą osoby fizyczne (jednoosobowe działalności i spółki cywilne) podlegają ochronie za wyjątkiem CEIDG ustawa o swobodzie działalności gospodarczej:

          „Art. 39b. Do jawnych danych i informacji udostępnianych przez CEIDG nie
          stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
          osobowych (Dz. U. z 2014 r. poz. 1182 i 1662 oraz z 2015 r. poz. 1309), z wyjątkiem
          przepisów art. 14–19a i art. 21–22a oraz rozdziału 5 tej ustawy.”

          Rozdział 5 UODO to bezpieczeństwa danych, a dane jakie firmy współpracuje o sobie posiadają są szersze niż te w CEIDG.

          Pozdrawiam,

          Reply
  2. domino

    Pracuje UM w małej miejscowości. Mój zakres obowiązków to:
    1. Prowadzenie spraw związanych z informatyka urzędu miasta.
    2. Planowanie i zapewnienie ochrony i ewakuacji dóbr kultury i innego mienia na wypadek zagrożenia zniszczeniem.
    3. Prowadzenie spraw obronnych.
    4. Prowadzenie spraw obrony cywilnej.
    5. Pełnomocnik d.s. kombatantów.
    6. ABI
    7. ASI
    8. Prowadzenie oraz nadzór nad właściwą eksploatacją samochodu służbowego w urzędzie.
    9. Wykonywanie poleceń służbowych Burmistrza i Sekretarza nieujętych w zakresie obowiązków.
    10 Przygotowanie informacji wynikających z przepisów ustawy i prawa miejscowego do umieszczenia na stronie BIP.

    Proszę o komentarz, czy przy tak absurdalnym zakresie obowiązków jest możliwe wykonywanie zadań ABI.
    Proszę o podpowiedź co powinienem zrobić i jakich argumentów użyć w rozmowie z burmistrzem.
    Z dniem 2 listopada zostały mi powierzone obowiązki ABI.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      według mnie raczej na pewno nie może Pan pełnić funkcji ABI. Moje stanowisko podyktowane jest w szczególności zapisami UODO:
      – po pierwsze zgodnie art. 36 a z ust. 4 najpierw jest się ABI-m, a dopiero w następnej kolejności wykonuje się inne czynności i zadania, jeśli pozwoli na to czas- „administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust. 2.”
      – po drugie, jak Pan napisał jest Pan ASI- a więc wykonuje Pan zadania które powinny podlegać nadzorowi ABI (nie może Pan być „sędzią w swojej sprawie”) – „art. 36 a ust 8. Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań, o których mowa w ust. 2.”

      Z poważaniem,
      Michał Geilke

      Reply
  3. Monika

    Witam,

    mnie również dostąpił zaszczyt bycia ABI.

    W związku z art. 46b ust. 1 u.o.d.o. – AD w ciągu 30 dni od dnia powołania ABI powinien zgłosić go do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

    POWINIEN ALE NIE MUSI TAK?

    Zaznaczę, że jesteśmy przedsiębiorstwem komunalnym, dane przetwarzane to dane nasze (pracownicy firmy), klientów (faktury, umowy najmu itp.) oraz dane firm podwykonawczych.

    I tu kolejne pytanie dot. rejestracji zbioru danych.

    W naszym przypadku jesteśmy z niego zwolnieni (art. 43 ust.1 pkt.4 i 8).
    Tak rozumiem ustawę.

    Proszę o odpowiedź.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Art. 46b nie pozostawia wyboru i nakazuje rejestracje ABI:
      „1. Administrator danych jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi
      powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego
      powołania lub odwołania.”

      Co do zbiorów to na pewno nie muszą Państwo rejestrować Zbiorów Pracowników, co do klientów to proszę zwrócić uwagę na słowo WYŁĄCZNIE w celu wystawienia faktury- czy przetwarzają Państwo dane klientów (jednoosobowe działalności i spółki cywilne) do innych celów?

      Pozdrawiam,

      Reply
      1. Monika

        Dziękuję za odpowiedź,

        Jeśli chodzi o klientów, to ich dane są przetwarzane tylko i wyłącznie w celach księgowych (tj. faktury).

        Chociaż zanim wystawiona zostaje faktura najpierw podpisywane są umowy (np. najmu,inne).

        art.43 ust.1 pkt 4)
        (…) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych,
        a także dotyczących osób u nich zrzeszonych lub uczących się;

        Pogubiłam się ….

        Reply
  4. Kazimierz

    Czy uzyskanie informacji o lokalu mieszkalnym spółdzielni od Zarządu można odmówić ochroną danych osobowych co mnie nie interesuje.

    Reply
    1. Tomasz Cygan

      Dzień dobry,

      Wszystko zależy od rodzaju informacji oraz od osoby, która miałaby otrzymać taka informację. Inne bowiem informację będzie mógł otrzymać członek spółdzielni a inne osoba niebędąca członkiem.
      W niektórych sytuacjach można w oparciu o ochronę danych osobowych odmówić udzielenia informacji.

      z poważaniem,

      Tomasz Cygan

      Reply

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

nine − six =