ABI w organizacji

Nowe przepisy dotyczące administratora bezpieczeństwa informacji to wstęp do nowych ram prawnych ochrony danych osobowych w Unii Europejskiej, których uchwalenie ciągle przed nami – mówi dr Paweł Litwiński, adwokat, ekspert Komisji Europejskiej do spraw ochrony danych osobowych w umowach cloud computing.

Paweł Litwiński, adwokat, ekspert Komisji Europejskiej do spraw ochrony danych osobowych w umowach cloud computing.

Paweł Litwiński, adwokat, ekspert Komisji Europejskiej do spraw ochrony danych osobowych w umowach cloud computing.

Jesienią 2013 r. został Pan członkiem unijnego zespołu ekspertów ds. umów w chmurze obliczeniowej. Proszę przypomnieć, dlaczego powołano taką grupę.

Grupa została powołana z inicjatywy Komisji Europejskiej, aby przygotować wzory umów o świadczenie usług przetwarzania danych w modelu chmury obliczeniowej. Choć muszę przyznać z perspektywy czasu, że czy to rzeczywiście będą wzory umów, nie jest jeszcze jasne.

Zobacz również:

Komisja Europejska nie jest do końca pewna, co chciałaby uzyskać w rezultacie pracy naszej grupy. Dlatego dzisiaj myślę, że nawet bardziej prawdopodobne jest opracowanie czegoś w rodzaju zaleceń, kodeksu dobrych praktyk, który nie będzie miał charakteru wzoru umowy, ale będzie zbliżony do takiego wzoru i który będzie mógł być stosowany przez europejskich dostawców usług przetwarzania danych w chmurze. Zresztą rezultat naszych prac nie zależy tylko od nas – grupa stanowi jeden z elementów składających się na toczące się obecnie prace mające doprowadzić do uregulowania usług chmurowych.

Jak często spotyka się zespół i jak przebiegają jego prace?

Administrator bezpieczeństwa informacji będzie mógł skontrolować administratora danych na zlecenie GIODO, niejako zastępując GIODO. Administrator danych, który powoła ABI, będzie też w dużej mierze zwolniony z obowiązku rejestracji zbiorów danych osobowych w GIODO.

Grupa spotyka się dosyć nieregularnie. Zdarzały się miesiące z dwoma spotkaniami po dwa dni pracy, a są też dłuższe, kilkumiesięczne przerwy. Prace zazwyczaj przebiegają tak samo, spośród członków wybrano kilka osób, które przygotowały i przedstawiły analizę konkretnego problemu wskazanego przez przedstawicieli Komisji. Miałem przyjemność omawiać temat „Data location and data security”. Taka prezentacja każdorazowo otwierała dyskusję na dany temat, kończącą się przyjęciem sprawozdania. Te dokumenty są dostępne w sieci na stronach Komisji Europejskiej.

Nad czym obecnie pracuje grupa? Jakie zmiany w prawie są planowane w najbliższym czasie?

Grupa powinna wreszcie skoncentrować się na konkretnym rezultacie swojej pracy, czyli na przygotowaniu wzoru umów bądź kodeksu dobrych praktyk dla usług przetwarzania danych w chmurze. Myślę, że w ciągu roku taki dokument powinien ujrzeć światło dzienne.

W Polsce i w całej Unii czeka nas całkowita zmiana ram prawnych ochrony danych osobowych. Wiele wskazuje na to, że w tym roku zostanie przyjęte tzw. rozporządzenie ogólne w sprawie ochrony danych osobowych, które – gdy wejdzie w życie – spowoduje uchylenie naszej polskiej ustawy o ochronie danych osobowych. I to dopiero będzie rewolucja.

Na razie ostatni rok w Polsce upłynął pod znakiem zmian w ustawie o ochronie danych osobowych. Jakie zmiany w prawie odnośnie do IT nastąpiły w tym czasie?

Prace nad nimi toczyły się relatywnie długo, bo od pierwszych założeń, jeszcze nieformalnych, do uchwalenia ustawy minęły ponad trzy lata. Ale koniec końców ustawa została uchwalona 7 listopada 2014 r. i w zakresie zmian w ustawie o ochronie danych osobowych obowiązuje od 1 stycznia 2015 r.

Czym różni się nowa ustawa o ochronie danych osobowych od tej, która obowiązywała do niedawna?

Zmieniły się zasady funkcjonowania administratorów bezpieczeństwa informacji oraz zasady przekazywania danych osobowych do tzw. państw trzecich, czyli poza Europejski Obszar Gospodarczy.

Na czym będę polegały zmiany?

Zacznijmy od drugiej zmiany. W przypadku przekazywania danych do innych państw nowa ustawa to klasyczne zliberalizowanie istniejących rozwiązań. Na gruncie dyrektywy o ochronie danych osobowych od dawna istnieją takie konstrukcje jak wiążące reguły korporacyjne (BCR) i klauzule modelowe służące do przekazywania danych osobowych do państw trzecich. BCRy są to prawnie wiążące reguły lub polityki ochrony danych osobowych stosowane w ramach grupy przedsiębiorców (najczęściej grupy kapitałowej).

Zgodnie z dyrektywą, gdy zostaną zatwierdzone przez organ ochrony danych w jednym państwie Unii, mogą być stosowane w innych państwach, stanowiąc wystarczającą podstawę transferu danych osobowych do państwa trzeciego. Czyli np. grupa kapitałowa zatwierdza BCRy w jednym państwie Unii, a następnie wszystkie spółki tej grupy z pozostałych państw Unii przekazują dane do państw trzecich z powołaniem się na te BCRy, bez konieczności ubiegania się w swoim kraju o zgodę właściwego GIODO.

Standardowe klauzule umowne natomiast są to wzory umów zatwierdzane przez Komisję Europejską. Umowy te zawiera się przy przekazywaniu danych osobowych do innych państw, np. zawiera się umowę powierzenia przetwarzania danych osobowych przez podmiot z państwa trzeciego. Gdy zastosowane zostały standardowe klauzule, administrator danych nie musi zabiegać o zgodę na przekazanie danych – transfer danych jest legalny przez sam fakt zastosowania standardowych klauzul umownych. I z obydwu tych rozwiązań polscy przedsiębiorcy mogą korzystać od 1 stycznia.

Z kolei zmiany dotyczące administratorów bezpieczeństwa informacji były przez środowisko ABI wyczekiwane od lat. Nowa ustawa precyzuje wreszcie pozycję prawną i obowiązki ABI. Wprowadza też konkretne korzyści związane z powołaniem ABI. ABI będzie mógł skontrolować administratora danych na zlecenie GIODO, niejako zastępując GIODO. Administrator danych, który powoła ABI, będzie też w dużej mierze zwolniony z obowiązku rejestracji zbiorów danych osobowych w GIODO.

Co to będzie oznaczało dla szefów poszczególnych działów, zwłaszcza dla szefów IT?

Komisja Europejska nie jest do końca pewna, co chciałaby uzyskać w rezultacie pracy naszej grupy; bardziej prawdopodobne jest opracowanie kodeksu dobrych praktyk niż wzoru umowy na świadczenie usługi przetwarzania danych w chmurze.

Szefowie działów IT przede wszystkim muszą podjąć decyzję, czy chcą, żeby w ich organizacji został powołany ABI, bo powołanie ABI jest dobrowolne. Jeżeli zdecydują się na powołanie ABI, wówczas być może trzeba będzie wprowadzić pewne zmiany w funkcjonowaniu organizacji – a to dlatego, że administrator danych ma obowiązek zapewnić ABI środki (także zapewne finansowe) i organizacyjną odrębność niezbędne do niezależnego wykonywania przez niego ustawowych zadań ABI. Co więcej, w strukturze organizacyjnej administratora danych ABI powinien podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Ale powiedzmy to wyraźnie: dla dużych organizacji, poważnie podchodzących do ochrony danych osobowych, nowe przepisy o ABI nie oznaczają żadnej rewolucji. To wyłącznie przeniesienie do ustawy czegoś, co na poziomie dokumentacji ochrony danych osobowych funkcjonowało od lat.

Co dla administratora danych oznacza powołanie administratora bezpieczeństwa informacji?

Najważniejsze pytanie, przed jakim stoją obecnie administratorzy danych, brzmi: czy powoływać ABI? Jak już mówiłem, powołanie ABI oznacza konieczność wprowadzenia pewnych zmian w organizacji. Trzeba również pamiętać o tak prozaicznym aspekcie powołania ABI jak konieczność zapłaty odpowiedniego wynagrodzenia osobie pełniącej tę funkcję. Poza tym ABI podlega zgłoszeniu do rejestracji w GIODO.

W zamian administrator danych może liczyć na konkretne ułatwienia funkcjonowania. Po pierwsze, jeżeli administrator danych osobowych powołał ABI i ten ABI został zgłoszony do rejestracji w GIODO, wówczas administrator danych zwolniony jest z obowiązku rejestracji wszelkich zbiorów danych osobowych przetwarzanych przez siebie – za wyjątkiem zbiorów danych zawierających dane osobowe wrażliwe. Trzeba więc zadać sobie pytanie, czy i jakie zbiory danych wypadną z obowiązku rejestracyjnego dzięki powołaniu ABI. Trzeba też pamiętać, że od 1 stycznia br. do obowiązków ABI należy prowadzenie jawnego rejestru zbiorów danych osobowych przetwarzanych przez administratora danych. Zbiory, które nie są rejestrowane w GIODO, będą więc nadal rejestrowane, tyle tylko, że przez ABI. Środki niezbędne dla prowadzenia takiego rejestru zapewnia administrator danych.

Drugą potencjalną korzyścią dla administratora danych jest możliwość dokonywania przez ABI tzw. sprawdzeń na polecenie GIODO. Pomysł jest prosty: zamiast kontroli przez GIODO administrator danych będzie kontrolowany przez własnego ABI, który o rezultatach takiej kontroli będzie informował GIODO. Ale pamiętajmy, że GIODO i tak może dokonać kontroli po sprawdzeniu przez ABI.

Decyzja, którą musi podjąć administrator danych osobowych, powinna także uwzględniać elementy wizerunkowe: powołanie ABI może być odczytywane jako wyraz troski o ochronę danych osobowych.

Co będzie należało do obowiązków ABI?

Obowiązki nałożone na ABI można podzielić na dwie grupy: obowiązki związane z zapewnieniem przestrzegania przepisów o ochronie danych osobowych oraz obowiązki związane z rejestracją zbiorów danych osobowych.

W Polsce i w całej Unii czeka nas całkowita zmiana ram prawnych ochrony danych osobowych. Wiele wskazuje na to, że w tym roku zostanie przyjęte tzw. rozporządzenie ogólne w sprawie ochrony danych osobowych, które spowoduje uchylenie polskiej ustawy o ochronie danych osobowych. I to dopiero będzie rewolucja.

Na obowiązki związane z zapewnieniem przestrzegania przepisów o ochronie danych osobowych składają się: sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, nadzorowanie opracowania i aktualizowania dokumentacji ochrony danych osobowych oraz zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Obowiązek sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych może przybrać dwie formy: stałe sprawdzanie, czy przetwarzanie danych osobowych jest zgodne z prawem, oraz dokonywanie sprawdzeń na polecenie GIODO. W pierwszym przypadku ABI winien stale monitorować procesy przetwarzania danych osobowych pod kątem ich zgodności z przepisami o ochronie danych osobowych. W przypadku stwierdzonych nieprawidłowości, jak się wydaje, winien informować o tym administratora danych osobowych. Obowiązek nadzorowania opracowania i aktualizowania dokumentacji ochrony danych osobowych oznacza w praktyce przejęcie przez ABI pieczy nad tzw. dokumentacją ochrony danych osobowych. Z kolei obowiązek zapewnienia zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych oznacza obowiązek prowadzenia szkoleń z zakresu prawa ochrony danych osobowych.

Druga grupa obowiązków ABI wiąże się z ograniczeniem obowiązków administratora danych w zakresie rejestracji zbiorów danych osobowych – od 1 stycznia br. do obowiązków ABI należy prowadzenie jawnego rejestru zbiorów danych osobowych przetwarzanych przez administratora danych.

Czy to wszystko nie opóźni pracy poszczególnych działów i całej firmy?

Wydaje się, że nie – po pierwsze, w wielu firmach ABI funkcjonuje od wielu już lat i organizacje mogły się do niego przyzwyczaić, po drugie, tendencja do liberalizacji obowiązków związanych z ochroną danych osobowych przy jednoczesnym przenoszeniu ciężaru zapewnienia ochrony danych na same organizacje jest stała i raczej nie należy się spodziewać odwrotu od niej. Nowe przepisy o ABI to wstęp do nowych ram prawnych ochrony danych osobowych w Unii Europejskiej, których uchwalenie ciągle przed nami.

__________________________________________________________

dr Paweł Litwiński

Adwokat, partner w kancelarii Barta Litwiński Kancelaria Radców Prawnych i Adwokatów, członek sekcji prawa własności intelektualnej Instytutu Allerhanda. Członek komisji ds. informatyzacji i Legislacyjnej Naczelnej Rady Adwokackiej. Ekspert Komisji Europejskiej do spraw ochrony danych osobowych w umowach cloud computing. Absolwent Wydziału Prawa i Administracji Uniwersytetu Śląskiego w Katowicach, Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie oraz Szkoły Prawa Amerykańskiego UJ i Catholic University of America, Columbus School of Law, Washington.

Autor i współautor licznych publikacji naukowych i popularnonaukowych z zakresu prawa ochrony danych osobowych, prawa nowych technologii i prawa telekomunikacyjnego, w tym komentarza do ustawy o ochronie danych osobowych (CH Beck, 2009, II wyd. 2013, III wyd. 2015), monografii „Ochrona danych osobowych w ogólnym postępowaniu administracyjnym” (Wolters Kluwer, 2009), a także pozycji „Prawo Internetu” (LexisNexis 2004, 2007), „Prawo reklamy i promocji” (LexisNexis 2007), monografii „Ochrona danych osobowych. Aktualne problemy i nowe wyzwania” (2007), „Ochrona danych osobowych w Polsce z perspektywy dziesięciolecia” (2007) oraz „Prawo umów elektronicznych” (2006). Prelegent na konferencjach, szkoleniach i kongresach związanych z powyższą tematyką prawną. Wykładowca na Wydziale Prawa i Administracji Uniwersytetu Śląskiego w Katowicach.