Uzasadnienie zmian w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (art. 8 projektu ustawy o ułatwieniu wykonywania działalności gospodarczej)

1) rejestracja administratorów bezpieczeństwa informacji (ABI) i wprowadzenie uproszczonej kontroli

W zmienianym art. 12 pkt 4 ustawy przewiduje się rozszerzenie kompetencji rejestracyjnych Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej GIODO, na informacje o administratorach bezpieczeństwa informacji.

Zgodnie z nowo wprowadzanym art. 46b ust. 1 i 5 ustawy, administrator danych będzie obowiązany zgłosić GIODO powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia powołania lub odwołania, natomiast zmiany informacji objętych zgłoszeniem w terminie 14 dni od dnia zmiany. W art. 46c określono zakres informacji mających podlegać zamieszczeniu w prowadzonym przez GIODO, ogólnokrajowym, jawnym, rejestrze administratorów bezpieczeństwa informacji, zaś w projektowanym art. 46d ust. 1–3 wskazano zasady wykreślania ABI z rejestru administratorów bezpieczeństwa informacji (w drodze czynności materialno-
-technicznej (w przypadku powiadomienia przez administratora danych o odwołaniu ABI lub w przypadku śmierci ABI) oraz na podstawie decyzji administracyjnej wydawanej z urzędu, w przypadkach określonych tym przepisem). Uregulowano także skutek, jaki dla administratora danych wiąże się z wykreśleniem ABI z rejestru administratorów bezpieczeństwa informacji – art. 46d ust. 3 ustawy.

W art. 46e przewidziano możliwość ponownego zgłoszenia do rejestracji ABI wykreślonego z rejestru oraz określono sposób postępowania GIODO w przypadku złożenia takiego wniosku. Z treści tego przepisu wynika, iż w razie wyeliminowania przyczyn wykreślenia, GIODO wydaje decyzję administracyjną w przedmiocie wpisu ABI do rejestru. W przypadku jednak, gdy nie zostały usunięte przyczyny wykreślenia z rejestru, GIODO wydaje decyzję administracyjną odmawiającą wpisu do rejestru.

System rejestracji administratorów bezpieczeństwa informacji ma w prosty sposób zapewnić kontrolę, czy administrator danych faktycznie spełnił warunki niezbędne do zwolnienia go z obowiązku rejestracyjnego, na podstawie projektowanego art. 43 ust. 1a. Jednocześnie, tak jak system rejestracji zbiorów danych osobowych, przez jawność danych zawartych w rejestrze, będzie wypełniał, zgodnie z przepisami dyrektywy, postulat transparentności operacji przetwarzania danych osobowych.

GIODO, ze względu na niezależną kompetencję kontrolną ABI, mógłby powierzyć mu wykonywanie czynności polegających na sprawdzeniu zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Stanowiłoby to istotne odciążenie dla administratorów danych (w tym przedsiębiorców) w stosunku do stanu aktualnego, w którym w każdym wymagającym tego przypadku (np. skargi osoby trzeciej) podlegają oni bezpośredniej kontroli GIODO. Kontrola wykonywana przez ABI w żaden sposób nie naruszy kompetencji GIODO, który jedynie uznaniowo dopuszcza uproszczoną kontrolę i nie jest ograniczony w możliwości jej późniejszego przeprowadzenia (nowo wprowadzony art. 16a ust. 3 ustawy).

Należy mieć na uwadze, że sprawdzenie, o którym mowa w art. 16a ustawy o ochronie danych osobowych, i sprawdzenie z art. 36a ust. 2 pkt 1 lit. a, to dwie różne instytucje prawne. W pierwszym przypadku ABI dokonuje sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych u administratora danych, który go powołał, na zlecenie GIODO. W konsekwencji – sprawozdanie z takiego sprawdzenia jest przedstawiane, za pośrednictwem administratora danych, GIODO. W drugim przypadku (art. 36a ust. 2 pkt 1 lit. a) – sprawdzenie przeprowadzone przez ABI ma charakter kontroli wewnętrznej u administratora danych, a zatem powstałe w jego wyniku sprawozdanie jest dokumentem wewnętrznym administratora danych. Szczegółowo przedmiotowe kwestie zostaną uregulowane w rozporządzeniu na podstawie delegacji art. 36a ust. 7 pkt 1 ustawy o ochronie danych osobowych.

2) zwolnienie administratora danych z obowiązku zgłaszania zbioru danych osobowych do rejestracji GIODO związane z powołaniem administratora bezpieczeństwa informacji

Dodanie w art. 43 ustawy o ochronie danych osobowych przepisu wprowadzającego nowe, kompleksowe zwolnienie z obowiązku zgłoszenia do rejestracji GIODO zbiorów, w których nie będą przetwarzane dane określone w art. 27 ust. 1 tej ustawy (tzw. dane szczególnie chronione), prowadzonych przez administratorów danych, którzy powołali i zgłosili GIODO ABI, jest skorelowane ze zmianą przepisów dotyczących administratora bezpieczeństwa informacji.

Uchylenie art. 36 ust. 3 ustawy i dodanie przepisów wprowadzających możliwość powołania administratora bezpieczeństwa informacji, regulujących jego podstawowe zadania (obowiązek zapewnienia przestrzegania przepisów o ochronie danych osobowych oraz prowadzenia jawnego rejestru zbiorów danych3) przetwarzanych w jednostce organizacyjnej, zawierającego informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7), warunki jego powołania (pełna zdolność do czynności prawnych oraz korzystanie z pełni praw publicznych, legitymowanie się odpowiednią wiedzą z zakresu przepisów o ochronie danych osobowych, niekaralność za przestępstwo popełnione z winy umyślnej), możliwość powołania jego zastępcy oraz usytuowanie organizacyjne w jednostce administratora danych (bezpośrednia podległość kierownikowi jednostki organizacyjnej).

Przepis art. 36b ustanawia dla administratora danych obowiązek wykonywania zadań administratora bezpieczeństwa informacji w przypadku jego niepowołania. Podkreślić należy, że w świetle obowiązujących przepisów realizacja nałożonych na administratora danych obowiązków wymaga podjęcia takich samych działań jak wynikające z projektowanego art. 36a ust. 2 pkt 1. Trudno bowiem przyjąć, że administrator danych prawidłowo będzie przetwarzał dane, jeżeli podległe mu osoby je przetwarzające nie będą zapoznane z przepisami o ochronie danych osobowych, nie będzie on miał kontroli nad procesami przetwarzania danych, a także nad działaniami mającymi na celu wdrożenie dokumentacji i jej aktualizowanie. Tym samym przedmiotowa regulacja stanowi jedynie niezbędne dostosowanie do zmienionych przepisów, a niepowołanie administratora bezpieczeństwa informacji nie będzie generowało dodatkowych obciążeń dla administratora danych.

Wykonywanie obowiązku zgłaszania do rejestracji GIODO zbiorów danych, a następnie aktualizowanie informacji w nich zawartych, stanowi znaczne obciążenie administracyjne dla administratorów danych, w tym przedsiębiorców.

Przepisy rozdziału 6 ustawy o ochronie danych osobowych dotyczące obowiązku rejestracji zbiorów danych stanowią implementację przepisów dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, str. 31, z późn. zm.), zamieszczonych w rozdziale II sekcji IX zatytułowanej „Zawiadomienie”. Dyrektywa w tej części reguluje instytucję tzw. „notyfikacji”, tj. nałożonego na administratora danych obowiązku powiadamiania organu nadzorczego o zamierzonych operacjach przetwarzania danych osobowych. Na gruncie wspomnianej dyrektywy niedopuszczalne jest zrezygnowanie przez państwo członkowskie z obowiązku notyfikacji, ale możliwe jest jego uproszczenie bądź zwolnienie z ww. wymogu w zakresie wyznaczonym dyrektywą. Obowiązek powiadamiania wprowadza art. 18 ust. 1 dyrektywy, natomiast art. 18 ust. 2 określa przypadki, w których administrator danych może być zwolniony z tego obowiązku. W szczególności przepis ten dopuszcza, aby państwa członkowskie uprościły obowiązek notyfikacyjny lub z niego zwolniły, jeżeli administrator danych wyznaczy urzędnika ds. ochrony danych osobowych (data protection official), pod warunkiem spełnienia przez niego dwóch warunków: zapewnienia w sposób niezależny przestrzegania krajowych przepisów o ochronie danych osobowych (opartych na dyrektywie 95/46/WE) oraz prowadzenia rejestru operacji związanych z przetwarzaniem danych dokonywanych przez administratora danych, zawierającego takie same elementy jak rejestr ogólnokrajowy prowadzony przez państwowy organ ds. ochrony danych osobowych (tzw. uproszczona rejestracja). Jest to jedyne przewidziane w dyrektywie zwolnienie o charakterze kompleksowym, ponieważ inne zwolnienia dotyczą określonych kategorii danych (art. 18 ust. 4) lub też zależą od kryteriów wpływu na prawa i wolności podmiotu danych (art. 18 ust. 2 tiret pierwsze) czy dostępności danych osobowych (art. 18 ust. 3). Jednakże ustawodawca polski nie skorzystał dotychczas z możliwości uregulowania instytucji urzędnika ds. ochrony danych osobowych. Przewidziany w polskiej ustawie administrator bezpieczeństwa informacji nie spełnia warunków uznania go za urzędnika ds. ochrony danych osobowych w rozumieniu dyrektywy. Ustawa nie gwarantuje mu bowiem niezależności, zbyt wąsko określa jego zadania w odniesieniu do uregulowań dyrektywy w tym zakresie, jak również nie przyznaje kompetencji w zakresie uproszczonej rejestracji. Aktualnie w ustawie o ochronie danych osobowych znajduje się tylko jeden przepis dotyczący ABI (art. 36 ust. 3). Proponuje się zatem kompleksowe zwolnienie z obowiązku rejestracyjnego administratora danych, który powołał i zgłosił do rejestracji GIODO ABI, z jednoczesną zmianą przepisów odnoszących się do jego zadań i usytuowania organizacyjnego w jednostce administratora danych. Powyższe zwolnienie z obowiązku rejestracyjnego nie dotyczy jednakże zbiorów zawierających dane wymienione w art. 27 ust. 1, ponieważ w ramach rejestracji uregulowanej w polskiej ustawie wykonywany jest obowiązek kontroli wstępnej (prior checking) przetwarzania tych danych, tj. operacji, które mogą stwarzać zagrożenie praw i wolności podmiotu danych (art. 20 dyrektywy 95/46/WE). Ze względu na powyższe wymogi prawa unijnego w zakresie dopuszczalności kompleksowego zwolnienia administratorów danych z obowiązku rejestracji zbiorów wprowadza się nowe przepisy dotyczące statusu i zadań ABI, które zapewnią zachowanie standardów wyznaczonych dyrektywą 95/46/WE, tj.: niezależność w wykonywaniu zadań, obowiązek zapewnienia stosowania w jednostce organizacyjnej przepisów o ochronie danych osobowych, w szczególności przez przyznanie kompetencji do kontroli wewnętrznej w zakresie przestrzegania przepisów o ochronie danych osobowych, a także prowadzenie wewnętrznego rejestru zbiorów danych.

Jednocześnie w ramach proponowanych rozwiązań określony zostaje status ABI, na który składają się: wymogi stawiane osobie mającej pełnić omawianą funkcję, organizacyjne usytuowania funkcji oraz dopuszczenie nałożenia na ABI innych zadań niż określonych w ustawie o ochronie danych osobowych. Projektowana nowelizacja przyjmuje, że ABI może wykonywać inne nałożone na niego zadania, które nie naruszają jego obowiązków dotyczących ochrony danych osobowych.

Celowo projektowana zmiana unika regulowania kwestii zmierzających w kierunku tworzenia nowej grupy zawodowej.

Jednocześnie projektowane zmiany nie zakazują outsourcingu zadań administratora bezpieczeństwa informacji przez administratora danych. Dopuszczono także możliwość powołania zastępców administratora bezpieczeństwa informacji, co ma znaczenie w sytuacjach, gdy ABI przejściowo nie może realizować swoich zadań.

Niezależnie od zwolnienia z obowiązku rejestracyjnego administratora danych, który powołał i zgłosił do rejestracji Generalnemu Inspektorowi administratora bezpieczeństwa informacji, proponuje się wprowadzenie zwolnienia w odniesieniu do zbiorów danych, które nie są prowadzone w systemie informatycznym, z wyjątkiem zbiorów zawierających dane szczególnie chronione (określone w art. 27 ust. 1) – projektowany pkt 12 w art. 43 ust. 1 ustawy.

Rozwiązanie powyższe będzie zgodne z dyrektywą, która pozwala na zwolnienie z obowiązku rejestracji wszystkich zbiorów (bez względu m.in. na kategorię danych), do prowadzenia których nie wykorzystuje się systemów informatycznych (art. 18 ust. 5 dyrektywy), a jednocześnie zmniejszy obciążenia administracyjne tych administratorów danych (przedsiębiorców), którzy nie mogą skorzystać ze zwolnienia z obowiązku rejestracji zbioru danych z uwagi na brak powołania ABI. Jednakże obowiązkowi rejestracji będą podlegały zbiory, do prowadzenia których nie wykorzystuje się systemu informatycznego, jeżeli będą w nich przetwarzane dane szczególnie chronione. Obowiązek rejestracji zbiorów zawierających tę szczególną kategorię danych, podobnie jak w przypadku kompleksowego zwolnienia z obowiązku rejestracji administratorów danych, którzy powołali ABI, zostaje utrzymany z uwagi na wykonywaną w postępowaniu rejestracyjnym przez GIODO kontrolę wstępną w odniesieniu do tych danych.

3) przekazywanie danych do państw trzecich oraz państw członkowskich EOG bez zgody GIODO

Zmiany polegają na przeniesieniu (z istotnymi zmianami) dotychczasowej treści art. 48 ustawy o ochronie danych osobowych do nowego art. 48 ust. 1. Zawierają wyłączenie obowiązku uzyskania zgody GIODO na przekazanie danych do państwa trzeciego, gdy zastosowano standardowe klauzule umowne zatwierdzone przez Komisję Europejską, zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE, lub wiążące reguły korporacyjne zatwierdzone przez GIODO. Jednocześnie nadają GIODO kompetencję do zatwierdzania wiążących reguł korporacyjnych po przeprowadzeniu konsultacji z organami ochrony danych państw członkowskich Europejskiego Obszaru Gospodarczego.

Proponowana zmiana ma na celu zapewnienie zgodności brzmienia tego przepisu z art. 47 ust. 1 i 1a i ujednolicenie przesłanek oceny dopuszczalności przekazania danych do państwa trzeciego. Nowe brzmienie art. 48 ust. 1 ustawy pozwoli również na wykorzystanie przez GIODO kryteriów zamieszczonych w art. 47 ust. 1a ustawy przy wydawaniu decyzji administracyjnej w przedmiocie dopuszczalności przekazania danych do państwa trzeciego.

W świetle decyzji Komisji Europejskiej zastosowanie standardowych klauzul umownych uznaje się za zapewniające odpowiednie gwarancje dla praw i wolności osoby, której dane dotyczą. Dlatego w przypadku zastosowania w procesie przekazania danych do państwa trzeciego standardowych klauzul umownych nie ma uzasadnienia prowadzenia postępowania administracyjnego zmierzającego do uzyskania zgody, o której mowa w nowym art. 48 ust. 1 ustawy.

Zastosowanie wiążących reguł korporacyjnych, które jako instrument prawny powinny mieć charakter generalny znajdujący zastosowanie do wszystkich transferów międzynarodowych w grupie przedsiębiorstw i miałyby być zatwierdzane przez GIODO, nie wymagałoby wyrażania przez GIODO zgody na poszczególne transfery danych odbywające się w ramach określonych wiążącymi regułami korporacyjnymi. Wiążące reguły lub polityki ochrony danych, przyjęte w ramach grupy przedsiębiorstw do celów przekazania danych osobowych przez administratora lub podmiot, o którym mowa w art. 31 ust. 1, do należącego do tej samej grupy administratora lub podmiotu, o którym mowa w art. 31 ust. 1, w państwie trzecim (wiążące reguły korporacyjne) są instrumentami prawnymi mającymi na celu zapewnienie jednolitych i odpowiednio elastycznych standardów ochrony danych osobowych w grupie przedsiębiorstw międzynarodowych. Instrument ten ma szczególne znaczenie w gospodarce globalnej i jest wspierany zarówno przez środowiska gospodarcze, jak i organy ochrony danych osobowych. Zatwierdzenie wiążących reguł korporacyjnych jako zapewniających odpowiednie gwarancje pozwala na rezygnację z konieczności uzyskiwania zgody na poszczególne operacje przekazywania danych osobowych do państw trzecich. Ze względu na globalny charakter wiążących reguł korporacyjnych ważne jest, aby ich zatwierdzenie odbywało się po przeprowadzeniu uprzedniej konsultacji co do ich treści z organami ochrony danych państw członkowskich EOG. Tryb takich konsultacji jest obecnie określany w ramach dobrowolnych uzgodnień między organami ochrony danych osobowych i obejmuje w szczególności wzajemne uznawanie opinii poszczególnych organów ochrony danych w sprawie wiążących reguł korporacyjnych.

Proponowana nowelizacja art. 48 ustawy o ochronie danych osobowych, mająca na celu umożliwienie administratorowi danych przekazanie danych do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, bez każdorazowego uzyskiwania zgody GIODO w drodze decyzji administracyjnej, dotyczy dwóch sytuacji:

a) gdy zastosowano standardowe klauzule umowne zatwierdzone przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, str. 31, z późn. zm.),

b) gdy zastosowano prawnie wiążące reguły korporacyjne zatwierdzone przez GIODO zgodnie z projektowanym (art. 8 pkt 8 projektu ustawy o ułatwieniu wykonywania działalności gospodarczej) art. 48 ust. 3 ustawy o ochronie danych osobowych.

Ad a. W istniejącym stanie prawnym zgoda GIODO (w drodze decyzji administracyjnej) jest wymagana w każdym przypadku, gdy administrator danych chce przekazać dane osobowe do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych. Ma to również zastosowanie, gdy w odniesieniu do planowanego transferu danych do państwa trzeciego ochrona praw i wolności osoby, której dane mają być przekazane, jest zagwarantowana przez umowę zawierającą standardowe klauzule umowne, które – na mocy decyzji Komisji Europejskiej – mają przymiot instrumentu prawnego chroniącego w odpowiednim stopniu prawa i wolności osoby. Innymi słowy obecnie GIODO musi jeszcze raz badać w postępowaniu administracyjnym dotyczącym wyrażenia zgody na przekazanie danych do państwa trzeciego kwestie, które Komisja Europejska już oceniła, zatwierdzając określone standardowe klauzule umowne. Zmiana zaproponowana w pkt 1 lit. a zwolni administratora danych chcącego przekazać dane osobowe do państwa trzeciego, które nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, a stosującego przy takim przekazaniu standardowe klauzule umowne, z obowiązku występowania do GIODO z wnioskiem o wyrażenie zgody na przekazanie danych. Będzie on jedynie zobowiązany do ścisłego stosowania się do tekstu – zatwierdzonych przez Komisję Europejską – klauzul umownych. Konstrukcja taka jest zgodna z art. 42 projektu rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem tych danych (ogólne rozporządzenie o ochronie danych osobowych), jak również eliminuje, zdecydowanie niecelowe, istniejące rozwiązanie polegające na dwukrotnym badaniu przez różne podmioty tych samych zagadnień.

Ad b. Regulacja zamieszczona w projektowanym (art. 8 pkt 8 projektu ustawy o ułatwieniu wykonywania działalności gospodarczej) art. 48 ust. 2 pkt 2 i ust. 3 ustawy o ochronie danych osobowych ma na celu ułatwienie administratorom danych pozostającym w strukturach międzynarodowych korporacji przekazanie danych do podmiotów wewnątrz tych struktur. W przypadku przyjęcia proponowanych unormowań zgoda GIODO (w drodze decyzji administracyjnej) dotyczyła będzie instrumentu prawnego (wiążących reguł korporacyjnych) mającego chronić w odpowiednim stopniu prawa i wolności osoby, której dane mają być przekazane do państwa trzeciego niezapewniającego na swoim terytorium odpowiedniego poziomu ochrony danych osobowych, nie zaś danego (konkretnego) transferu danych. Zatwierdzenie przez GIODO wiążących reguł korporacyjnych (tj. wewnętrznych polityk lub kodeksów dobrych praktyk przyjmowanych w ramach międzynarodowych korporacji) przyjętych do stosowania przez całą korporację będzie oznaczało, że wszyscy administratorzy danych należący do tej korporacji będą mogli przekazywać między sobą dane osobowe bez uzyskiwania odrębnych zgód GIODO, jeżeli stosują te reguły.

Co więcej – wyżej wskazana reguła będzie się także odnosiła do międzynarodowych korporacji przetwarzających dane na zlecenie (w ramach umowy powierzenia, o której mowa w art. 31 ustawy o ochronie danych osobowych). Zatwierdzenie wiążących reguł korporacyjnych przyjętych przez międzynarodową korporację świadczącą usługi przetwarzania danych będzie oznaczało, iż administrator danych zlecający taką usługę nie będzie musiał uzyskiwać zgody GIODO na związany z tą usługą transfer danych do państwa trzeciego niezapewniającego na swoim terytorium odpowiedniego poziomu ochrony danych osobowych.

Konstrukcja zaproponowana w (projektowanym) art. 48 ust. 2 pkt 2 i ust. 3 jest zgodna z art. 42 i art. 43 projektu rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych swobodnym przepływem tych danych (ogólne rozporządzenie o ochronie danych osobowych).

Celem zmian art. 48 ustawy o ochronie danych osobowych jest przystąpienie przez polski organ do spraw ochrony danych osobowych do procedury wzajemnego uznawania (ang. MUTUAL RECOGNITION).

Projektowane przepisy ustawy o ochronie danych osobowych wymagają od ministra właściwego do spraw administracji publicznej wydania przepisów wykonawczych, w których zostanie określony tryb i sposób realizacji zadań, o których mowa w projektowanym art. 36a ust. 2 pkt 1 lit. a i b ustawy, sposób prowadzenia rejestru zbiorów danych, o którym mowa w projektowanym art. 36a ust. 2 pkt 2, oraz wzory zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji.

Przewiduje się wprowadzenie przepisów przejściowych, zgodnie z którymi dotychczasowy administrator bezpieczeństwa informacji pełni tę funkcję zgodnie z nowymi przepisami do czasu wpisania go do rejestru, nie dłużej jednak niż do 30 czerwca 2015 r. Ponadto do postępowań rejestracyjnych prowadzonych przez GIODO na podstawie zgłoszeń, o których mowa w art. 41 ust. 1 i 2, niezakończonych przed dniem wejścia w życie przepisów wprowadzających nowe zwolnienia z obowiązku rejestracyjnego, będą miały zastosowanie dotychczasowe przepisy ustawy o ochronie danych osobowych.