Styczeń 2015 issn 2391-5781 nr 4
OCHRONA DANYCH OSOBOWYCH Aktualności, Orzecznictwo, Studia przypadków, Opracowania
▌
Organizacja ochrony danych po nowelizacji
▌
Nowe zadania i pozycja ABI w organizacji
▌
Ułatwienia w transferze danych do państw trzecich
„Oficyna Prawa Polskiego” Wydawnictwo WiP ul. Łotewska 9A, 03-918 Warszawa NIP: 526-19-92-256 KRS: 0000098264 – Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy XIII Wydział Gospodarczy Rejestrowy Wysokość kapitału zakładowego: 200.000 zł „Ochrona danych osobowych” Patronat merytoryczny: Traple, Konarski, Podrecki i Wspólnicy Sp. jawna Redaktor: Wioleta Szczygielska Kierownik grupy wydawniczej: Ewa Ziętek-Maciejczyk Wydawca: Monika Kijok Koordynacja produkcji: Mariusz Jezierski, Magdalena Huta Korekta: Zespół Projekt graficzny okładki: Michał Marczewski Skład i łamanie: Ireneusz Gawliński Drukarnia: MDdruk Nakład: 500 egz. „Ochrona danych osobowych” wraz z przysługującym Czytelnikom innymi elementami dostępnymi w prenumeracie (e-letter, strona WWW i inne) chronione są prawem autorskim. Przedruk materiałów opublikowanych w „Ochronie danych osobowych” oraz w innych dostępnych elementach prenumeraty – bez zgody wydawcy – jest zabroniony. Zakaz nie dotyczy cytowania publikacji z powołaniem się na źródło. Publikacja „Ochrona danych osobowych” została przygotowana z zachowaniem najwyższej staranności i wykorzystaniem wysokich kwalifikacji, wiedzy i doświadczenia autorów oraz konsultantów. Zaproponowane w publikacji „Ochrona danych osobowych” oraz w innych dostępnych elementach subskrypcji wskazówki, porady i interpretacje nie mają charakteru porady prawnej. Ich zastosowanie w konkretnym przypadku może wymagać dodatkowych, pogłębionych konsultacji. Publikowane rozwiązania nie mogą być traktowane jako oficjalne stanowisko organów i urzędów państwowych. W związku z powyższym redakcja nie może ponosić odpowiedzialności prawnej za zastosowanie zawartych w publikacji „Ochrona danych osobowych” lub w innych dostępnych elementach prenumeraty wskazówek, przykładów, informacji itp. do konkretnych przypadków. Informacje o prenumeracie: tel.: 22 518 29 29 faks: 22 617 60 10 e-mail:
[email protected]
SPIS TREŚCI
Spis treści
Nowelizacja ustawy o ochronie danych osobowych Organizacja ochrony danych osobowych po nowelizacji . . . . . . . . . . . . . . . . . . . . . . . . 3 Xawery Konarski
Rejestracja ABI w GIODO - pytania o „trzecią drogę” . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Damian Karwala
Rejestracja zbiorów danych osobowych po nowelizacji . . . . . . . . . . . . . . . . . . . . . . . . 11 dr Jan Byrski
Administrator danych może realizować zadania ABI . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Michał Bienias
Rola ABI w okresie przejściowym (do 30 czerwca 2015 r.) . . . . . . . . . . . . . . . . . . . . . 19 Michał Bienias
Przyczyna odwołania ABI a sytuacja prawna ADO . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Paweł Tobiczyk
Odpowiednia wiedza z ochrony danych – nowy wymóg . . . . . . . . . . . . . . . . . . . . . . . . 23 Paweł Tobiczyk
Odpowiedzialność ABI po nowelizacji ustawy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Michał Bienias
Nowe zasady przekazywania danych do państw trzecich . . . . . . . . . . . . . . . . . . . . . . . 29 Damian Karwala
OCHRONA DANYCH OSOBOWYCH 14 1 ST YCZEŃ 2015
LIST OD REDAKTORA
Drodzy Czytelnicy! Jesteśmy w przededniu poważnych zmian w ochronie danych osobowych. Od nowego roku wchodzi w życie nowelizacja ustawy o ochronie danych osobowych. Jest to największa od 2004 roku zmiana tego aktu. Obejmuje ona zmiany dotyczące trzech obszarów. Pierwszym jest organizacja ochrony danych osobowych, w tym sposób funkcjonowania Administratorów Bezpieczeństwa Informacji. Druga kwestia, która ulegnie zmianie, związana jest z obowiązkiem zgłoszenia zbiorów danych osobowych do rejestracji w GIODO. Trzeci zakres zmian dotyczy zaś zasad transferu danych osobowych do państw trzecich. W związku z tym, że zmiany budzą wiele wątpliwości i pytań, cały numer został poświęcony tej kwestii. Wybitni eksperci z Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy wyjaśniają najbardziej zawiłe kwestie związane z nowelizacją. Jakie możliwości w zakresie organizacji ochrony danych daje ustawa? Jak należy postępować w okresie przejściowym (1 stycznia – 30 czerwca 2015 r.)? Jak należy rozumieć wymóg odpowiedniej wiedzy ABI? Na te i wiele innych pytań znajdą Państwo odpowiedzi w aktualnym numerze. Szczególnie polecam artykuł przygotowany przez radcę prawnego Damiana Karwalę „Nowe zasady przekazywania danych do państw trzecich”. Autor wyjaśnia w nim, na jakich zasadach będzie odbywał się transfer danych osobowych za granicę po 1 stycznia 2015 r.
Wioleta Szczygielska redaktor prowadząca
Życzę owocnej lektury!
PATRONAT MERYTORYCZNY
EKSPERCI Damian Karwala, radca prawny, współpracownik Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska
XAWERY KONARSKI adwokat, starszy wspólnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Informatyki i Telekomunikacji, Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska
Paweł Tobiczyk, aplikant adwokacki, doktorant w Katedrze Prawa Własności Intelektualnej Uniwersytetu Jagiellońskiego, pracownik departamentu Technologie Media Telekomunikacja w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy Michał Bienias, aplikant radcowski przy Okręgowej Izbie Radców Prawnych w Warszawie, prawnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy dr Jan Byrski adwokat, wspólnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, adiunkt w Katedrze Prawa Cywilnego i Gospodarczego Uniwersytetu Ekonomicznego w Krakowie.
OCHRONA DANYCH OSOBOWYCH 14 2 ST YCZEŃ 2015
NOWELIZACJA USTAWY
Organizacja ochrony danych osobowych po nowelizacji Nowelizacja ustawy o ochronie danych osobowych ustanawia nowe zasady organizacji ochrony danych osobowych. Zgodnie z nimi administrator danych może wybrać, czy zadania te chce wykonywać samodzielnie, czy też przy pomocy Administratora Bezpieczeństwa Informacji. W tym drugim przypadku w ustawie wprowadzono dodatkowe, korzystne rozwiązania dla administratorów danych.
Nowe zasady organizacji ochrony danych Z konstrukcyjnego punktu widzenia organizacja ochrony danych osobowych przez administratorów danych może być realizowana w dwóch, równoważnych modelach: a) samodzielnie przez administratora danych (ADO) albo b) z udziałem Administratora Bezpieczeństwa Informacji (ABI), powołanego przez administratora danych. Należy podkreślić, że wybór jednego z powyższych modeli nie ma znaczenia z punktu widzenia zakresu ochrony danych osobowych, do której zobowiązany jest ADO. W obu modelach administratorzy danych są zobowiązani do podjęcia działań tego samego rodzaju, np. w zakresie doboru środków technicznych i organizacyjnych zabezpieczenia danych. Z drugiej strony w dyrektywie nr 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych1 uprzywilejowano model z udziałem ABI-ego. W art. 18 ust. 2 dyrektywy określony jest on jako „urzędnik do spraw ochrony danych osobowych„ (data protection official). W myśl regulacji unijnej, administratorzy danych, którzy w ramach swoich struktur stworzą tego rodzaju funkcję, mogą liczyć na zwolnienie z obowiązku zgłaszania przetwarzania danych do rejestracji w organie ds. ochrony danych osobowych. Jest to wyraz – preferowanej na poziomie unijnym – idei zapewnienia nie tylko kontro1
Dz.U. UE nr L 281 z 23.11.1995 r.
XAWERY KONARSKI adwokat, starszy wspólnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Informatyki i Telekomunikacji, Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska
li instytucjonalnej w zakresie ochrony danych, sprawowanej przez powołany do tego organ (w Polsce – Generalnego Inspektora Ochrony Danych Osobowych, GIODO), ale także kontroli funkcjonalnej, realizowanej w ramach struktury wewnętrznej administratora danych2. Przyjmuje się, że kontrola tego rodzaju jest efektywniej organizowana w sytuacji powołania specjalnej struktury u administratora danych.
Funkcjonowanie ABI przed nowelizacją W dotychczasowym stanie prawnym funkcjonowanie ABI było regulowane jednym przepisem, tj. art. 36 ust. 3 ustawy o ochronie danych osobowych3. Zgodnie z nim „administrator wyznacza Administratora Bezpieczeństwa Informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności”. Z treści tego przepisu Generalny Inspektor wywodził obowiązek wyznaczania ABI przez tych administratorów danych, którzy działają jako osoby prawne (np. spółki). Stanowisko to zostało potwierdzone w orzecznictwie sądów administracyjnych4. Obowiązku takiego nie mieli natomiast ci administratorzy danych, którzy byli osobami fizycznymi (np. przedsiębiorcy prowadzący jednoosobową działalność gospodarczą). 2 Paweł Fajgielski, Administrator bezpieczeństwa informacji – geneza, stan obecny i perspektywy zmian – „Dodatek Monitora Prawniczego nr 9/2004). 3 Ustawa z 29 sierpnia o ochronie danych osobowych (tekst jednolity: Dz.U. z 2014 r., poz. 1182). 4 Wyrok Naczelnego Sądu Administracyjnego z dnia 21 lutego 2014 r. (I OSK 2445/12). Szersze omówienie tego orzeczenia w niniejszym numerze – M. Bienias „Administrator danych może realizować zadania ABI”.
OCHRONA DANYCH OSOBOWYCH 14 3 ST YCZEŃ 2015
