Z ABI na inspektora z aneksem do umowy

14-03-2017, 22:00

Po reformie obecni specjaliści od ochrony danych w firmach od razu mogą przejąć nowe zadania — uważa GIODO. Ekspert z resortu cyfryzacji ma co do tego wątpliwości

Administratorzy bezpieczeństwa informacji (ABI) działający w różnych firmach, zarejestrowani w ogólnokrajowym, jawnym rejestrze do 25 maja 2018 r. powinni tego dnia z mocy prawa stać się inspektorami ochrony danych (IOD). Tak uważa generalny inspektor ochrony danych osobowych (GIODO) i proponuje wprowadzenie odpowiedniego przepisu przejściowego do regulacji dostosowujących polskie prawo do unijnej reformy. Reforma ochrony danych, sformułowana w ogólnym rozporządzeniu unijnym, wprowadza jednakowe jej zasady dla krajów członkowskich Wspólnoty i ma być stosowana od wspomnianej daty. Obecnie trwają przygotowania do jej wdrożenia w poszczególnych państwach, co wymaga m.in. przygotowania zmian prawnych.

ŚWIADOMOŚĆ ROŚNIE:
Zobacz więcej

ŚWIADOMOŚĆ ROŚNIE:

— Obecność w firmie administratora bezpieczeństwa informacji, a niedługo inspektora ochrony danych, to fundament właściwego prowadzenia systemu ochrony danych osobowych w przedsiębiorstwie — mówi dr Edyta Bielak-Jomaa, generalny inspektor. Marek Wiśniewski

Kompetentni, doświadczeni

W konsekwencji obecną ustawę o ochronie danych osobowych zastąpi nowa. To w niej GIODO widzi potrzebę wprowadzenia przepisu przejściowego upraszczającego procedury powoływania w przedsiębiorstwach inspektorów, których zadaniem będzie doradztwo i weryfikacja działań administratorów danych osobowych i podmiotów przetwarzających takie informacje, a także ich pracowników. Według generalnego inspektora, obecny status i kompetencje ABI, obowiązujące od 1 stycznia 2015 r., miały na celu przygotowanie tej grupy osób do wymogów rozporządzenia unijnego.

— W moim przekonaniu działający już administratorzy bezpieczeństwa informacji są przygotowani do podjęcia działań jako inspektorzy ochrony danych. Oni już obecnie mają odpowiednią do tego wiedzę, kompetencje i doświadczenie.

ABI to ktoś, kto musi znać nie tylko przepisy o ochronie danych osobowych, ale też sektorowe, czyli branży, w której firma działa. Konieczna jest więc znajomość wielu przepisów, zabezpieczeń stosowanych przez dany podmiot i potrzeby wdrożenia polityki bezpieczeństwa, która sprawdza się i jest odpowiednia dla określonego administratora i danych przez niego przetwarzanych. ABI, a niedługo IOD, jest osobą-fundamentem właściwego prowadzenia systemu ochrony danych osobowych w przedsiębiorstwie — wyjaśnia dr Edyta Bielak-Jomaa, generalny inspektor.

Jak ocenia, dotychczasowe kontakty biura GIODO z administratorami informacji bezpieczeństwa wskazują na wzrost świadomości i wiedzy na temat obowiązków związanych z przetwarzaniem danych osobowych i ich ochroną w miejscach, gdzie ci ostatni działają. Tamtejsi administratorzy danych wiedzą, że ABI jest pierwszą osobą, z którą powinni konsultować te sprawy.

— Można powiedzieć, że pełni on rolę pierwszego nadzoru i pierwszej weryfikacji działań. To ma kolosalne znaczenie dla świadomości ochrony danych osobowych — podkreśla GIODO.

Przyszły inspektor ochrony danych ma zajmować wysoką pozycję w strukturze organizacyjnej danej firmy. Będzie podlegać jej najwyższemu kierownictwu. IOD ma być wyznaczany przez administratora danych osobowych oraz podmiot je przetwarzający. Szczegółowych procedur unijne rozporządzenie jednak nie określa.

Dr Maciej Kawecki, doradca w gabinecie politycznym Ministerstwa Cyfryzacji (MC), podkreśla, że niektóre zagadnienia związane z powoływaniem inspektorów powinny być uregulowane w ustawach szczegółowych.

Na przykład wymóg powiadomienia organu nadzorczego o danych kontaktowych IOD. W jego ocenie w unijnych przepisach zabrakło wyjaśnień, o jakie dane chodzi, a także co do terminu ich notyfikacji oraz stwierdzenia, czy i które z nich podlegają aktualizacji. MC opowiada się za 30-dniowym okresem na przekazanie takich informacji, którymi mogą być np. adresy e-mail, jak podpowiadają autorzy unijnego rozporządzenia.

Ingerencja w stosunki pracy

Dr Maciej Kawecki ma też wątpliwości co do propozycji GIODO, aby obecni ABI z mocy ustawy mogli przejąć obowiązki IOD. Uważa, że to może oznaczać ingerencję w stosunki pracy tam, gdzie obowiązki administratora bezpieczeństwa informacji są wykonywane na podstawie umów o pracę.

GIODO przyznaje, że tę sprawę trzeba przedyskutować. Jednocześnie informuje, że ABI działają na podstawie różnych umów, w tym o pracę.

— To prawda, że przy przejmowaniu zadań inspektorów mogą nałożyć się na siebie różne stosunki prawne — obecny stosunek pracy z administracyjnym przez np. powołanie, obecna umowa cywilnoprawna z powołaniem czy wyznaczeniem i podobnie obecna umowa o świadczenie usług z administracyjnym wyznaczeniem IOD. Myślę, że znajdą się rozwiązania w przypadku uznania, że nie można zachować takiej ciągłości. Może to być np. wprowadzenie okresu przejściowego dla obecnych administratorów bezpieczeństwa informacji, którzy będą lub mogliby być inspektorami ochrony danych — ocenia dr Edyta Bielak-Jomaa.

Z pewnością obecni ABI, którym zostaną złożone propozycje podjęcia zadań IOD, a także ich pracodawcy czy też zleceniodawcy, muszą przygotować się na zmiany w łączących ich umowach. Niezależnie od tego, jak w przyszłej nowej ustawie o ochronie danych osobowych zostanie uregulowana możliwość wprowadzenia prostych formalności przekazania im nowych obowiązków.

Maciej Andrzejewski, prawnik z zespołu prawa pracy kancelarii CMS, mówi, że wobec osób pracujących obecnie na podstawie umów o pracę i mających na takiej samej podstawie zajmować się zadaniami IOD trzeba będzie kierować się zasadami płynącymi z Kodeksu pracy. Taka umowa musi określać przede wszystkim rodzaj wykonywanej pracy czy stanowisko zajmowane przez pracownika. Obowiązki nie muszą być w niej wymienione — to można zrobić na różne sposoby, co w zasadzie leży w gestii stron.

Porozumienia, wypowiedzenia

— Załóżmy, że ABI ma w umowie o pracę wpisaną pełnioną funkcję oraz wszystkie kompetencje, uprawnienia i obowiązki wynikające z ustawy o ochronie danych osobowych. Wyznaczenie mu roli IOD oznacza powierzenie i nowego stanowiska, i innego zakresu obowiązków, czyli inną treść stosunku pracy. Konieczna w takiej sytuacji zmiana umowy może być przeprowadzona na dwa sposoby. Jeden to zawarcie porozumienia zmieniającego. To najprostsze i najszybsze rozwiązanie, oczywiście wymagające zgody pracownika.

Drugie to jednostronne wypowiedzenie zmieniające warunki pracy, w którym pracodawca musi podać jego przyczyny — w tym przypadku powołać się na zmianę przepisów, powodującą, że ABI już nie funkcjonuje w polskim prawie i inna jest rola osoby odpowiedzialnej za ochronę danych osobowych w firmie — wyjaśnia prawnik z CMS. Taki sam tryb postępowania dotyczy umów, w których zakres obowiązków nie jest wymieniony wprost, lecz przez odwołanie do przepisów ustawowych.

— IOD będzie powołany na innej podstawie niż ABI, czyli obowiązująca treść umowy o pracę przestanie być zgodna z rzeczywistością — podkreśla Maciej Andrzejewski. Jego zdaniem, można też rozważać istnienie umowy, w której pracodawca stwierdza ogólnie, że wszelkie obowiązki osoby odpowiedzialnej za ochronę danych osobowych w firmie wynikają z odpowiednich, obecnie obowiązujących aktów prawa, nie odnosząc się przy tym do konkretnych ustaw.

— Pracodawca mógłby twierdzić, że skoro zmieniła się ustawa, a przepisy o ABI zostały zastąpione obowiązkami określonymi dla inspektorów, to tak naprawdę nie zmienia się treść stosunku pracy. Myślę, że takiej praktyki w formułowaniu umów o pracę raczej nie spotkamy — zauważa prawnik. Według niego obie strony będą musiały umowy zmieniać albo aneksując je porozumieniami, albo wspomnianymi wypowiedzeniami. W drugim przypadku, jeśli pracownik nie zgodzi się na nowe warunki, stosunek pracy zostanie definitywnie rozwiązany.

Maciej Andrzejewski przypomina, że zgodnie z Kodeksem pracy ABI będzie mógł odmówić przyjęcia nowych warunków zatrudnienia. Ma na to połowę przysługującego mu okresu wypowiedzenia, czyli np. półtora miesiąca, gdy nabył uprawnienia do wypowiedzenia trzymiesięcznego. Możliwe są inne terminy, wynikające z wewnętrznych przepisów przyjętych u danego pracodawcy, nie mogą być one jednak gorsze od powszechnie obowiązujących. Zmiana umów cywilnoprawnych i o świadczenie usług będzie łatwiejsza. Ani aneks, ani ich rozwiązanie przez jednostronne wypowiedzenie nie wymagają podawania przyczyn.

Kto wyznaczy inspektora

Jak wyjaśnia GIODO w specjalnym informatorze, unijne ogólne rozporządzenie o ochronie danych przewiduje, że inspektora musi wyznaczyć m.in. administrator i podmiot przetwarzający, jeżeli główna działalność wymaga regularnego i systematycznego monitorowania na dużą skalę osób, których dane dotyczą. W innych przypadkach będzie to fakultatywne, aczkolwiek Grupa Robocza art. 29 pracująca nad reformą rekomenduje powołanie takiego specjalisty nawet podmiotom do tego niezobowiązanym.

Jeden inspektor dla kilku firm

W przypadku podmiotów prywatnych jednego inspektora może powołać grupa firm, pod warunkiem że łatwo z nim nawiązać kontakt każdej z nich. Ma to znaczenie m.in. dlatego, że specjalista ten ma informować administratora, podmiot przetwarzający i pracowników, którzy tym się zajmują, o ich obowiązkach. Wg wyjaśnień GIODO, inspektor będzie też pełnić funkcję punktu kontaktowego dla organu nadzorczego i osób, których dane są przetwarzane. Muszą oni mieć możliwość bezpośredniego kontaktu z nim (wystarczy np. rozmowa telefoniczna czy e-mail).

Zadania IOD

Unijne rozporządzenie formułuje ogólnie zadania inspektora ochrony danych. Przypisano mu rolę doradczą i weryfikacyjną wobec działań administratora danych i podmiotu przetwarzającego (oraz ich pracowników), których akt ten zobowiązuje do doboru i wdrażania rozwiązań technicznych oraz organizacyjnych odpowiednich do charakteru, zakresu, kontekstu, celu gromadzenia i przetwarzania danych oraz ryzyka naruszenia praw lub wolności — i aby te działania odbywały się zgodnie z przepisami. Rozporządzenie nie narzuca żadnych konkretnych metod ochrony, przedsiębiorca może stosować indywidualne techniki. IOD ma natomiast m.in. informować go o obowiązkach, monitorować przestrzeganie prawa, współpracować z organem nadzorczym i prowadzić rejestr czynności związanych z przetwarzaniem danych.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Najważniejsze dzisiaj

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Prawo / Z ABI na inspektora z aneksem do umowy