Co z tym ABI?

Z dniem 1 stycznia 2015 r. zaczęła obowiązywać znowelizowana ustawa o ochronie danych osobowych. Fakt ten spowodował widoczne zwiększenie zainteresowania problematyką ochrony danych osobowych wśród administratorów danych.
Okazuje się, że pomimo kilkunastu lat obowiązywania ustawy w polskim porządku prawnym, tematyka ochrony danych osobowych niejednokrotnie pozostaje zagadką wśród podmiotów zobowiązanych do jej przestrzegania. Na taki stan rzeczy wskazuje nie tylko ton wypowiedzi przedstawicieli GIODO podczas konferencji organizowanej przez ten organ z okazji dnia ochrony danych osobowych, ale również wspomniane zamieszanie na rynku dotyczące charakteru nowo wprowadzonych zmian.

W naszej codziennej pracy zauważamy, że organizacje, w których przepisy ustawy są znane i stosowane, potrafią trafnie ocenić rolę zmian wprowadzonych mocą nowelizacji. Dla tych natomiast administratorów danych, którzy z omawianym zagadnieniem spotykają się po raz pierwszy, nowelizacja i jej rzeczywisty wpływ na funkcjonowanie zawiadywanych przez nich podmiotów, stanowią wielki znak zapytania.

Z uwagi na to, że wspomniane zmiany odnoszą się w znakomitej większości do statusu ABI, to najczęściej stawiane pytania dotyczą właśnie jego nowej pozycji w organizacji. Na mocy „nowych” przepisów administrator danych ma możliwość (na gruncie dotychczas obowiązujących przepisów, a szczególnie orzeczeń sądów, przyjęło się mówić, że ma obowiązek, z czym my się nie zgadzaliśmy, a co obecnie zostało ostatecznie wyjaśnione jako przywilej posiadania ABI, a nie obowiązek) powołania ABI i zgłoszenia go do publicznego rejestru prowadzonego przez GIODO. Rejestr ów zawiera dane identyfikujące ABI, jak i samego administratora danych. Docierające do nas wątpliwości administratorów danych, którzy nie uporządkowali dotąd spraw związanych z ochroną danych w swoich podmiotach, odnoszące się do zasadności zgłaszania ABI do rejestru. Wątpliwości te uzasadniane są ich przekonaniem o nieuchronności kontroli GIODO w podmiocie, który sam – kolokwialnie rzecz ujmując – „podaje się organowi na tacy”. Warto w tym miejscu przytoczyć stanowisko samego Generalnego Inspektora, który wskazał, że

„Będzie więcej kontroli u tych, którzy powołają administratora bezpieczeństwa informacji i będzie więcej kontroli u tych, którzy nie powołają administratora bezpieczeństwa informacji, dlatego że de facto w tej chwili takie jest wymaganie. (…) Natomiast przy powołaniu administratora bezpieczeństwa informacji większość z kontroli będzie kontrolami wewnętrznymi, przeprowadzanymi przez samego przedsiębiorcę, a przy niepowołaniu administratora bezpieczeństwa informacji będą to kontrole zewnętrzne, prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych”[1]

Zwiększenie aktywności GIODO jeśli chodzi o ilość mających odbyć się kontroli administratorów danych wiązać się zatem będzie nie z okolicznością powołania, bądź też nie powołania ABI, ale z większym zapotrzebowaniem społecznym na tego typu działania. Podczas wspomnianej konferencji dyrektorzy Biura GIODO wskazywali również na to, iż obecnie działania organu, w większej niż dotychczas mierze, koncentrować się będą wokół działań inspekcyjnych. Podnoszono, że GIODO jest organem – jak sama nazwa wskazuje – o charakterze kontrolnym i że nacisk kładziony dotychczas na kampanię edukacyjną położony zostanie zdecydowanie na działania kontrolne.

Po stronie administratorów danych leży zatem obecnie uprawnienie (i tylko uprawnienie) do podjęcia decyzji w przedmiocie zasadności powołania i zgłoszenia do rejestru GIODO ABI. Aby racjonalnie podjąć tę decyzję warto uzbroić się w niezbędną wiedzę na temat nowej pozycji ABI. Zaakcentować trzeba, że na mocy znowelizowanych przepisów tytuł „Administratora Bezpieczeństwa Informacji” zastrzeżony jest jedynie dla ABI zgłoszonych do rejestracji GIODO (z uwzględnieniem okresu przejściowego od dnia 1 stycznia do dnia 30 czerwca 2015 r.). Osoba zajmująca się zatem „w okresie przejściowym” ochroną danych osobowych, która nie zostanie zgłoszona do rejestru GIODO, nie powinna być tytułowana jako ABI ale np. jako specjalista ds. ochrony danych osobowych. Nie każdy może jednak pełnić tę odpowiedzialną funkcję. Obecnie ABI może zostać jedynie taka osoba, która ma pełną zdolność do czynności prawnych, korzysta z pełni praw publicznych, nie była karana za umyślne przestępstwo oraz posiada odpowiednią wiedzę w zakresie ochrony danych osobowych. Ww. wymogi kwalifikacyjne obejmują również zastępców ABI. Posiadanie odpowiedniego poziomu wiedzy jest najciekawszym i najmniej precyzyjnym kryterium, którego spełnianie ma być oceniane przez samego administratora danych. Nie sposób przecenić roli tego wymogu z uwagi na to, że zgłoszony do rejestru GIODO ABI ma za zadanie zapewnić przestrzeganie w organizacji przepisów o ochronie danych osobowych. Szczegółowe rozwiązania dotyczące pełnienia funkcji ABI uregulowane zostaną dodatkowo w projektowanym Rozporządzeniu Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań przez administratora bezpieczeństwa informacji, na które z niecierpliwością czekają administratorzy danych, a które może się okazać kluczowe dla podjęcia decyzji co do powołania lub nie ABI.

Nowym szczególnym obowiązkiem stało się realizowanie na rzecz administratora danych „sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych”. Sprawdzanie to może mieć charakter planowy lub doraźny. Jedynym kryterium, pod kątem którego ABI powinien przeprowadzać sprawdzanie jest kryterium legalności. Żadne inne kryteria, niezwiązane z zapewnieniem zgodnego z prawem przetwarzania danych osobowych, nie powinny być brane pod uwagę (np. kryterium gospodarności czy maksymalizowania zysków). O przeprowadzenie „sprawdzenia” może się także zwrócić do ABI zarejestrowanego w GIODO także sam GIODO, wskazując zakres i termin sprawdzenia. Po jego dokonaniu, ABI – za pośrednictwem administratora danych – przedstawia GIODO sprawozdanie. Przeprowadzenie przez ABI „sprawdzenia” tego typu nie wyłącza uprawnienia GIODO do zarządzenia kontroli, o której mowa w art. 12 pkt 1 ustawy. W wypadku sprawdzenia na zlecenie GIODO, sprawozdanie przygotowuje i podpisuje wyłącznie ABI. Odpowiedź ABI ma charakter urzędowy, więc w tym zakresie należy mieć na uwadze tryb administracyjny pomiędzy GIODO a ABI.

Wspomnieć należy także o tym, że w okresie przejściowym ABI, powołany przed dniem 1 stycznia 2015 r. i nie zgłoszony do rejestru GIODO, pełnić będzie swoją funkcję wypełniając zadania określone w znowelizowanej ustawie. Do czasu zgłoszenia go, administrator danych nie będzie mógł jednak korzystać z przywileju niezgłaszania do rejestracji GIODO zbiorów, w których przetwarzane są dane „zwykłe”. Wspomniane zwolnienie z konieczności zgłaszania zbiorów do rejestracji GIODO jest kolejnym novum wprowadzonym przez ustawę. W sytuacji zaś powołania i zgłoszenia „nowego” ABI, obowiązek zgłaszania i aktualizacji zbiorów danych osobowych nie dotyczy tych administratorów danych, którzy zgłosili ABI. Tylko zatem powołanie, i co najważniejsze, zgłoszenie do rejestru GIODO ABI zapewni zwolnienie z obowiązku rejestracji zbiorów danych osobowych, o którym mowa w art. 43 ust. 1a znowelizowanej ustawy.

Kolejną zmianą jest obowiązek prowadzenia przez ABI jawnego rejestru zbiorów danych przetwarzanych u administratora (na stronie internetowej, bądź w formie papierowej z możliwością zapewnienia wglądu w jego treść wszystkim osobom zainteresowanym). Obowiązek prowadzenia rejestru zbiorów danych osobowych obciąża ABI zgłoszonego do GIODO, jak również w okresie przejściowym ABI, który nie został zgłoszony.

Administratorzy danych wybierając ABI powinni powierzyć tę funkcję osobie, która zapewnia rzeczywiste realizowanie ustawowo przewidzianych obowiązków. ABI powinien zatem łączyć umiejętność szybkiego reagowania na incydenty, sprawnego i skutecznego planowania i przeprowadzania działań w ramach audytu planowego, ale także winien się wykazywać znajomością funkcjonowania wszystkich struktur w organizacji. Wydaje się, że łączenie przez ABI wiedzy prawniczej z wiedzą z zakresu funkcjonowania systemów informatycznych byłoby najlepszym rozwiązaniem. Nie zawsze jednak w ramach organizacji znajdować się będzie osoba spełniająca te warunki. Może warto w takiej sytuacji rozważyć koncepcję powołania na tę funkcję osoby spoza organizacji, która łączyć będzie oba te  elementy.

Na koniec warto sobie postawić najważniejsze pytanie: jakie przyjąć rozwiązanie, kogo powołać na funkcję i przede wszystkim czy w ogóle powołać, a jeśli tak, to czy taką osobę zgłosić GIODO?

Tych kilka miesięcy obowiązywania ustawy przyniosło pierwsze spostrzeżenia, którymi chcemy się podzielić. Po pierwsze rynek zareagował z jednej strony niesamowitym wysypem „specjalistów” w zakresie ochrony danych osobowych, którzy potraktowali nowelizację jako okazję do zwiększenia zysków, zdobycia nowych doświadczeń lub wręcz zmiany specjalizacji. Okazją ku temu jest powszechnie panująca dezinformacja w zakresie nowych obowiązków ADO, jak i ABI. Odrzucając skrajne informacje (np. że jeśli ADO nie wyznaczy ABI to grozi mu nałożenie kary przez GIODO w wysokości 200 000 zł.) trzeba jasno powiedzieć, że rynek jest zdezorientowany i mocno wyczekujący. Jest to zrozumiałe, ponieważ tylko nieliczni wiedzą z czym wiąże się profesjonalne i rzetelne pełnienie tej funkcji. To oprócz wyżej wskazanych obowiązków, także poczucie ogromnej odpowiedzialności jako ABI i wymóg łączenia wiedzy przede wszystkim prawnej ze wsparciem IT (nigdy odwrotnie). Dodatkowo nie mamy nadal aktów wykonawczych do ustawy, co powoduje że ABI nie mogą do końca doprecyzować swoich obowiązków.

Naszym zdaniem należy zastanowić się, czy każdy potrzebuje ABI, który jest profesjonalnym pełnomocnikiem w zakresie ochrony danych osobowych i tak powinien być postrzegany. Po wtóre trzeba rozważyć czy lepszym rozwiązaniem jest ABI wewnętrzny czy zewnętrzny. To drugie rozwiązanie jest korzystniejsze, bo profesjonalny zewnętrzny ABI (jeśli pochodzi do sprawy profesjonalnie) to osoba mająca wsparcie wielu osób w zespole, a więc gwarantuje szybszą i lepszą obsługę, ale nie można tego rozwiązania automatycznie kopiować. Z naszych doświadczeń wynika, że zewnętrzy ABI jest zbędny w małych podmiotach, którym wystarczy doraźne wsparcie i nie jest wymagane bieżące prowadzenie spraw z tego zakresu, ponieważ tychże jest bardzo mało. Dla odmiany zakres zadań w ogromnych korporacjach ze skomplikowanymi powiązaniami i wyzwaniami jakie przed nimi stoją, także skłania do tego, by zastanowić się czy zewnętrzny ABI jest tu dobrym rozwiązaniem. Czasem w takim wypadku najlepiej sprawdza się wewnętrzny ABI, który jest na miejscu, a więc reaguje natychmiast i zna organizację od środka. W tym ostatnim przypadku wsparcie takiego zewnętrznego wyspecjalizowanego, doświadczonego i co najważniejsze obiektywnego podmiotu może być najlepszym rozwiązaniem. Oczywiście nie wyklucza to powołania zewnętrznego ABI, ale osoba taka musi mieć możliwość działania, a więc kontrakt musi wskazywać na dużą aktywność ABI, a nie tak jak zdarza się obecnie, że ADO określa zakres zadań ABI jako nie więcej niż np. 1 do 2h w miesiącu w przypadku wyższych uczelni. Taki zakres kontraktu nie gwarantuje w żadnym wypadku możliwości wypełnienia zadań ABI.

Reasumując, każdy z administratorów danych musi sam podjąć decyzję, obserwując rynek, weryfikując umiejętności ABI, ich doświadczenie i wiedzę i na tej podstawie powinien dokonać wyboru. Naszym zdaniem, powołanie i zgłoszenie ABI będzie wyróżniać administratora danych na rynku i taka będzie tendencja, chociaż należy bardzo ostrożnie dokonywać wyboru. Jednak większych ryzyk z tego tytułu, czy wręcz niebezpieczeństw nie widzimy. Profesjonalny ABI to nie tylko „strażnik” procesów przetwarzania danych osobowych, ale także dobry doradca w zakresie tworzenia baz danych, marketingu czy kontraktów i takich podmiotów trzeba szukać.

Autor: Marta Bargiel-Kaflik


Źródła:

[1] Fragment wypowiedzi GIODO – pełny zapis przebiegu posiedzenia komisji 
About Redakcja 298 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.