ABI – nadzoruje czy wykonuje?

ABI – nadzoruje czy wykonuje?

GIODO właśnie rozstrzygnął kwestię nadawania upoważnień do przetwarzania danych. W praktyce od lat istniały wątpliwości, czy można to zadanie powierzyć ABI, który wykazuje się fachową wiedzą z zakresu ochrony danych osobowych. Organ nadzorczy jednoznacznie wskazał, że jest to zadaniem ADO, który może jednocześnie upoważniać inne osoby do nadawania upoważnień do przetwarzania danych osobowych w jego imieniu.

Przepisy nie dla wszystkich takie jasne

GIODO (Generalny Inspektor Ochrony Danych Osobowych) po otrzymaniu licznych zapytań dotyczących procedury nadawania upoważnień do przetwarzania danych konkretnym osobom, wyjaśnia wątpliwości. Okazuje się, że wielu administratorów było przekonanych o tym, że cedowanie na swoich ABI (Administrator Bezpieczeństwa Informacji) tego rodzaju obowiązków jest jak najbardziej uzasadnione.

Nie taka jest rola ABI!

Praktyka pokazuje, że wielu administratorów ceduje obowiązek wydawania upoważnień do przetwarzania danych osobowych pracownikom na administratora bezpieczeństwa informacji. Wychodzili oni z założenia, że skoro podmiot z którym współpracują (ABI) jest niejako ekspertem w swojej dziedzinie, to korzystniejszym i szybszym rozwiązaniem będzie gdy zrobi to ABI w sposób taki, jaki w jego opinii jest właściwy. Ostatnio GIODO na swojej oficjalnej stronie wskazał, że jest to praktyka naganna. Warto o tym pamiętać zwłaszcza w świetle nadchodzącej reformy, kiedy to za tego rodzaju uchybienia administratorowi grozić będą wysokie kary administracyjne. Obowiązuje tu tylko jedna modyfikacja – naruszenie przepisów odnoszących się do Inspektora może grozić odpowiedzialnością administratora do 2 milionów euro, bądź 2% całkowitego rocznego światowego obrotu w zależności od tego, która z kwot byłaby wyższa.

Jeszcze do niedawna poszczególni ABI sami twierdzili, że nadawanie upoważnień pracownikom administratora (ADO; Administrator Danych Osobowych) bezpośrednio przez nich nie jest niczym złym. Było to jednak sprzeczne  z brzmieniem art. 37 i 39 obowiązującej jeszcze UODO (ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 roku), które nadawanie oraz prowadzenie stosownej ewidencji upoważnień wymieniały jako jeden z obowiązków ADO. Podobnego zakresu zadań, nawet wykonywanych fakultatywnie nie ma już przypisanych do ABI.

Po co nam zatem ABI oraz nowy Inspektor?

ABI nadzoruje przetwarzanie danych przez administratora i weryfikuje podejmowane przez niego zadania z obowiązującymi wymogami prawnymi w zakresie ochrony danych osobowych, tak aby wszelkie procesy prowadzone były zgodnie z literą prawa i zapewniały odpowiednie standardy bezpieczeństwa. Od 25 maja tego roku ABI znikną z naszego systemu prawnego. Na ich miejsce wejdą Inspektorzy ochrony danych. GDPR przewiduje okres przejściowy, kiedy to osoby piastujące obecnie stanowisko ABI, a od maja Inspektora ochrony danych, zadecydują czy chcą dalej pełnić jego funkcje.

Pełnienie funkcji Inspektora ochrony danych wiązać się będzie ze zwiększoną odpowiedzialnością.

Inspektor pełnić będzie funkcje doradcze i informacyjne wewnątrz organizacji, odpowiedzialny będzie za właściwe wyszkolenie personelu administratora oraz  monitorowanie i  prowadzenie audytów  pod kątem stosowania przepisów wewnętrznych i powszechnie obowiązujących. Osoba pełniąca funkcję Inspektora będzie wydawała zalecenia, których wdrażanie następnie będzie przez nią monitorowane. Do zadań Inspektora należała będzie także współpraca i kontakt z organem nadzorczym, czyli następcą dzisiejszego GIODO.

Co prawda GDPR przewiduje, że Inspektor będzie mógł wykonywać zadania wprost w nim niewymienione jednak nie powinny one wypaczać jego roli i marginalizować znaczenia ADO.

Jak zatem upoważnić do upoważniania…

Wydawanie upoważnień przez jedną osobę fizyczną może być kłopotliwe nawet w małych firmach. W przypadku administratorów niebędących osobami fizycznymi, upoważniać będą organy danej jednostki według reguł przewidzianych przepisami prawa powszechnie obowiązującego lub statutu. Spółka, w której działa zarząd wyda zatem upoważnienie w drodze uchwały, zarządzenia lub pełnomocnictwa do wydawania upoważnień do przetwarzania danych osobowych pracownikom administratora.

Jakiej jakości będą wydawane upoważnienia?

Pamiętać należy, że forma w jakiej upoważniamy powinna być wyraźna! Umocowanie do wydawania upoważnień nie może być domniemaną kompetencją danej osoby. GIODO wypowiedział się jednak jasno, że ABI nie powinien być upoważniany do wydawania upoważnień, skoro sam później tę procedurę powinien kontrolować. Standardy ochrony danych podniesie jednak konsultacja z nim treści, formy oraz procedury samego upoważnienia.

Pytania i wątpliwości odnośnie nadawania upoważnień sygnalizowane były już od dłuższego czasu. Jeżeli wyłączymy możliwość nadawania ich przez ABI oraz Inspektorów, powstaną obawy czy upoważnienia konstruowanie i formułowane przez samych ADO lub ich przedstawicieli (jeżeli mowa o osobach prawnych i tak zwanych ułomnych osobach prawnych) będą odpowiadały wymogom prawnym. Przypominamy jednak, że ABI oraz późniejszy Inspektor sprawują funkcje doradcze, ponadto sam GIODO podkreśla, że procedura nadawania upoważnień jak również ich treść może być z nim konsultowana.

Co jeszcze warto wiedzieć o nowym Inspektorze Ochrony Danych

GDPR przewiduje, że w pewnych sytuacjach ADO będzie miał obowiązek wyznaczyć Inspektora. Zobowiązane będą do tego podmioty publiczne, poza sądami objętymi odrębnym systemem nadzorczym. Obowiązek ten dotyczyć będzie także podmiotów przetwarzających  dane na dużą skalę, jeżeli operacje przetwarzania wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą oraz gdy główna działalność polega na przetwarzaniu na dużą skalę danych o których owa w art. 9 ust. 1 GDPR oraz dotyczących wyroków skazujących i naruszeń prawa.

 

Jak wskazują eksperci, Inspektora może łączyć z ADO bądź to stosunek pracy lub zwykła umowa cywilnoprawna o świadczenie usług, co może mieć decydujące znaczenie o podejściu tej osoby do powierzonych zadań, które może być liberalne lub asekuracyjne w zależności od odpowiedzialności, która na nią spada.

 

Źródła:

  1. https://www.giodo.gov.pl/pl/259/10412

słowo klucz: ABI

About Redakcja 298 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.