ABI nie taki straszny

            Artykuł zamieszczony w serwisie rp.pl w dniu 1 czerwca 2015 r. przykuł moją uwagę ze względu na hasła, które w sposób bardzo wyraźny są nacechowane negatywnie. Parafrazując, na pierwszy plan wysuwają się tezy: ABI to nowa kasta nie dająca się zwolnić, powołany ABI nie odpowiada za naruszenia ustawy, nie powoływać ABIego na etat.

                Już na wstępie artykułu popełniono drobne niedopatrzenie – ABI, który został zgłoszony do GIODO już od stycznia sprawuje swoją funkcję na podstawie nowych przepisów i po 30 czerwca będzie sprawować ją nadal. Natomiast na podstawie przepisów przejściowych ABI wyznaczony przed 31 grudnia 2014 r. sprawuje swoją funkcję na podstawie nowych przepisów wyłącznie do 30 czerwca 2015 r. To oznacza, że ABI po 30 czerwca 2015 r. nie uzyska, jak sugeruje autor, żadnych dodatkowych uprawnień, a jedynie „starzy” ABI nie będą ABImi w rozumieniu ustawy o ochronie danych osobowych. Będzie to więc utrata kompetencji osób, które nie zostały formalnie powołane i zgłoszone do urzędu. Co więcej, data 30 czerwca 2015 r. nie jest w żadnym razie ostateczna, w tym sensie, że po tej dacie nadal będzie istniała możliwość zgłoszenia powołanego ABI do GIODO, i nadal będzie to wystarczające do skorzystania ze zwolnienia przewidzianego ustawą.

                Nie zgadzam się z tezą, że pozycja ABI daje mu „przywileje” czy nawet swojego rodzaju „immunitet” przed zwolnieniem. Przede wszystkim w związku z opublikowanymi ostatnio aktami wykonawczymi na osobę ABIego nakładany jest szereg obowiązków ustawowych, które z racji powołania zaliczyłbym do jego obowiązków służbowych. Zwolnienie pracownika w mojej ocenie jest uzasadnione nieprawidłowym wykonywaniem swoich obowiązków. Ponieważ osoba ABI zajmująca równolegle inne stanowisko wykonuje czynności z dwóch nieraz niezwiązanych ze sobą dziedzin, jest bardziej zagrożona ryzykiem niewywiązania się z części swoich obowiązków służbowych. Wynika to także ze zdecydowanie szerszego zakresu obowiązków jaki jest nakładany, niż byłby nałożony w stosunku do pracownika nie zajmującego stanowiska ABI. Ostatecznie ustawa, nie stwarza żadnych gwarancji dla ABIego, gdyż GIODO nie ma kompetencji, żeby kwestionować jego odwołanie czy zwolnienie, dlatego zasady zwalniania ABI są identyczne jak w przypadku innych pracowników. Cała trudność w ew. zwolnieniu ABI polega na tym, że musimy go względnie szybko zastąpić albo dopełnić obowiązków rejestracyjnych. Outsourcing usług ABI oczywiście jest wygodną formą przyjętą w wielu podmiotach, jednak powołanie na stanowisko ABIego etatowego pracownika jest formą równie dopuszczalną.

                Kolejną, moim zdaniem, nietrafioną tezą jest wskazanie, że negatywną przesłanką do powołania ABIego jest brak jego odpowiedzialności za naruszenie ustawy. Podkreślić należy, że bez względu czy powołamy ABIego wewnątrz organizacji, czy skorzystamy z usług podmiotu zewnętrznego albo zdecydujemy, że nie będziemy powoływać nikogo na to stanowisko to Administrator danych będzie ponosić odpowiedzialność za nieprzestrzeganie przepisów – zawsze. Konstrukcja ustawy powoduje, że nie jest możliwe wyłączenie się przedsiębiorcy od odpowiedzialności. Dlatego bez względu jaką drogę obierzemy, należy poukładać dziedzinę ochrony danych osobowych, zwłaszcza w kontekście przyszłego rozporządzenia unijnego, które raczej na pewno będzie przewidywać kary finansowe. Jednak podkreślam jeszcze raz, zarówno powołanie jak i niepowołanie ABIego nie ma wpływu na ew. odpowiedzialność Administratora Danych Osobowych.

                Fakt jednak jest jeden – czy to nam się podoba czy nie – musimy zapewnić, aby przy organizacji znajdowała się osoba znająca zagadnienia danych osobowych i potrafiąca doradzać w kwestii zgodnego z prawem przetwarzania danych osobowych. I raczej w tym fakcie dopatrywałbym się „korzyści” z bycia ABI, jak również z bycia osobą formalnie nie zgłoszoną do GIODO, a zajmującą się w imieniu Administratora danych tą tematyką. Może się okazać, że bardzo trudno Administratorowi danych będzie zastąpić doświadczoną osobę, która zna organizację od wewnątrz i jest wtajemniczona we wszystkie sprawy nieoczywiste. Wszyscy praktycy są świadomi jak „miękkie” są zapisy ustawy i jak bardzo „ukryte” mogą być procesy przetwarzania danych osobowych. Jeden audyt u dużych Administratorów danych nie ustali wszystkich obszarów gdzie może występować ryzyko – to musi być proces ciągły.  Dlatego jako Administrator danych musimy mieć na uwadze ryzyko odpowiedzialności administracyjnej jakie może nastąpić przy braku dostatecznego rozeznania nowej osoby i należy z rozwagą podejmować decyzje personalne w powyższym zakresie.

About Redakcja 320 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.