Powołanie ABI – mity a rzeczywistość

W ostatnim czasie toczy się, a można nawet powiedzieć, została rozpętana, dyskusja na temat sensu lub jego braku, powołania Administratora Bezpieczeństwa Informacji (ABI). Jest to o tyle istotne, że z jednej strony powołanie ABI to szansa na profesjonalizację ochrony danych osobowych a z drugiej zagrożenie nadużycia tej instytucji do osiągnięcia określonych celów biznesowych, innymi słowy naciągnięcia administratorów danych na usługę.

Spróbujmy przyjrzeć się praktyce obecnie obowiązującej na rynku, statystykom, trendom i dokonać rzeczowej oceny. Z racji objętości tego artykułu nie będę się szerzej skupiał na zagadnieniach odnoszących się do ustawowych wymogów stawianych ABI ani analizował zadań jakie postawiły (a raczej doprecyzowały) przed ABI akty wykonawcze do ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. z 2014 r. poz. 1182 z późn. zm.; dalej zwaną ustawą).

Celem jaki sobie postawiłem pisząc artykuł, jest pokazanie wszystkich szans i zagrożeń związanych z podjęciem decyzji o powołaniu ABI i wpisaniu do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) oraz wskazanie najważniejszych z kontrowersyjnych stanowisk, o jakich się ostatnio mówi. Spróbuję zatem obalić kilka mitów jakie narosły wokół tej instytucji.

Mit pierwszy – powołanie ABI jest obowiązkowe

Na początku należy zaznaczyć, że ustawa z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, która zmieniła ustawę wprowadziła kilka kardynalnych zmian odnośnie instytucji ABI.

Pierwsza z nich to oczywiście ta, że powołanie ABI nie jest obowiązkowe w świetle nowo wprowadzonych przepisów.

Zgodnie z art. 36a ust. 1 ustawy:

Administrator danych może powołać administratora bezpieczeństwa informacji

Wbrew intencji tego bardzo jasnego przepisu, który dał możliwość powołania ABI a nie zobligował do tego, wielu administratorów danych jest bombardowanych informacjami (najczęściej rozsyłanymi drogą mailową), że powołanie ABI jest obowiązkowe a kto tego nie dokona naraża się na sankcję grzywny w wysokości 200 tyś zł. Trudno powiedzieć co lub kto jest źródłem takiej dezinformacji, można jedynie domyślać się, że jak zawsze chodzi o grę interesów, bynajmniej niekoniecznie korzystnych z punktu widzenia administratorów danych.

Mit drugi – ABI jest tylko przeszkodą w prowadzeniu interesów przez administratorów danych.

Nic bardziej mylnego i to z kilku powodów. Po pierwsze pytanie zasadnicze, jakie zadania postawiono przed ABI. Otóż ABI to osoba do której zadań należy przede wszystkim ogólnie rozumiane zapewnienie przestrzegania przepisów o ochronie danych osobowych (art. 36a ust.2 ustawy). Oznacza to, że ABI dba o profesjonalny i zrównoważony, a przede wszystkim zgodny z prawem rozwój biznesu administratora danych.

Nie powinno i nie może to stać w sprzeczności z rozwojem biznesu, tym bardziej, że w kontekście planowanej tzw. europejskiej nowelizacji przepisów o ochronie danych osobowych pojawi się możliwość nakładania kar na administratorów danych, a dopiero taka nałożona kara może być obciążeniem dla biznesu. Po wtóre ABI ma ogromne możliwości wniesienia do biznesu tzw. wartości dodanej i to nie tylko jeśli chodzi o wizerunek. ABI może zbudować  bardzo profesjonalną i co najważniejsze, legalną bazę marketingową, która może mieć ogromną wartość rynkową, często przewyższającą inne aktywa w firmie.

Oczywiście powołanie ABI niesie ze sobą dodatkowe obciążenia, jak np. konieczność przygotowania odpowiednich warunków pracy. ABI-ego należy wyposażyć w odpowiednie narzędzia i dbać o jego rozwój, co zawsze wiąże się z pewnymi kosztami. Poza tym ABI musi mieć czas na wypełnianie swoich zadań. Musi mieć także zagwarantowaną niezależność, a więc nie może to być pracownik stojący bardzo nisko w strukturze, co może się przełożyć na zmiany organizacyjne struktury zatrudnienia administratora danych, a to z kolei pociągnąć za sobą kolejne koszty. Jednak twierdzenie, że ABI jako taki stoi w sprzeczności z interesem administratora danych jest zdecydowanym nadużyciem.

Mit trzeci – Powołanie ABI spowoduje większe ryzyko kontroli ze strony GIODO 

Założenia projektu ustawy mówiły o tym, że:

  (…)GIODO, ze względu na niezależną kompetencję kontrolną ABI, mógłby powierzyć mu wykonywanie czynności polegających na sprawdzeniu zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Stanowiłoby to istotne odciążenie dla administratorów danych (w tym przedsiębiorców) w stosunku do stanu aktualnego, w którym w każdym wymagającym tego przypadku (np. skargi osoby trzeciej) podlegają oni bezpośredniej kontroli GIODO (…) <1>

Potwierdzają to stanowisko wypowiedzi przedstawicieli Biura GIODO zarówno przed nowelizacją:

 (…)Natomiast przy powołaniu administratora bezpieczeństwa informacji większość z kontroli będzie kontrolami wewnętrznymi, przeprowadzanymi przez samego przedsiębiorcę, a przy niepowołaniu administratora bezpieczeństwa informacji będą to kontrole zewnętrzne, prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych<2>

Jak i już po jej wejściu w życie.

 Tam gdzie jest ABI, zakładamy że jest odpowiedni poziom ochrony danych. Domniemujemy w zaufaniu, że tam będzie formą sprawdzenia (domyślnie przez samego ABI), a będziemy sprawdzać tam, gdzie nie ma ABI, gdzie nie mamy zaufania, gdzie nie wiem, czy w ogóle się przestrzega ochrony danych osobowych.<3>

Mit czwarty – ABI jest donosicielem GIODO

To jest chyba jeden z największych mitów-straszaków jakie krążą na rynku niczym widma. Istotą powołania ABI w takiej a nie innej formie jest to, że ma on być, podobnie jak to się dzieje w innych krajach, członkiem profesjonalnego korpusu pełnomocników zajmujących się tematyką ochrony danych osobowych. W interesie wszystkich, także, a może przede wszystkim, urzędów nadzorujących ochronę danych osobowych (w tym GIODO) pozostaje bardzo dobra współpraca w tym zakresie a nie zrażanie administratorów danych do tej instytucji.

Powołanie ABI to istota i sedno nowelizacji przepisów Dyrektywy, gdzie pełnomocnik ds. danych osobowych (Data Protection Officer) to podstawa funkcjonowania systemu ochrony danych. Reasumując, ABI to nie jest donosiciel a profesjonalny pełnomocnik, tak jak radca prawny, czy rzecznik patentowy, który specjalizuje się w danej tematyce, dokształca i musi być na bieżąco. Z założenia jest partnerem GIODO we wspólnej sprawie ochrony danych, o czym na wspomnianej wyżej konferencji mówił min. Lewiński (sesja 3), a co należy uznać za bardzo dobry prognostyk.

Mit piąty – powołanie ABI oznacza obowiązek corocznego bezpośredniego przesyłania sprawozdań do GIODO oraz informowania w terminie 24h o ewentualnych incydentach odnośnie bezpieczeństwa danych.

Obowiązek taki istnieje obecnie, ale tylko w odniesieniu do operatorów telekomunikacyjnych.

Zostało to bardzo precyzyjnie wyjaśnione na stronie Generalnego Inspektora Ochrony Danych Osobowych:

Zgodnie z brzmieniem przepisów ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 z późn. zm.), przedsiębiorca telekomunikacyjny nie tylko musi chronić dane osobowe swoich klientów, ale także w przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych zobowiązany jest w szczególności powiadomić o tym właściwy organ ds. ochrony danych osobowych (GIODO), a także abonenta lub użytkownika końcowego, którego dane zostały naruszone.

Poniżej zawarto zestawienie najczęściej pojawiających się pytań i odpowiedzi związanych z problematyką naruszeń danych osobowych.

Co należy rozumieć poprzez naruszenie danych osobowych?

Przez naruszenie danych osobowych rozumie się przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych.

Kto i w jakim terminie powinien powiadomić odpowiednie osoby o naruszeniu danych osobowych?

Obowiązek taki został nałożony na dostawców publicznie dostępnych usług telekomunikacyjnych. Naruszenie danych osobowych powinno być zgłoszone niezwłocznie, ale nie później niż 24 godziny po wykryciu naruszenia. (link)

Incydenty takie są w sytuacjach wskazanych powyżej zgłaszane, ale nie spowodowały one lawinowego przyrostu kontroli w tym sektorze.

Dodatkowo, należy pamiętać, że mamy dwa rodzaje sprawdzeń, jedno to sprawdzenie planowe, z którego nie przesyłamy sprawozdania do GIODO, a drugie to sprawdzenie w trybie art. 19b, czyli na zlecenie GIODO i tylko z tego sprawdzenia jest przesyłane do GIODO sprawozdanie. Sprawdzenie to ma charakter incydentalny i jest na wyraźne zlecenie, a nie cykliczne, jak zdają się sugerować niektórzy z komentatorów.

(…)ABI dokonuje sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych u administratora danych, który go powołał, na zlecenie GIODO. W konsekwencji – sprawozdanie z takiego sprawdzenia jest przedstawiane, za pośrednictwem administratora danych, GIODO. W drugim przypadku (art. 36a ust. 2 pkt 1 lit. a) – sprawdzenie przeprowadzone przez ABI ma charakter kontroli wewnętrznej u administratora danych, a zatem powstałe w jego wyniku sprawozdanie jest dokumentem wewnętrznym administratora danych.(…)<4>

Mit szósty  – wskazane jest, aby ABI był powołany we wszystkich, nawet najmniejszych jednostkach, w innym bowiem przypadku dane osobowe nie będą odpowiednio chronione.

Z informacji jakie znajdują się w rejestrze ABI na stronie GIODO (link) wynika, że zarejestrowanych jest prawie 14.500 Administratorów Bezpieczeństwa Informacji. Z tego co mówią urzędnicy Biura GIODO wynika, że do zarejestrowania pozostało prawie drugie tyle. Wśród podmiotów, które zgłosiły do rejestru ABI są podmioty duże i małe, biznes oraz administracja. Generalnie cały wachlarz administratorów danych.

Powstaje pytanie czy także w małych jednostkach, typu przedszkole, ośrodek kultury, czy mała działalność gospodarcza ABI jest konieczny? Zdecydowanie nie. Nie jest to instytucja dla każdego, bowiem koszt powołania profesjonalnego, zwracam uwagę na sformułowanie „profesjonalnego” ABI jest zbyt duży w proporcji do wymagań. Jeśli oczywiście powołujemy ABI dla samego powołania, czyli zapewnienia sobie złudnego poczucia, ze ktoś za to odpowiada, czyli zdejmuje  z nas odpowiedzialność, to możemy to zrobić. Powstaje tylko pytanie po co? ABI który nie wykonuje odpowiednio swoich zadań, zajmuje się zupełnie czym innym a funkcja jest do niego „przyklejona” albo jako zewnętrzny ABI bywa (lub nie) czasami u administratora i tak nie chroni tego ostatniego przed odpowiedzialnością.

Rozwiązaniem dla małych administratorów danych (nie uogólniając oczywiście, bo bywają wyjątkowi administratorzy, którzy mają bardzo rozbudowane systemy przetwarzania danych) są dobrze przeprowadzone audyty, po których można odpowiednio prowadzić ochronę danych osobowych, bez powoływania ABI, co w tym przypadku byłoby przerostem formy nad treścią.

W tym krótkim opracowaniu starałem się rozprawić z największymi mitami jakie narosły wokół „nowego ABI”. Oczywiście nie są to wszystkie zagadnienia i po jakimś czasie życie dopisze nowe scenariusze, więc do tematu zapewne powrócę.

Na koniec jeszcze jedna cenna uwaga, proszę przy zasięganiu informacji korzystać z profesjonalnych i sprawdzonych źródeł (m.in. naszego portalu, strony GIODO i kilku innych profesjonalnych stron internetowych) a unikać przypadkowych informacji, nie ulegać „nagonce na klienta” jaka ma w tej chwili miejsce i pamiętać, że najważniejsze zadanie ABI, czyli przygotowanie do nowego rozporządzenia europejskiego, jest dopiero przed nami.

Autorzy artykułu

omnimodo_025_sq_bw_02_kontr

mec. Tomasz Osiej 

omnimodo_029_sq_bw

Marta Bargiel- Kaflik


Źródła

<1> Uzasadnienie do art. 8 ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. nr 2014 poz.1662), System Informacji prawnej LEX

<2>Fragment wypowiedzi GIODO  (pełny zapis przebiegu posiedzenia komisji- http://orka.sejm.gov.pl/Zapisy7.nsf/wgskrnr/NDR-34)

<3>Wypowiedź zastępcy Generalnego Inspektora Ochrony Danych osobowych min. A. Lewińskiego na konferencji pt.: ”Nowe ramy prawne ochrony danych w UE. Wyzwania dla Polski”,  która odbywała się w dniu 18 września 2015 roku. Materiały z niej dostępne są pod tym adresem: http://www.giodo.gov.pl/153/id_art/8792/j/pl/  (sesja 3)

<4>Uzasadnienie do art. 8 ustawy o ułatwieniu wykonywania działalności gospodarczej…

About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.