Nowa rola i pozycja administratorów bezpieczeństwa Informacji (ABI). Relacja z konferencji.


Byliśmy, jesteśmy i będziemy zaangażowani w wydarzenia związane z dziedziną ochrony danych osobowych. Jednym z przejawów takiej aktywności jest uczestniczenie w konferencjach organizowanych przez GIODO z okazji dnia ochrony danych osobowych, który przypada na 28 stycznia.

W tym roku zorganizowana została cała seria wykładów, a GIODO wykroczył z wykładami poza Warszawę, organizując spotkania w Katowicach, Szczytnie, Dąbrowie Górniczej, Łodzi, Krakowie. Można powiedzieć, że jesteśmy świadkami historycznych obchodów dnia ochrony danych osobowych, gdyż nigdy wcześniej nie było to organizowane z takim rozmachem.

Wybraliśmy (nieprzypadkowo) spotkanie dotyczące roli i pozycji ABI zorganizowane 23 lutego 2016 r. przez Akademię Leona Koźmińskiego. Całość została podzielona na IV sesje. Rozszerzony zapis wykładów zamieścimy wkrótce. Poniżej garść informacji i statystyk, które w naszej ocenie są najbardziej interesujące dla praktyków.

Zdaniem dr Grzegorza Sibigi w powoływaniu ABIego i sprawowaniu jego funkcji nie chodzi wyłącznie o spełnienie kryteriów wymaganych przez prawo i korzystanie z przywilejów jakimi choćby jest zwolnienie z obowiązku rejestracji zbiorów, a najistotniejsze jest skuteczne poprawianie standardu przetwarzanych danych osobowych. Wzmocnienie funkcji ABI poprzez rozporządzenie unijne wyraża się przez zakaz wydawania merytorycznych poleceń, co może oznaczać w praktyce zakaz łączenia funkcji ABI z innymi zadaniami.

Piotr Drobek – dyrektor Departamentu Edukacji i Współpracy Międzynarodowej repezentujący GIODO uzupełnił wypowiedź dr Sibigi wskazując, że rozporządzenie unijne kładzie nacisk na realizację wymagań prawa w praktyce. Podmioty publiczne będą zobowiązane do wyznaczenia Inspektora Ochrony Danych (odpowiednik ABI), choć rozporządzenie przewiduje możliwość powołania jednego Inspektora dla kilku podmiotów. Będzie więc dopuszczalne, żeby w ramach jednej gminy jednostki samorządu obsługiwała jedna osoba.

W drugiej sesji przedstawiciele GIODO wyrazili zadowolenie z faktu docenienia roli ABI przez sektor prywatny. Wymieniono, że do najczęstszych braków zgłoszeń ABI nadal należy brak zastosowania formularza urzędowego, przesłanie zamiast formularza upoważnienia do przetwarzania danych osobowych lub  aktu powołania ABI. Przedstawiciele GIODO wskazali, że zdarzają się nawet przesłane fragmenty Polityki Bezpieczeństwa dotyczące zadań ABI albo oświadczenia o powołaniu.

Dr Arleta Nerka reprezentująca Akademię Leona Koźmińskiego dowodziła, że pojęcie niezależności ABI kłóci się z zatrudnianiem takich osób na podstawie umowy o pracę. Przez pryzmat przepisów prawa pracy Pani Doktor wskazywała, że pracownik jest podległy swojemu kierownikowi  w zakresie wykonywania swoich obowiązków, co rodzi konflikty i w Jej ocenie stanowi poważny mankament realizowania zadań ABIego.

W dalszej części panelu podkreślano niezależność ABIego i to, jak istotny element w zapewnieniu prawidłowej ochrony danych osobowych ta niezależność stanowi. Niejednokrotnie odnosiłem wrażenie, że niewypowiedzianym życzeniem mówców jest uchwalenie kodeksu etyki ABI, do którego jako praktycy moglibyśmy się odwoływać.

III sesja dotyczyła sprawdzeń tego jak je wykonywać, w jakich odstępach czasowych i przez kogo. Otrzymaliśmy garść danych od Departamentu Inspekcji, który w 2015 r. skierował 13 wystąpień o dokonanie sprawdzeń n
a podstawie art. 19a uodo.

Żądanie wykonania sprawdzenia dotyczyło Rzecznika Praw Obywatelskich w zakresie legalności monitorowania biura. Natomiast pozostałe 12 wystąpień skierowane zostało do banków m.in. do NBP, w zakresie stosowanych zabezpieczeń.

Zgodnie z zapewnieniami dyrekcji Departamentu Inspekcji w bieżącym roku, GIODO będzie na żądanie zwracał się do:

– banków, w zakresie odnotowywania sprzeciwów i przetwarzania danych w celach marketingowych

– towarzystw ubezpieczeniowych, w zakresie zabezpieczania danych wrażliwych

– gmin, w zakresie realizacji obowiązków informacyjnych wynikających z uodo.

Przykładowe wystąpienia zostały umieszczone w serwisie abi.giodo.gov.pl

Zbigniew Sujecki reprezentujący Orange Polska podkreślał, że dobre praktyki i normy ISO nie stoją w sprzeczności z przepisami ochrony danych, że jest możliwe stworzenie jednej dokumentacji wewnątrz firmy zawierającej informacje określone przepisami prawa dotyczącymi ochrony danych osobowych.

Pomimo postępującego zmęczenia uczestników na koniec zaprezentowano bardzo inspirujące mowy dotyczące obecnych zadań i nadchodzących zmian, a także praktyki dużego podmiotu jakim jest NBP. Wszyscy Wykładowcy dostrzegali konieczność wypracowania spójnych interpretacji przed nadchodzącym rozporządzeniem unijnym. Położono również akcent na doskonalenie się samych ABIch nie tylko w zakresie zdobywanej wiedzy, ale także w zakresie sposobów jej dalszego przekazywania.

Całość dopełniło podsumowanie Ministra Andrzeja Lewińskiego.

Relację przygotował ekspert Omni Modo Jędrzej Sokół

About Redakcja 311 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.