GIODO chce, by w firmach działał administrator bezpieczeństwa informacji. Przedsiębiorcy są przeciwni, bo to oni będą musieli zapłacić za jego powołanie

psav zdjęcie główne

W środę odbędzie się pierwsze posiedzenie komisji nadzwyczajnej Sejmu ds. związanych z ograniczaniem biurokracji, do której został skierowany projekt Deregulacji IV. Zawiera on m.in. propozycje zmian w ustawie o ochronie danych osobowych (Dz.U. z 1997 r. nr 133, poz. 883 ze zm.), których wnioskodawcą jest generalny inspektor ochrony danych osobowych (GIODO). Najważniejsza z punktu widzenia przedsiębiorców propozycja dotyczy możliwości powoływania w firmach administratora bezpieczeństwa informacji (ABI). Przejmie on część obowiązków administratora danych. Według biznesu zmiana ta prowadzi do pogorszenia warunków wykonywania działalności gospodarczej i podziałów między przedsiębiorcami: różnicowania ich na tych, których stać na wdrożenie nowego rozwiązania, i tych, którzy nie będą w stanie ponieść kosztów zatrudnienia dodatkowej osoby. GIODO podkreśla, że ABI nie trzeba zatrudniać na cały etat.
– Problem mogą mieć mniejsze firmy, które działają na granicy opłacalności. Mogą zostać wykluczone z wdrożenia nowych rozwiązań, a to może narazić je na częstsze kontrole GIODO – tłumaczy Magdalena Osińska z departamentu prawnego Polskiej Organizacji Handlu i Dystrybucji (POHiD).
– Zwłaszcza że ten zostanie odciążony przez działających w dużych firmach ABI, samodzielnie przeprowadzających kontrole – dodaje.
GIODO deklaruje, że i bez tego ma w planach zwiększenie liczby kontroli.
– W ubiegłym roku przeprowadziliśmy ich ponad 170. To kropla w morzu potrzeb, patrząc choćby na liczbę zgłaszanych co roku nowych zbiorów danych. W ubiegłym było ich 28 tys. – wyjaśnia dr Wojciech Wiewiórowski, GIODO. Nie jest to, jak dodaje zależne od powołania lub niepowolania ABI.
Bez korzyści
Przedsiębiorcy są również zdania, że powołanie ABI nie daje wymiernych korzyści – poza zwolnieniem z obowiązku zgłaszania do rejestracji zbiorów danych i ich aktualizowania. Co więcej, w razie powołania ABI na firmę przechodzą też koszty wynikające z prowadzenia jawnego rejestru zbioru danych. Trzeba bowiem stworzyć platformę internetową, do przechowywania danych.
– W przypadku mniejszych firm wystarczy, że dane te będą przechowywane w postaci pliku HTML. Zatem tylko duże firmy, mające rozbudowane zbiory, mogą potrzebować dodatkowego narzędzia do ich przechowywania – uspokaja Wojciech Wiewiórowski.
Przedsiębiorcy wyliczają, że będą też musieli ponieść koszty przygotowania wewnętrznych sprawozdań przez ABI dla administratora danych oraz wykonywanych przez niego czynności na zlecenie GIODO. Przy czym trudno określić, jak często inspektor będzie zwracał się do ABI o dokonanie sprawozdania.
– Trudno więc będzie oszacować opłacalność inwestycji w ABI. Na razie wszystko wskazuje na to, że tylko GIODO zyska, bo zostanie odciążony w codziennych obowiązkach – uważa Aleksander Radwański, właściciel firmy przewozowej w Warszawie.
Korzyści wynikające z powołania ABI w firmie są pozorne również z innych powodów. Przeprowadzenie kontroli przez ABI na zlecenie GIODO nie wyłącza prawa inspektora do samodzielnego ich przeprowadzania. Pojawia się także obawa co do rzetelności kontroli na zlecenie.
– ABI będzie pracownikiem przedsiębiorcy, który ma wypłacać mu wynagrodzenie. Nie będzie jednak podlegał odpowiedzialności zawodowej, a ustawa nie przewiduje sankcji za nierzetelne wypełnianie przez niego zadań, poza możliwością jego odwołania – zauważa Magdalena Osińska.
Geneza zmian
W uzasadnieniu do projektu można przeczytać, że zaproponowane przez GIODO zmiany wynikają z konieczności notyfikacji dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego ich przepływu. Jak zauważa POHiD, nie jest to trafione uzasadnienie. W styczniu 2012 r. Komisja Europejska przedstawiła projekt kompleksowej reformy unijnych przepisów o ochronie danych osobowych i planowane jest zastąpienie dyrektywy rozporządzeniem PE i Rady regulującym analogiczny obszar. A to będzie obowiązywało bezpośrednio w krajach członkowskich, bez potrzeby wydawania aktów prawnych wdrażających je do porządku krajowego. Przyjęcie nowych regulacji jest planowane jeszcze w tym roku.
– Dlatego zasadne wydaje się przygotowanie przedsiębiorców do tych zmian, a nie implementowanie przepisów dyrektywy, która wkrótce przestanie obowiązywać – zauważa Magdalena Osińska.
Dodaje, że rozporządzenie UE przewiduje powołanie inspektora ochrony danych, jeśli w firmie pracuje więcej niż 250 osób. Za naruszenia przewidywane są kary do 1 mln euro lub 2 proc. rocznego obrotu.
Doktor Wojciech Wiewiórowski podkreśla, że zmiany są zgodne z tym, co zaplanowano w rozporządzeniu. – Zgodnie z nim ABI ma być powoływany obligatoryjnie w każdej firmie. Trwają jeszcze ustalenia, kto ewentualnie takiemu obowiązkowi nie będzie podlegał. My proponujemy, by ABI powoływała tylko ta firma, która tego chce – dodaje.