Czy jedna osoba może zadbać o bezpieczeństwo danych w kilkudziesięciu różnych firmach? GIODO ma wątpliwości i zapowiada kontrole.
Od ponad roku przepisy nie tylko pozwalają, ale wręcz zachęcają do powoływania administratorów bezpieczeństwa informacji (ABI). Przedsiębiorca czy też instytucja publiczna, która się na to zdecyduje, może liczyć na pewne ułatwienia w swej działalności. Głównym jest brak obowiązku rejestracji zwykłych zbiorów danych osobowych. Ustawodawca wyszedł z założenia, że skoro ABI zapewnia ich bezpieczeństwo i przetwarzanie zgodnie z prawem, to można złagodzić pewne restrykcje.
Do prowadzonego przez generalnego inspektora ochrony danych osobowych rejestru wpisano już prawie 17 tys. ABI. Wśród nich zdarzają się tacy, którzy pracują dla kilkudziesięciu nawet podmiotów.
– Nikt mnie nie przekona, że osoba pracująca dla 86 różnych firm czy instytucji jest w stanie rzetelnie wykonywać swoje obowiązki. Biorąc pod uwagę liczbę dni pracujących w roku i dzieląc ją na te 86 podmiotów, wychodzi, że rocznie jednemu nie może przeznaczyć nawet trzech dni swej pracy. To chore – ocenia dr Paweł Litwiński, adwokat, ekspert Instytutu Allerhanda.
GIODO widzi problem.Będą kontrole
Praca dla wielu zleceniodawców jest zgodna z przepisami ustawy o ochronie danych osobowych (t.j. Dz.U. z 2015 r. poz. 2135). Co więcej, był to celowy zamysł ustawodawcy, tak aby możliwy był outsorsing tego typu usług i nie było konieczności zatrudniania ABI na etat. Jednak zdaniem GIODO pewne standardy muszą być przestrzegane, o czym nie można mówić przy pracy na rzecz kilkudziesięciu podmiotów.
– Dostrzegamy ten problem i będziemy go analizować. Jeszcze w tym roku przeprowadzimy kontrolę ABI, sprawdzając, czy są w stanie rzetelnie wykonywać swe obowiązki dla kilkudziesięciu podmiotów. Najdalej idącą sankcją może być wykreślenie ABI z rejestru – ostrzega Andrzej Lewiński, zastępca generalnego inspektora ochrony danych osobowych.
– Osobiście uważam, że nie można prawidłowo dbać o bezpieczeństwo informacji w kilkudziesięciu podmiotach. Wystarczy sobie wyobrazić, co by się stało, gdyby GIODO w wyniku skarg zażądał przeprowadzenia tzw. sprawdzeń u każdego z nich. To niewykonalne – dodaje.
Sami ABI przekonują, że praca dla kilku czy nawet kilkunastu zleceniodawców to nic nadzwyczajnego i wystarczy tylko dobra jej organizacja.
– Pełnię obowiązki powołanego ABI dla 11 podmiotów w ramach outsourcingu. Z pełną świadomością mogę zapewnić, że robię to w sposób odpowiedzialny, gdyż zatrudniam w firmie ENSI pięciu zastępców, a więc zawsze ktoś pozostaje do dyspozycji – mówi Maciej Byczkowski, prezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji.
– Oczywiście, gdzieś jest górna granica, po przekroczeniu której trudno już mówić o profesjonalnym podejściu do swych obowiązków – dodaje.
Jego zdaniem górna granica to liczba dni pracujących w miesiącu, czyli 22. Przy dobrej organizacji pracy i ustanowionych zastępcach jeden ABI byłby w stanie sprostać swym obowiązkom, ale tylko przy zastrzeżeniu, że obsługiwałby podmioty, które nie mają zbyt skomplikowanych procesów przetwarzania danych.
A co z tymi, którzy obsługują kilkakrotnie nawet liczniejsze rzesze klientów?
– Ustawowa zachęta do powoływania ABI sprawiła niestety, że na rynku można spotkać osoby niezbyt profesjonalnie podchodzące do swych zadań. Bez wątpienia trudno sobie wyobrazić pełnienie obowiązków ABI dla 86 różnych podmiotów – zauważa Maciej Byczkowski.
Gwarancja bezpieczeństwa
Przepisy wymagają, by ABI nie był skazany za przestępstwa umyślne, posiadał pełną zdolność prawną i miał wymaganą wiedzę. Podczas rejestracji GIODO skupia się jednak wyłącznie na weryfikowaniu wymagań formalnych. Resztę powinien sprawdzić ten, kto powołuje ABI.
– Przedsiębiorca czy urzędnik powinni pamiętać, że w ostatecznym rozrachunku to oni przecież poniosą odpowiedzialność za ewentualne nieprawidłowości związane z ochroną danych. To im powinno więc zależeć, by ABI dawał gwarancję bezpieczeństwa. Wiedząc, że pracuje już dla kilkudziesięciu innych podmiotów, nie powinni więc powoływać go u siebie – mówi Andrzej Lewiński.
Jak sprawdzić osobę, którą zamierza się powołać na własnego ABI? Wystarczy wejść na stronę https://egiodo.giodo.gov.pl/abi_register.dhtml, gdzie udostępniony jest rejestr prowadzony przez GIODO i wpisać nazwisko kandydata. System wskaże nam, dla ilu administratorów danych osobowych już pracuje.
Obserwatorzy wciąż kształtującego się rynku zwracają uwagę na jeszcze inne zagrożenia. Zdarza się, że ABI zostaje informatyk dostarczający oprogramowanie. Problem w tym, że choć może ono zapewniać najbardziej zaawansowaną ochronę informatyczną, to tylko specjalista będzie w stanie stworzyć kompletną politykę bezpieczeństwa. Pojawiły się też firmy, które pośredniczą w wyszukiwaniu i kojarzeniu ABI. To też może rodzić wątpliwości.
– Choć zamysłem ustawodawcy była możliwość korzystania z usług zewnętrznych ekspertów, to nam nie chodziło o to, by de facto dawali oni wyłącznie swoje nazwisko, a rzeczywiste obowiązki wykonywali inni. Wówczas ustawodawca pozwoliłby po prostu, by funkcje ABI mogły pełnić osoby prawne. Tymczasem celowo są to osoby fizyczne, które muszą wykazać się określonymi przymiotami, takimi jak niekaralność czy wystarczająca wiedza – tłumaczy dr Paweł Litwiński.