statystyki

Administrator bezpieczeństwa informacji w kilkudziesięciu firmach? GIODO zapowiada kontrole

autor: Sławomir Wikariak15.03.2016, 07:41; Aktualizacja: 15.03.2016, 08:40
dane osobowe-personalne

Praca dla wielu zleceniodawców jest zgodna z przepisami ustawy o ochronie danych osobowych (t.j. Dz.U. z 2015 r. poz. 2135). źródło: ShutterStock

Czy jedna osoba może zadbać o bezpieczeństwo danych w kilkudziesięciu różnych firmach? GIODO ma wątpliwości i zapowiada kontrole.

Reklama


Reklama


Od ponad roku przepisy nie tylko pozwalają, ale wręcz zachęcają do powoływania administratorów bezpieczeństwa informacji (ABI). Przedsiębiorca czy też instytucja publiczna, która się na to zdecyduje, może liczyć na pewne ułatwienia w swej działalności. Głównym jest brak obowiązku rejestracji zwykłych zbiorów danych osobowych. Ustawodawca wyszedł z założenia, że skoro ABI zapewnia ich bezpieczeństwo i przetwarzanie zgodnie z prawem, to można złagodzić pewne restrykcje.

Do prowadzonego przez generalnego inspektora ochrony danych osobowych rejestru wpisano już prawie 17 tys. ABI. Wśród nich zdarzają się tacy, którzy pracują dla kilkudziesięciu nawet podmiotów.

– Nikt mnie nie przekona, że osoba pracująca dla 86 różnych firm czy instytucji jest w stanie rzetelnie wykonywać swoje obowiązki. Biorąc pod uwagę liczbę dni pracujących w roku i dzieląc ją na te 86 podmiotów, wychodzi, że rocznie jednemu nie może przeznaczyć nawet trzech dni swej pracy. To chore – ocenia dr Paweł Litwiński, adwokat, ekspert Instytutu Allerhanda.

GIODO widzi problem.Będą kontrole

Praca dla wielu zleceniodawców jest zgodna z przepisami ustawy o ochronie danych osobowych (t.j. Dz.U. z 2015 r. poz. 2135). Co więcej, był to celowy zamysł ustawodawcy, tak aby możliwy był outsorsing tego typu usług i nie było konieczności zatrudniania ABI na etat. Jednak zdaniem GIODO pewne standardy muszą być przestrzegane, o czym nie można mówić przy pracy na rzecz kilkudziesięciu podmiotów.

Gwarancja wiedzy i niekaralności

Gwarancja wiedzy i niekaralności

źródło: Dziennik Gazeta Prawna

– Dostrzegamy ten problem i będziemy go analizować. Jeszcze w tym roku przeprowadzimy kontrolę ABI, sprawdzając, czy są w stanie rzetelnie wykonywać swe obowiązki dla kilkudziesięciu podmiotów. Najdalej idącą sankcją może być wykreślenie ABI z rejestru – ostrzega Andrzej Lewiński, zastępca generalnego inspektora ochrony danych osobowych.

– Osobiście uważam, że nie można prawidłowo dbać o bezpieczeństwo informacji w kilkudziesięciu podmiotach. Wystarczy sobie wyobrazić, co by się stało, gdyby GIODO w wyniku skarg zażądał przeprowadzenia tzw. sprawdzeń u każdego z nich. To niewykonalne – dodaje.

Sami ABI przekonują, że praca dla kilku czy nawet kilkunastu zleceniodawców to nic nadzwyczajnego i wystarczy tylko dobra jej organizacja.

– Pełnię obowiązki powołanego ABI dla 11 podmiotów w ramach outsourcingu. Z pełną świadomością mogę zapewnić, że robię to w sposób odpowiedzialny, gdyż zatrudniam w firmie ENSI pięciu zastępców, a więc zawsze ktoś pozostaje do dyspozycji – mówi Maciej Byczkowski, prezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji.

– Oczywiście, gdzieś jest górna granica, po przekroczeniu której trudno już mówić o profesjonalnym podejściu do swych obowiązków – dodaje.

Jego zdaniem górna granica to liczba dni pracujących w miesiącu, czyli 22. Przy dobrej organizacji pracy i ustanowionych zastępcach jeden ABI byłby w stanie sprostać swym obowiązkom, ale tylko przy zastrzeżeniu, że obsługiwałby podmioty, które nie mają zbyt skomplikowanych procesów przetwarzania danych.

A co z tymi, którzy obsługują kilkakrotnie nawet liczniejsze rzesze klientów?

– Ustawowa zachęta do powoływania ABI sprawiła niestety, że na rynku można spotkać osoby niezbyt profesjonalnie podchodzące do swych zadań. Bez wątpienia trudno sobie wyobrazić pełnienie obowiązków ABI dla 86 różnych podmiotów – zauważa Maciej Byczkowski.

Gwarancja bezpieczeństwa

Przepisy wymagają, by ABI nie był skazany za przestępstwa umyślne, posiadał pełną zdolność prawną i miał wymaganą wiedzę. Podczas rejestracji GIODO skupia się jednak wyłącznie na weryfikowaniu wymagań formalnych. Resztę powinien sprawdzić ten, kto powołuje ABI.

– Przedsiębiorca czy urzędnik powinni pamiętać, że w ostatecznym rozrachunku to oni przecież poniosą odpowiedzialność za ewentualne nieprawidłowości związane z ochroną danych. To im powinno więc zależeć, by ABI dawał gwarancję bezpieczeństwa. Wiedząc, że pracuje już dla kilkudziesięciu innych podmiotów, nie powinni więc powoływać go u siebie – mówi Andrzej Lewiński.

Jak sprawdzić osobę, którą zamierza się powołać na własnego ABI? Wystarczy wejść na stronę https://egiodo.giodo.gov.pl/abi_register.dhtml, gdzie udostępniony jest rejestr prowadzony przez GIODO i wpisać nazwisko kandydata. System wskaże nam, dla ilu administratorów danych osobowych już pracuje.

Obserwatorzy wciąż kształtującego się rynku zwracają uwagę na jeszcze inne zagrożenia. Zdarza się, że ABI zostaje informatyk dostarczający oprogramowanie. Problem w tym, że choć może ono zapewniać najbardziej zaawansowaną ochronę informatyczną, to tylko specjalista będzie w stanie stworzyć kompletną politykę bezpieczeństwa. Pojawiły się też firmy, które pośredniczą w wyszukiwaniu i kojarzeniu ABI. To też może rodzić wątpliwości.

– Choć zamysłem ustawodawcy była możliwość korzystania z usług zewnętrznych ekspertów, to nam nie chodziło o to, by de facto dawali oni wyłącznie swoje nazwisko, a rzeczywiste obowiązki wykonywali inni. Wówczas ustawodawca pozwoliłby po prostu, by funkcje ABI mogły pełnić osoby prawne. Tymczasem celowo są to osoby fizyczne, które muszą wykazać się określonymi przymiotami, takimi jak niekaralność czy wystarczająca wiedza – tłumaczy dr Paweł Litwiński. 

Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy INFOR Biznes. Zapoznaj się z regulaminem i kup licencję

Reklama


Źródło:Dziennik Gazeta Prawna

Polecane

Reklama

  • aaa(2016-03-16 15:45) Odpowiedz 50

    No jest jeszcze chyba ktoś taki jak Zastępca ABI... może sobie mieć jeden ABI w pakiecie i 200 firm ale jak ma ludzi, którzy mu w tym pomagają to wykona obowiązki lepiej niż Pan Litwiński, który w rejestrze ABI w ogóle nie figuruje a się wypowiada ;p

  • Może nie od tej strony panowie.(2016-03-16 08:26) Odpowiedz 20

    Dla mnie działalność GIODO jest bez sensu. Główne zagrożenie stanowią sieci teleinformatyczne, a nie szafki w przedsiębiorstwach. Jakoś nie słyszałem, żeby GIODO badał szczelność systemów informatycznych np. na ataki systemów PRISM a wcześniej ECHELON, albo na haking biznesowy. To, że do jakiegoś papieru będzie miała dostęp sprzątaczka czy nawet osoba postronna nie spowoduje żadnego zagrożenia, a ewentualne straty (dobra osobiste) można dochodzić w postaci roszczeń z powództwa cywilnego. Natomiast wykradanie baz danych obywateli polskich - to może być poważny problem. Tymczasem para idzie w bezsensowny gwizdek, a istota problemu zostaje nierozwiązana.

  • x(2016-03-15 20:24) Odpowiedz 20

    Kidy GIODO wprowadzi zapowiadany zakaz skanowania dowodów osobistych przez banki i operatorów telekomunikacyjnych?

  • ja(2016-03-16 07:52) Odpowiedz 10

    to było uzgadniane przy kawie na jakimś tam spotkaniu i pewnie nie obowiązuje

  • Alex(2016-03-15 18:50) Odpowiedz 10

    Spoko, kto się tym przejmuje. Gdzieś tu opisano jak to za chwilę ruszy program 500+ i trzymanie wniosków w niezarejestrowanych zbiorach, bo nie zdążą z rejestracją przez pierwszym kwietnia. Czy GIODO równie chętnie zajmie się ściganiem urzędników? Idę o zakład, że nie.

Twój komentarz

Zanim dodasz komentarz - zapoznaj się z zasadami komentowania artykułów.

Widzisz naruszenie regulaminu? Zgłoś je!

Redakcja poleca

Prawo na co dzień

Galerie

Wyszukiwarka kancelarii

SzukajDodaj kancelarię

Polecane

Reklama