Niebawem w sektorze bankowym, ubezpieczeniowym, medycznym, a nawet handlowym nie obejdzie się bez ABI - mówi w wywiadzie dla DGP Andrzej Lewiński, zastępca generalnego inspektora ochrony danych osobowych.
Od ponad roku obowiązują przepisy, które miały zachęcić zarówno administrację publiczną, jak i prywatne firmy do powoływania administratorów bezpieczeństwa informacji (ABI). Zachęciły?
W pewnej mierze tak, choć jednak nie wszystkich równie skutecznie. Przykładowo – nie wszystkie ministerstwa powołały ABI. Dlaczego? Ponieważ panuje przekonanie, że ABI będzie wtyczką generalnego inspektora ochrony danych osobowych. Skoro GIODO może mu nakazać sprawdzenie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, to znaczy, że mamy w strukturach potencjalnego szpiega. Niestety, takie myślenie wciąż pokutuje.
Gdybym mógł wybierać, czy sprawdza mnie mój własny ABI, czy kontrolerzy przysłani przez GIODO, to wolałbym to pierwsze.
No właśnie. Tym bardziej dziwi mnie niechęć niektórych podmiotów do powoływania ABI. Nawet jeśli GIODO zażąda sprawdzenia, to ostateczny raport i tak musi być podpisany przez kierownika jednostki. Wie on zatem doskonale, co w nim się znajduje. Nie można więc mówić, że ABI jest wtyczką GIODO. Jest sojusznikiem administratora danych, tyle że musi stać na straży wszystkich obowiązujących przepisów prawa.
Co więcej, wydaje mi się, że powoływanie ABI jest zwyczajnie opłacalne. GIODO wychodzi bowiem z założenia, że tam, gdzie on jest, poziom ochrony danych jest odpowiedni. Nawet jeśli na administratora, który powołał ABI, wpłynie skarga, to GIODO nie wysyła od razu kontroli, tylko właśnie za pośrednictwem ABI prosi o sprawdzenie i ewentualne podjęcie działań naprawczych. Tymczasem gdy nie ma ABI, wysyłamy inspekcję. Dlatego uważam, że powołanie ABI jest ze wszech miar korzystne i również trudno mi zrozumieć, dlaczego tylko niektórzy się na to decydują.
Andrzej Lewiński, zastępca generalnego inspektora ochrony danych osobowych / Dziennik Gazeta Prawna
Z drugiej jednak strony przepisy nie zmuszają przecież do powoływania ABI, więc każdy ma wolny wybór.
To prawda, w naszych regulacjach przyjęto zasadę dobrowolności. Natomiast w Niemczech obowiązują już przepisy, które do tego obligują. Moim zdaniem to lepsze rozwiązanie. Już w 2005 r. Komisja Europejska uznała, że powoływanie ABI jest podstawowym elementem gwarancji odpowiedniej ochrony danych osobowych. Nowe rozporządzenie unijne o ochronie danych osobowych, nad którym prace są już w zasadzie ukończone, też będzie wymagało zatrudnienia Data Protection Officera, czyli inspektora ochrony danych. Choć jego nazwa jest nieco inna, to jednak funkcja ta sama. Zgodnie z rozporządzeniem wszystkie instytucje publiczne muszą powołać taką osobę, a firmy prywatne – w zależności od charakteru przetwarzanych danych, ich ilości i charakteru. W sektorze bankowym, ubezpieczeniowym, medycznym, a nawet handlowym zazwyczaj nie obejdzie się bez ABI.
Ilu ABI dotychczas zarejestrowano?
Ponad 16 tys., z czego większość w szeroko rozumianej administracji publicznej. Dla przykładu: szkoły podstawowe zgłosiły ok. 1500 ABI, policja – ponad 100, sądy – 173, prokuratury – 129, gminy – 1200. Można powiedzieć, że ok. dwóch trzecich zgłoszeń dotyczy sektora publicznego, a jedna trzecia – biznesu.
I to mimo że prywatnych firm jest więcej niż instytucji publicznych?
Myślę, że część przedsiębiorców jest nieświadoma nawet tego, że musi rejestrować zbiory danych, część z premedytacją nie chce powoływać ABI. Kiedyś pewien adwokat powiedział mi w rozmowie prywatnej, że sam zaleca klientom, aby nie rejestrowali zbiorów danych, bo wówczas pozostają niewidzialni dla GIODO. To oczywiście nieprawda i konsekwencje unikania wypełniania ustawowych obowiązków mogą być poważne. Zwłaszcza po wejściu w życie nowego rozporządzenia, które przewiduje za to wysokie kary finansowe.
ABI ma ustawowo zagwarantowaną niezależność. Z drugiej jednak strony płaci mu przecież pracodawca. Czy niezależność może więc być zapewniona?
W interesie administratora danych jest, by ABI był faktycznie niezależny, czemu sprzyjać ma ustawowo gwarantowana bezpośrednia podległość kierownikowi zakładu pracy. Tym samym ABI nie może podlegać np. szefowi działu kadr, szefowi działu prawnego czy dyrektorowi ds. informatycznych. Tymczasem zdarza się, że na ABI powoływani bywają pracownicy pionów bezpieczeństwa, a czasem nawet ich wicedyrektorzy. To złe rozwiązanie, gdyż prowadzi do oczywistego konfliktu interesów. Przecież zadaniem ABI jest m.in. kontrolowanie zabezpieczeń, a więc tak naprawdę zastępca sprawdza własnego szefa. Trudno wówczas o zapewnienie niezależności. Poprawnym rozwiązaniem jest taka organizacja pracy ABI, by był niezależny i podległy kierownictwu zakładu pracy. Zgodnie z przyszłym rozporządzeniem: „ABI – DPO podlega najwyższemu kierownictwu administratora”. Takich problemów nie ma np. przy pełnomocnikach ds. informacji niejawnych. Tu już każdy wie, że są oni niezależni i odpowiadają wyłącznie przed kierownikiem zakładu pracy.
Przeglądając rejestr ABI, można zauważyć, że zdarzają się wśród nich osoby, które zostały zgłoszone jednocześnie nawet przez kilkadziesiąt podmiotów. To dopuszczalne?
Formalnie tak, choć trudno mi wyobrazić sobie, by jedna osoba mogła wykonywać obowiązki ABI w kilkudziesięciu różnych instytucjach czy firmach. Należy się zastanowić, czy w takiej sytuacji możliwe jest należyte wykonanie wszystkich ciążących na ABI obowiązków. Spotykam się także ze skargami osób, którym przydzielono zadania ABI, ale mają je wykonywać dodatkowo i stanowią one np. jedną piątą czasu pracy. Przy codziennym przetwarzaniu danych w zasadzie powinno to być oddzielne stanowisko, przeznaczone tylko dla zadań ABI.
W ramach obchodów Dnia Ochrony Danych Osobowych dzisiaj w Akademii Leona Koźmińskiego odbędzie się przygotowana wspólnie z GIODO konferencja „Nowa rola i pozycja administratorów bezpieczeństwa danych”, nad którą patronat sprawuje DGP.
Administratorom bezpieczeństwa informacji poświęcony jest też właśnie uruchomiony serwis internetowy https://abi.giodo.gov.pl/