Czy dzisiejsi administratorzy bezpieczeństwa informacji automatycznie powinni zostać inspektorami ochrony danych? GIODO jest przekonany, że to bardzo dobry pomysł.
W tej chwili w Polsce jest ok. 15 tys. administratorów bezpieczeństwa informacji (ABI). To niezależni eksperci znający się na ochronie danych osobowych wpisani do specjalnego rejestru generalnego inspektora ochrony danych osobowych. Choć nie musieli zdawać urzędowych egzaminów, to jednak przepisy wymagają od nich posiadania niezbędnej wiedzy.
Od 25 maja 2018 r. ABI przestaną istnieć. Zacznie wówczas obowiązywać nowe unijne rozporządzenie o ochronie danych osobowych. Przewiduje ono również funkcjonowanie niezależnych ekspertów zajmujących się ochroną danych, którzy będą nazywać się inspektorami ochrony danych (IOD).
Przepisy przejściowe
Zmiana nie sprowadza się wyłącznie do nazewnictwa. IOD będą mieli dodatkowe obowiązki, stawia się też im nowe wymagania. Zdaniem GIODO można jednak mówić o nich jako o kontynuatorach pracy ABI. Dlatego też proponuje on uchwalenie przepisu przejściowego, zgodnie z którym zarejestrowani ABI staliby się z mocy prawa IOD. Nie trzeba byłoby ich na nowo wyznaczać ani rejestrować.
– Dotychczasowy status ABI miał na celu przygotowanie ich do pełnienia funkcji IOD. I to się udało – mamy grupę profesjonalistów, którzy są gotowi do realizacji przepisów unijnego rozporządzenia – przekonywała na zorganizowanej w minionym tygodniu konferencji dr Edyta Bielak-Jomaa, GIODO.
Projekt nowej ustawy, która ma wdrożyć unijne przepisy, przygotowuje jednak nie ona, tylko Ministerstwo Cyfryzacji. Ono zaś widzi pewne niebezpieczeństwa związane z automatycznym przekształceniem ABI w IOD. Chodzi m.in. o nowe obowiązki, jakie nakłada na inspektorów unijne rozporządzenie. Być może nie każdy ABI będzie czuł się na siłach im sprostać. Automatyczne wpisanie go do nowego rejestru stawiałoby go niejako pod ścianą.
– Każdy powinien mieć możliwość samodzielnego zdecydowania, czy chce podjąć nowe wyzwania, czy też nie – uważa dr Maciej Kawecki z Ministerstwa Cyfryzacji, który przygotowuje projekt nowej ustawy o ochronie danych osobowych.
Wątpliwości jest więcej. Unijne rozporządzenie wprowadza możliwość wspólnego zarządzania danymi przez spółki należące do tej samej grupy kapitałowej. Tym samym całe grupy będą mogły ustanowić jednego IOD. Nie ma więc sensu, by dotychczasowi ABI powołani dla każdej ze spółek osobno zostali wpisani do nowego rejestru.
A co na to sami administratorzy?
– Jeszcze nie przygotowaliśmy ostatecznego stanowiska, wciąż spływają opinie od naszych członków – odpowiada Maciej Byczkowski, prezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji.
– Niemniej jednak nie ukrywam, że zarysowały się już pewne wątpliwości. Przede wszystkim nie jesteśmy pewni, czy takie ustawowe przekształcenie wszystkich ABI w inspektorów ochrony danych jest zgodne z rozporządzeniem unijnym. Rozporządzenie nic bowiem o tym nie wspomina. Mamy też wątpliwości, czy dotychczasowi ABI spełniają wszystkie wymagania kwalifikacyjne, jakie stawiane są IOD w przepisach – dodaje.
Stowarzyszenie ma przedstawić swoje stanowisko we wtorek na spotkaniu w Ministerstwie Cyfryzacji. To właśnie od niego w dużej mierze będzie zależeć decyzja, w którą stronę pójdą przepisy. Wstępnie jest rozważana koncepcja trzymiesięcznego okresu, w trakcie którego ABI mogliby zgłaszać chęć zostania IOD, a wówczas byliby wpisywani do rejestru. Brak notyfikacji oznaczałby rezygnację z funkcji.
Inspektor wymagany
Ustanowienie ABI jest dzisiaj dobrowolne. Firmy czy instytucje publiczne powołują ich ze względu na związane z tym udogodnienia (np. brak obowiązku rejestracji zbiorów danych), ale przede wszystkim po to, by bardziej profesjonalnie chronić dane. Od 25 maja 2018 r. część podmiotów będzie zmuszona powołać IOD. Dotyczy to wszystkich instytucji publicznych (z pominięciem sądów w zakresie sprawowania wymiaru sprawiedliwości). Jeśli chodzi o przedsiębiorców, decydować będą charakter i zakres przetwarzanych informacji. IOD będzie musiał zostać powołany tam, gdzie przetwarza się na dużą skalę szczególne kategorie danych lub też działalność wiąże się z systematycznym monitorowaniem osób.
Pod koniec minionego roku unijna Grupa Robocza Art. 29 (zrzesza organy ochrony danych z całej UE) wydała wytyczne podpowiadające, jak rozumieć nowe przepisy. Jako przykłady przetwarzania danych na dużą skalę wymieniła przetwarzanie danych przez dostawców usług telefonicznych, ale także do celów reklamy behawioralnej. IOD będzie też musiał zostać powołany przez szpital przetwarzający dane pacjentów. Ale już lekarz prowadzący prywatną praktykę zazwyczaj będzie zwolniony z tego obowiązku.
Jednym z nowych oczekiwań, jakie unijne przepisy stawiają przed inspektorami, będzie badanie wpływu na prywatność. Już na etapie projektowania systemu obarczonego dużym ryzykiem inspektor będzie musiał zdiagnozować potencjalne problemy. Wymagać to będzie nie tylko specjalistycznej wiedzy, ale też doświadczenia, które niekoniecznie muszą posiadać dotychczasowi ABI.