Na ile niezależny od pracodawcy może być jego pracownik? Co w sytuacji, gdy przedsiębiorcy nie podoba się kształt sprawozdania, jakie jego administrator bezpieczeństwa informacji przygotował dla GIODO? O pytaniach rodzących się na gruncie nowych przepisów rozmawiali uczestnicy debaty DGP
Na ile niezależny od pracodawcy może być jego pracownik? Co w sytuacji, gdy przedsiębiorcy nie podoba się kształt sprawozdania, jakie jego administrator bezpieczeństwa informacji przygotował dla GIODO? O pytaniach rodzących się na gruncie nowych przepisów rozmawiali uczestnicy debaty DGP
/>
/>
/>
/>
/>
Obowiązująca od początku roku nowelizacja ustawy o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.) ma zachęcać przedsiębiorców do powoływania administratorów bezpieczeństwa informacji (ABI). Niektórzy jednak zastanawiają się, dlaczego mieliby powoływać kogoś, kto będzie bardziej reprezentantem generalnego inspektora ochrony danych osobowych niż ich samych, skoro to oni będą musieli mu płacić. Czy nie mamy tu do czynienia z pewną sprzecznością?
Andrzej Lewiński Zanim zaczniemy mówić o ostatniej nowelizacji, warto spojrzeć wstecz. Gdy 17 lat temu projektowano i uchwalano system ochrony danych osobowych, nikt nie przypuszczał, że zwyczajnie nie będziemy w stanie zagwarantować rejestracji 2 mln zbiorów danych osobowych, bo tyle szacunkowo jest podmiotów, które powinny to uczynić. Dzisiaj z tych 2 mln jest zarejestrowanych może 10 proc. Co oznacza, że zdecydowana większość administratorów danych nie wypełnia ciążących na nich obowiązków.
Przyjęty w Polsce model za naruszenie przepisów ustawy o ochronie danych osobowych przewiduje odpowiedzialność karną, lecz o rodzaju i wysokości kary decyduje sąd. Moim zdaniem to błąd. Dużo skuteczniejszym rozwiązaniem byłoby przyznanie GIODO możliwości nakładania kar finansowych. Generalny inspektor i tak zyska tego rodzaju uprawnienie, gdy uchwalone zostanie nowe unijne rozporządzenie dotyczące ochrony danych osobowych, które przewiduje, że wysokość takich kar może sięgać nawet do 100 mln euro.
Dzisiaj GIODO, gdyby rygorystycznie chciał przestrzegać przepisów ustawy, w zasadzie powinien porównać rejestry przedsiębiorców z prowadzonym rejestrem zbiorów danych osobowych i uwzględnić tych, którzy są zwolnieni z obowiązku rejestracji zbioru, natomiast wobec pozostałych powinien skierować do prokuratury zawiadomienia o popełnieniu przestępstwa. Na szczęście obowiązująca od 1 stycznia 2015 r. nowelizacja wprowadza rozwiązania, które umożliwiają wyjście z tego impasu. Otóż ci administratorzy danych, którzy powołają ABI, nie będą musieli rejestrować zbiorów danych osobowych u GIODO.
Grzegorz Sibiga Warunek niezależności ABI w wykonywaniu zadań nie jest pomysłem polskiego ustawodawcy. Jeżeli chcemy zwolnić administratora danych osobowych (ADO) z obowiązku rejestracji zbiorów danych osobowych, to musimy zagwarantować niezależność ABI. To wynika z obowiązującej dyrektywy 95/46/WE, a także jest przewidziane w projekcie nowego unijnego ogólnego rozporządzenia w sprawie ochrony danych, nad którym trwają prace. Zresztą nie jest to novum w prawie polskim. Innymi przykładami osób wykonujących świadczenia za wynagrodzeniem, ale zachowujących niezależność w realizacji zadań merytorycznych, są audytorzy wewnętrzni w finansach publicznych czy pełnomocnicy do spraw ochrony informacji niejawnych.
Nowe przepisy dają przedsiębiorcom i pozostałym administratorom danych osobowych wybór: czy powołują ABI, czy też na siebie biorą odpowiedzialność za zapewnienie przestrzegania przepisów o ochronie danych osobowych w swojej sferze wewnętrznej. Dlatego zarzut, że zatrudniam osobę, której płacę, ale która nie jest podporządkowana wszystkim moim poleceniom, uważam za chybiony.
Arwid Mednis Ja z kolei muszę przyznać, że nie dziwię się przedsiębiorcom, którzy nieco zżymają się, że ustawa mająca odciążyć ich od obowiązków w rzeczywistości przysparza im nowych. Owszem, jeśli powołają ABI, to mają trochę lżej, bo nie muszą rejestrować większości swoich zbiorów. Za to ich ABI otrzymali nowe obowiązki. Jeśli przedsiębiorca nie powoła ABI, to i tak większość tych obowiązków będzie musiał wykonać sam.
Niemniej pochwalam przyjęty model wyboru. Przedsiębiorca czy inny administrator danych osobowych może sam zdecydować, która opcja mu bardziej odpowiada. Ale już teraz pojawiają się pytania, co jeśli pracodawca zatrudniający ABI nie zgadza się z jego sprawozdaniem do GIODO: płacę ci za to, więc wymagam, abyś napisał tak, jakbym chciał. To są sytuacje, które bez wątpienia będą się zdarzały.
Marek Bugała Patrząc z perspektywy przedsiębiorcy, uważam, że zmiana jest dobra. Każdy przedsiębiorca sam zdecyduje, czy idzie starym trybem, czy też powołując ABI, podnosi standard swych usług i jednocześnie wprowadza lepsze zabezpieczenia. Z drugiej strony, przynajmniej do momentu wydania rozporządzeń wykonawczych, nie do końca wiemy, jakie wymagania powinien spełnić ABI. To jest dylemat, który staje przed przedsiębiorcami. Komu zlecić zadanie dbania o bezpieczeństwo informacji.
Dla firmy Iron Mountain – lidera świadczącego usługi skutecznego zarządzania informacją, powołanie ABI było oczywistością. Dbając o bezpieczeństwo danych, musieliśmy powołać osobę, która się tym zajmie. Rzeczywiście, jest to stanowisko nie do końca zależne od przedsiębiorcy, ale jednocześnie gwarantuje zachowanie standardów zapewniających mu bezpieczeństwo. Jako przykład stosowania dobrych praktyk w naszej firmie podam umowy zawierane z klientami – każda z nich, zawierająca element przetwarzania danych osobowych, musi być akceptowana przez ABI.
Paweł Litwiński Decyzja dotycząca powołania ABI to ze strony przedsiębiorcy wyraz pewnej troski o należytą ochronę danych osobowych – trudno sobie wyobrazić administratora danych, który poważnie podchodzi do ochrony danych osobowych w swojej organizacji, a jednocześnie nie podejmie świadomej decyzji dotyczącej ABI. Ale decyzja o powołaniu ABI powinna być decyzją przemyślaną: przez przedsiębiorcę i przez samego ABI. Dla przedsiębiorcy powołanie ABI może oznaczać dodatkowe koszty (w końcu musi temu ABI zapłacić wynagrodzenie), ale może też oznaczać korzyści, choćby w postaci bardzo istotnego ograniczenia obowiązku rejestracji zbiorów danych, o czy wspomniał pan minister. Dla ABI zgoda na powołanie będzie oznaczała nowe obowiązki, bo przepisy obowiązujące od 1 stycznia wreszcie je precyzują.
Arwid Mednis Uważam za skandal, że wciąż nie ma dwóch najważniejszych rozporządzeń wykonawczych dotyczących ABI. Zwłaszcza że pamiętam wyrok sądu, który – akurat w przypadku prawa telekomunikacyjnego – uznał, że nawet jeśli nie ma aktów wykonawczych, to i tak nowe obowiązki ustawowe należy wypełniać. ABI są już rejestrowani, a jednocześnie wciąż nie wiadomo, jakie obowiązki mają wypełniać.
ABI ma teoretycznie zagwarantowaną niezależność. Mamy jednak taki, a nie inny rynek pracy. ABI, jak każdy inny pracownik, będzie podlegać naciskom pracodawcy. Jak w takiej sytuacji mówić o jego niezależności?
Grzegorz Sibiga Nie mówimy tu o pełnej niezależności od pracodawcy, tylko o niezależnym wykonywaniu zadań określonych w ustawie i związanych z ochroną danych osobowych. Tak naprawdę to nic nowego – to podobna sytuacja, jak z radcami prawnymi zatrudnianymi na etacie przedsiębiorcy czy urzędu, którzy nie są związani poleceniem co do treści opinii prawnej. Kryterium ich czynności dla pracodawcy jest zapewnienie zgodności z przepisami prawa. W przypadku ABI tym kryterium jest zapewnienie zgodności przetwarzania danych z określonymi prawem zasadami ochrony danych osobowych.
Zresztą obiektywna opinia ABI leży w interesie przedsiębiorcy, który dąży do prawidłowej ochrony danych osobowych. Jeżeli z jakiejkolwiek przyczyny uzna on, że nie potrzebuje takiej niezależnej opinii, to zwyczajnie nie powołuje ABI, czyli wybiera wariant samodzielnej odpowiedzialności za ochronę danych osobowych. Oczywiście w tym drugim wariancie może również w sposób w pełni prawidłowy wykonywać obowiązki z tym związane.
Arwid Mednis Przykład radców prawnych zatrudnianych na etacie jest bardzo dobry. Z jednej strony oczywiste jest, że kierownicy mają tendencję, by wymuszać coś na swoich pracownikach, z drugiej jednak nie słyszałem, by był to jakiś poważniejszy problem w przypadku radców prawnych i ich niezależności. I rzeczywiście, jest możliwość wyboru – nikt nikogo nie zmusza, by powoływał ABI.
Andrzej Lewiński Przedsiębiorca czy inny podmiot przetwarzający dane osobowe musi sam sobie odpowiedzieć na podstawowe pytanie – czy chce przestrzegać ustawy o ochronie danych osobowych. Jeśli chce, to z pewnością zatrudni osobę, która będzie pomagać mu w realizacji ustawowych obowiązków. Dodam jeszcze, że ABI nie jest reprezentantem GIODO, tak samo jak radca prawny nie jest reprezentantem okręgowej izby radców prawnych. To strażnik ochrony danych osobowych. To jego misja, tak jak misją lekarza jest leczenie.
Paweł Litwiński Uważam, że naciski na ABI niestety będą się zdarzać, zwłaszcza wtedy gdy ABI będzie musiał przygotować sprawozdanie na polecenie GIODO. Niestety, ustawa nie zawiera żadnych formalnych gwarancji niezależności ABI poza obowiązkiem samego administratora danych, aby zapewnił ABI środki i organizacyjną odrębność niezbędne do niezależnego wykonywania przez niego ustawowych zadań ABI. Co się stanie, jeżeli przedsiębiorca tych wymagań nie spełni? Sam naruszy przepisy o ochronie danych osobowych – ale skutkiem tego naruszenia będzie brak niezależności po stronie ABI. Choć koniec końców i tak problem sprowadza się do pytania, czy przedsiębiorca chce przestrzegać przepisów o ochronie danych osobowych.
Arwid Mednis Tyle że może o to zadbać, nie powołując ABI. Równie dobrym rozwiązaniem będzie powierzenie tych zadań osobie, którą nazwie np. inspektorem ochrony danych osobowych i której nie zgłosi do rejestracji u GIODO. Powiem więcej – znam przypadki firm, które z nowym rokiem celowo odwołały ABI, aby nie podlegali oni obowiązkowi zgłaszania. Oczywiście osoby te nadal zajmują się bezpieczeństwem danych, ale nie nazywają się już ABI.
Andrzej Lewiński Z mojej perspektywy każde z tych dwóch rozwiązań jest dobre. Ważne, by przedsiębiorca zapewniał ochronę danych osobowych i wypełniał ustawowe obowiązki. Tymczasem dla wielu nie jest to wcale oczywiste. Podam przykład z ostatnich dni. Dzwoni do mnie przedsiębiorca i zaczyna się dopytywać, czy powinien coś zgłaszać, bo dotychczas tego nie robił, ale teraz w związku z nowelizacją przepisów usłyszał o ciążących na nim obowiązkach. Pytam się, ile lat prowadzi działalność gospodarczą. Odpowiada, że 20. A więc od 17 lat narusza przepisy prawa i nie ma tego świadomości. Tymczasem grozi mu za to odpowiedzialność karna.
Marek Bugała Przedsiębiorca musi pamiętać, że zatrudnienie ABI nie zwalnia go z odpowiedzialności. Pracownik taki podpowiada mu, co jest zgodne z prawem, a co nie jest, ostateczna decyzja biznesowa należy jednak do przedsiębiorcy. Tak samo jest z powołaniem ABI. Przedsiębiorca sam decyduje, czy chce rejestrować swe zbiory i sam pilnować przestrzegania ustawy, czy woli być z tego zwolniony po zgłoszeniu ABI. Tak samo jak z korzystaniem z pomocy radcy prawnego: może go zatrudnić na etat, może zwrócić się do niezależnej kancelarii, a może wreszcie uznać, że w ogóle obejdzie się bez prawnika.
Dlatego też nie widzę specjalnego problemu, jeśli chodzi o niezależność ABI. On ma po prostu doradzać przedsiębiorcy, jak powinien postąpić, aby być w zgodzie z przepisami. Jeśli nasza firma przetwarza kilka tysięcy zbiorów danych osobowych, to zwyczajnie nie wyobrażam sobie, byśmy mogli obyć się bez ABI.
Nowelizacja jest przedstawiana jako ułatwienia dla przedsiębiorców, zresztą była częścią czwartej transzy deregulacyjnej. Przeczytam jednak państwu komentarz jednego z naszych czytelników. Pod jednym z naszych tekstów napisał on: „powołanie ABI będzie oznaczało wzrost niepotrzebnych biurokratycznych obowiązków. Dużo prościej jest zgłosić zbiór do GIODO”. Kto ma rację?
Arwid Mednis Bardzo podobną myśl wyraziłem na swoim blogu www.prawomowni.pl, pisząc, że w gruncie rzeczy ta zmiana nie jest ułatwieniem dla przedsiębiorcy, tylko raczej dla GIODO, który będzie miał mniej zarejestrowanych zbiorów. Rzeczywiście jeśli firma zdecyduje się na powołanie ABI, to dojdą jej nowe obowiązki. Dlatego nie dziwię się przedsiębiorcom, którzy odwołują swoich ABI. To jak najbardziej zdroworozsądkowe podejście.
Paweł Litwiński Też skłaniam się ku takiej diagnozie – zresztą czas pokaże, jak przedsiębiorcy podejdą do możliwości powołania ABI. Czas, a konkretnie liczby – zobaczymy po pół roku obowiązywania ustawy, ilu ABI zostało zgłoszonych do rejestracji w GIODO. Stawiam tezę, że będzie ich znacznie mniej, niż nam się wszystkim wydaje, bo duża część przedsiębiorców wybierze jednak model dotychczasowy, w którym sami będą wypełniać obowiązki ustawowe.
Andrzej Lewiński Ja tymczasem uważam, że powoływanie ABI jak najbardziej ma sens. Ostatnio wyraziłem to na spotkaniu z komendantami wojewódzkimi policji jako administratorami danych osobowych. Spytałem wprost – kto z was jest na tyle odważny i ma odpowiedni zasób wiedzy, by wziąć pełnię odpowiedzialności na siebie. Muszę jednak coś dodać. Mówiliśmy o dwóch grupach – o tych, którzy powołają ABI, i o tych, którzy sami będą wypełniać obowiązki wynikające z ustawy. Tymczasem jest jeszcze trzecia grupa – ci, którzy nadal będą ignorować przepisy. Na jednym ze spotkań miałem okazję usłyszeć od pewnego z mecenasów, że on swoim klientom doradza, by siedzieli cicho i nie pokazywali, że cokolwiek mają do zarejestrowania.
Grzegorz Sibiga Decyzja administratora danych o tym, czy powołać ABI, czy też nie, może zależeć od bardzo wielu czynników. Zwolnienie z obowiązku rejestracji zbiorów danych osobowych wcale nie musi tu być najważniejsze. Przykładowo dużo istotniejsze mogą być chociażby względy biznesowe związane z jakością świadczenia usług opartych na przetwarzaniu danych osobowych. Powołując ABI, daję sygnał swoim zleceniodawcom lub innym kooperantom gospodarczym, że w sposób szczególny dbam o swoje i ich dane. Przechodzę na wyższy poziom jakości w moich usługach. W ten sposób mogę stać się bardziej wiarygodny w ich oczach.
Pamiętajmy jednak, że jednym z podstawowych celów przepisów o ochronie danych osobowych jest stworzenie odpowiednich gwarancji ochrony prawa. Dlatego też oceniając tę nowelizację warto jednak odnieść ją do stanu prawnego sprzed 1 stycznia 2015 r. A tamten był nieakceptowalny. W ustawie występował tylko jeden lakoniczny przepis, który wspominał o ABI i bardzo ogólnie określał jego zadania, i nic poza tym. To zaś powodowało ogromną niejednolitość w podejściu do wyznaczania ABI, jego umiejscowienia w strukturze jednostki i powierzanych mu obowiązków. Z tej perspektywy nowe przepisy są bez wątpienia dużo lepsze dla realizacji zadań ochrony danych osobowych i porządkują stan rzeczy.
Marek Bugała Przed nowelizacją ustawy funkcja ABI nie miała większego znaczenia w przedsiębiorstwie. Biorąc pod uwagę zakres kompetencji ABI po nowelizacji ustawy, jego wartość bardzo wzrasta. Zdecydowanie jego powołanie ma sens. Dla przedsiębiorców, którzy chcą dbać o wizerunek firmy, powołanie ABI powinno mieć olbrzymie znaczenie. Dbając przede wszystkim o dobro przedsiębiorstwa i politykę jakości.
Paweł Litwiński Pełna zgoda co do pozycji prawnej i obowiązków ABI. Ale wobec możliwości wyboru – powołać ABI czy nie powołać – duzi gracze z sektora np. usług finansowych czy telekomunikacyjnych na pewno ABI powołają. Podobnie zrobią ci ABI, którzy funkcjonują w modelu outsourcingu, mają własne firmy świadczące usługi ABI – na pewno zgłoszą się jako ABI w tych swoich firmach. Ale jak postąpi większość, tego nie sposób przewidzieć. Sygnały, jakie do mnie docierają, są na dzisiaj takie, że wiele firm się poważnie zastanawia i kalkuluje, co będzie dla nich bardziej korzystne.
Wiadomo, że podmioty, które powołają ABI, nie będą musiały rejestrować nowych zbiorów. Pojawiła się jednak wątpliwość, co z tymi, które już są zarejestrowane.
Andrzej Lewiński Odpytałem na tę okoliczność uczestników procesu legislacyjnego, którzy przyznali, że zwyczajnie zapomniano o tej kwestii. Przepisy w żaden sposób nie wskazują, co zrobić ze starymi zbiorami. Początkowo mój prywatny pogląd był taki, że po rejestracji ABI zbiory danych powinny być kasowane. Tak podpowiadałaby logika i zdrowy rozsądek. Rzeczywiście jednak nie ma do tego podstawy w ustawie. Dlatego też stare zbiory pozostaną w rejestrze w formie quasi-archiwalnej. Ich administratorzy nie będą jednak musieli zgłaszać dokonywanych zmian.
Paweł Litwiński Wykreślenie z urzędu nie wchodzi w grę, nie ma do tego podstawy prawnej. Rejestr będzie więc nieaktualny niejako z założenia – choć może dałoby się to jakoś rozwiązać na poziomie samego GIODO?
Grzegorz Sibiga Mógłbym podpowiedzieć rozwiązanie, które będzie w pewien sposób uwzględniało obecny dualizm w rejestracji zbiorów danych. W przypadku powołania i zgłoszenia ABI to on będzie bowiem prowadził wewnętrzny rejestr zbiorów u administratora danych, natomiast dla innych administratorów nadal organem rejestrowym będzie GIODO.
W mojej ocenie w sytuacji zwolnienia z obowiązku wobec GIODO dotychczas wpisane zbiory rzeczywiście powinny pozostać w jego rejestrze, gdyż nie ma podstawy do ich wykreślenia. Jeśli jednak zostanie powołany ABI, to przy takim zbiorze mogłaby być umieszczana informacja o powołaniu z odpowiednim odesłaniem do rejestru ABI oraz pouczeniem, że ABI prowadzi jawny rejestr wewnętrzny ze zbiorami danych. W ten sposób zainteresowani wiedzieliby, że zbiór nie jest aktualizowany w rejestrze GIODO i do kogo powinni się zwrócić w razie, gdyby chcieli otrzymać informacje o zbiorach danych.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję
Reklama
Reklama