Firmy muszą zgłosić do GIODO nie tylko powołanie administratora bezpieczeństwa informacji, lecz czasami także decyzję o jego niepowołaniu. Tylko że o tym nie wiedzą
Coraz więcej powołanych administratorów / Dziennik Gazeta Prawna
Przedsiębiorcy decydujący się na powołanie administratora bezpieczeństwa informacji (ABI) zdają sobie sprawę z obowiązku zgłaszania tego generalnemu inspektorowi ochrony danych osobowych. Od początku tego roku, kiedy weszła w życie nowelizacja ustawy o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182), złożono już 2781 wniosków o rejestrację.
Wiele firm waha się jednak, czy powoływać ABI, bo ma wątpliwości, czy im się to opłaca. Nie brakuje tych, którzy wręcz decydują się na odwołanie dotychczasowych. Nie wszyscy jednak zdają sobie sprawę, że to również może wiązać się z koniecznością przesłania stosownej informacji do GIODO.
– Podmioty, które w przeszłości rejestrowały zbiory danych, zaznaczały na zgłoszeniu, czy mają ABI. Jeśli zaznaczyły, że mają, a teraz odwołały go, to muszą przesłać zgłoszenie aktualizujące. Podobnie będą musieli zrobić wszyscy, którzy nie powołają ABI do końca czerwca 2015 r. Wówczas minie przewidziany w przepisach okres przejściowy – wyjaśnia dr Grzegorz Sibiga, kierownik Zakładu Prawa Administracyjnego Instytutu Nauk Prawnych PAN.
Niby-administrator
Jeśli kogoś do powołania ABI zniechęcała procedura związana z przesłaniem zgłoszenia do GIODO, to powinien się upewnić, czy i tak nie musi tego robić. Trudno więc nie zadać pytania, czy powoływanie ABI w ogóle ma sens? Odpowiedź na nie próbowali znaleźć uczestnicy zorganizowanej przez wydawnictwo C.H.Beck konferencji. Zdania były podzielone. Doktor Arwid Mednis, radca prawny w kancelarii Wierzbowski Eversheds i wykładowca Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, zaobserwował, że wielu przedsiębiorców, którzy wcześniej mieli ABI, teraz ich odwołuje. Chociaż wykonują te same obowiązki, to nie podlegają już rejestracji u GIODO. Zazwyczaj też zmienia się nazwę pełnionej przez nich funkcji, np. na inspektora ochrony danych.
– Sporo argumentów przemawia za powołaniem takiego niby-ABI. Tak naprawdę poza zwolnieniem z obowiązku rejestracji zbiorów danych osobowych korzyści z ustanowienia ustawowego ABI nie są zbyt duże. A potencjalnych problemów sporo – wskazywał dr Arwid Mednis.
– Kierownik jednostki organizacyjnej musi zapewnić ABI niezależność, a także środki do wykonywania funkcji. Jeśli go powoła, to ewentualne sprawdzenie dokonywane na żądanie GIODO będzie się odbywało według określonych zasad, na które przedsiębiorca nie będzie miał wpływu. A jeśli tego nie zrobi, to dokona sprawdzenia według własnych zasad – wyliczał przykłady.
Właśnie ta swego rodzaju autokontrola może być jednym z punktów zapalnych między ABI a administratorem danych osobowych (ADO). Z jednej strony ten pierwszy ma zapewnioną niezależność, a po dokonaniu sprawdzenia przesyła raport do GIODO i musi wskazać w nim wszystkie zaobserwowane nieprawidłowości. Z drugiej jednak jest zatrudniany przez ADO, który wypłaca mu wynagrodzenie.
– To w sposób oczywisty może konfliktować ABI z ADO. Ten pierwszy, przesyłając swoje sprawozdania do GIODO, będzie postawiony w dziwnej sytuacji. Dlatego nie wykluczam, że część przedsiębiorców może rezygnować z ABI na rzecz jakichś pośrednich rozwiązań – zauważył prof. dr hab. Paweł Fajgielski z Katolickiego Uniwersytetu Lubelskiego.
Największą korzyścią z powołania ABI pozostaje zwolnienie z obowiązku rejestracji zbiorów danych osobowych u GIODO. Jeśli nie zawierają one danych o charakterze wrażliwym (np. zdrowotnych czy dotyczących wyznania), to ich rejestr prowadzi sam ABI. Tyle że najpierw trzeba jego samego zarejestrować u GIODO.
– Jeden obowiązek rejestracyjny zastąpiono drugim. Wielu przedsiębiorców uważa, że to żadne uproszczenie – podkreślał Xawery Konarski, adwokat w kancelarii Traple Konarski Podrecki i Wspólnicy.
Wymagania ustawowe
Co do jednego eksperci są zgodni – ostateczna odpowiedzialność za przetwarzanie danych zgodnie z prawem spoczywa na ADO. Tyle że jeśli powoła on ABI, to może mu powierzyć związane z tym obowiązki, np. szkolenia pracowników. Wcześniej musi się jednak upewnić, czy zostały spełnione ustawowe warunki, np. niekaralności kandydata, czy też jego kwalifikacje.
– Tu znów pojawia się niekonsekwencja ustawodawcy. Z jednej strony ADO poświadcza niekaralność ABI, z drugiej, jeśli nie jest jego pracodawcą, nie ma możliwości zweryfikowania tego w Krajowym Rejestrze Karnym – zauważył Xawery Konarski.
Przepisy nie wymagają od ABI wyższego wykształcenia. Musi on jednak mieć wiedzę na temat ochrony danych osobowych.
– To dobrze, bo przecież magister polonistyki może mieć gorsze predyspozycje do wypełniania tej funkcji niż osoba nie mająca wyższego wykształcenia, ale posiadająca bogatą wiedzę i doświadczenie – przekonywał prof. Paweł Fajgielski.
Ustawa nie daje jednak odpowiedzi na pytanie, jak tę wiedzę sprawdzać.
– Decyzji ADO pozostawiono, czy poprzestanie na odebraniu oświadczenia kandydata, czy będzie w jakiś sposób weryfikował poziom jego wiedzy. Ja opowiedziałbym się za tym drugim rozwiązaniem, przede wszystkim ze względu na bezpieczeństwo samego ADO – uznał prof. Paweł Fajgielski.
Prawdopodobnie to właśnie przez wątpliwości związane z funkcjonowaniem ABI tak wielu przedsiębiorców wstrzymuje się z ich powoływaniem. Większość zarejestrowanych to ABI obsługujący administrację publiczną: gminy, urzędy skarbowe, szkoły czy szpitale. ABI nie może zostać ani osoba prawna (np. spółka doradcza), ani też sam kierownik jednostki organizacyjnej (np. prezes zarządu). Nic natomiast nie stoi na przeszkodzie, aby powołać osobę z zewnątrz czy też by obsługiwała ona również inne podmioty. Dla przykładu w Nakle nad Notecią jedna osoba została wskazana jako ABI aż 14 podmiotów.