Szefowie firm mają problem ze zrozumieniem niezależności administratorów bezpieczeństwa informacji - mówi w wywiadzie dla DGP dr Grzegorz Sibiga, adwokat, kierownik Zakładu Prawa Administracyjnego Instytutu Nauk Prawnych PAN.
Do 30 czerwca trwał okres przejściowy związany z nowymi przepisami o ochronie danych osobowych. Co się zmieni od 1 lipca?
Dziś, z mocy samego prawa, przestaną wykonywać swe funkcje administratorzy bezpieczeństwa informacji (ABI), którzy byli wyznaczeni przed 1 stycznia 2015 r., czyli przed dniem wejścia w życie ostatniej nowelizacji ustawy o ochronie danych osobowych, i nie zostali zgłoszeni przez administratorów danych do GIODO w terminie do 30 czerwca 2015 r. Natomiast jeżeli w tym terminie nastąpiło zgłoszenie, to ABI będzie pełnić funkcję do momentu odwołania.
Co to w praktyce będzie oznaczać dla przedsiębiorcy przetwarzającego dane osobowe?
Jeśli w przedsiębiorstwie nie funkcjonuje ABI, to na tym przedsiębiorcy będą teraz spoczywać zadania, które dotychczas wykonywał ABI. Sam przedsiębiorca będący administratorem danych odpowiada więc za sprawdzanie, czy dane osobowe są przetwarzane zgodnie z przepisami, i za nadzorowanie dokumentacji ich przetwarzania. To on będzie również musiał zorganizować zapoznawanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Mogą go w tych zadaniach wspierać inne osoby niż ABI, ale odpowiedzialność będzie spoczywać na nim.
Czytelnicy informowali nas o e-mailach, w których straszy się ich, że 1 lipca to data graniczna, do której muszą powołać ABI. To przecież nieprawda.
Żaden z administratorów danych nie ma obowiązku powołania ABI. To jedynie fakultatywna możliwość. Każdy administrator danych sam musi zdecydować, czy ustanowi ABI i jemu powierzy zadania, o których przed chwilą mówiłem, czy też zdecyduje się wykonywać je samodzielnie. Co ważne, data 1 lipca jest istotna jedynie z punktu widzenia dotychczasowych ABI. Tego dnia tracą swój status, jeśli nie zostali wcześniej zgłoszeni do GIODO. Termin ten nie ma zaś znaczenia, jeśli chodzi o ustanawianie przyszłych ABI. Czy przedsiębiorca, czy podmiot publiczny – będą to mogli zrobić w dowolnym momencie, jeśli tylko uznają, że jest to uzasadnione.
Co odpowiedziałby pan przedsiębiorcy, który spytałby, czy powoływać ABI?
Odpowiedziałbym, że powinno to zależeć od analizy jego potrzeb i podejścia do ochrony danych osobowych. Jeżeli stoi ona wysoko w hierarchii priorytetów przedsiębiorcy, to doradzałbym powołanie ABI. Podobnie jeśli dojdzie on do wniosku, że korzystne dla niego jest, aby ochroną danych osobowych zajęła się wyspecjalizowana, niezależnie działająca osoba, która w sposób obiektywny będzie sprawdzać, czy przetwarzanie danych osobowych ma miejsce zgodnie z przepisami o ochronie danych osobowych. Jeżeli jednak przedsiębiorca przetwarza te dane na niewielką skalę i nie stanowi to znaczącego obszaru jego działalności, to może to stanowić podstawę do decyzji o niepowoływaniu ABI. Sam przedsiębiorca, jako administrator danych, powinien sobie poradzić z obowiązkami z tym związanymi. Oczywiście upraszczam, podając jedynie pewne przykładowe sytuacje, bo decyzja o powołaniu lub niepowołaniu ABI zazwyczaj zależy od wielu czynników.
W tej chwili do rejestru GIODO wpisano ok. 3 tys. ABI. Pana zdaniem to dużo czy mało?
Trzeba pamiętać, że dane te dotyczą już zarejestrowanych ABI. Liczba zgłoszeń przekazanych do GIODO jest w rzeczywistości dużo wyższa. Można się również spodziewać, że wielu dotychczasowych ABI zostało zgłoszonych w ostatnich dniach okresu przejściowego. Analizując wpisy do rejestru GIODO, można się zorientować, że większość ABI została zgłoszona przez podmioty ze sfery publicznej, takie jak organy samorządu terytorialnego, szkoły, szpitale czy nawet areszt śledczy. Stosunkowo mało jest natomiast zgłoszeń przedsiębiorców, co może wynikać z tego, że wciąż analizują, czy powołanie ABI jest dla nich korzystne. Co zaś do samej liczby zarejestrowanych ABI, to choć niektórym może się ona wydawać niewielka, to dla mnie większe znaczenie ma to, czy powołane osoby rzeczywiście spełniają wszystkie wymagania i gwarantują wysoki standard ochrony danych osobowych. Jeżeli tak się faktycznie stało, to w niedługiej perspektywie powinno to pozytywnie wpłynąć na poziom przestrzegania przepisów o ochronie danych osobowych.
Podczas szkoleń i konferencji spotyka pan wielu ABI już zgłoszonych do rejestracji. Na jakie problemy się skarżą?
Jeden z najistotniejszych, czyli brak przepisów wykonawczych do ustawy, na szczęście został już załatwiony. 30 maja weszło w życie ostatnie z brakujących rozporządzeń i ABI już wiedzą, w jaki sposób powinni realizować swe zadania. Problematyczne bywa umiejscowienie ABI w strukturze organizacyjnej podmiotów, które ich powołały. Ustawa gwarantuje ABI niezależność w wykonywaniu zadań i wyodrębnienie organizacyjne zapewniające tę niezależność, co niestety nie wszyscy w kierownictwie są w stanie zaakceptować. Szczególnym wymogiem jest podległość ABI bezpośrednio kierownikowi jednostki administracyjnej, co ma wzmacniać jego pozycję w jednostce. Jednak nawet kierownik nie może wydawać ABI poleceń służbowych co do wykonywania jego zadań, ponieważ to sam ABI podejmuje decyzje w tym przedmiocie. Spodziewam się, że jeszcze długo będą problemy ze zrozumieniem tego mechanizmu.