ABI po nowelizacji Ustawy o ochronie danych osobowych (cz.II) ABI agentem GIODO?

W poprzedniej części cyklu dotyczącego nowej pozycji Administratora Bezpieczeństwa Informacji (ABI) w obliczu tegorocznej nowelizacji Ustawy o ochronie danych osobowych (U.o.d.o.) poruszyliśmy temat powołania ABI-ego oraz obowiązków spoczywających na nim od 1 stycznia 2015 r. (https://blog-daneosobowe.pl/abi-po-nowelizacji-ustawy-o-ochronie-danych-osobowych-cz-i/). Skoro już wiemy jak go ustanowić i jakie zadania przed nim postawić, należałoby się zastanowić komu powierzyć tak odpowiedzialne zadanie, jak nadzór nad obiegiem informacji w firmie, urzędzie, szkole etc. W części drugiej pochylimy się zatem nad zagadnieniem ustawowych wymagań dla kandydata na ABI, a szczególnie nad jednym, które przez swoją nieprecyzyjność może wywoływać spory co do jego interpretacji.

Odniesiemy się również do jednego z pojawiających się argumentów przeciwko powołaniu ABIego w strukturach Administratora Danych (ADO), a mianowicie zarzutu, jakoby w związku ze zmianą przepisów ABI stał się nikim innym jak agentem na usługach Generalnego Inspektora Ochrony Danych Osobowych (GIODO).

Odpowiednia wiedza

Znowelizowane przepisy Ustawy o ochronie danych osobowych przekształciły lakoniczne uregulowanie w kompleksowy zestaw przepisów zawierających m. in. otwarty katalog obowiązków dla Administratora Bezpieczeństwa Informacji. Styczniowa regulacja wskazała ponadto wymagania, jakie musi spełniać osoba fizyczna aplikująca na to stanowisko.

Zgodnie z dyspozycją artykułu 36a ust. 5 U.o.d.o. funkcję ABI może pełnić osoba, która:

• ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
• posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
• nie była karana za umyślne przestępstwo.

O ile przesłanka pierwsza i trzecia nie budzą wątpliwości i da się je łatwo zweryfikować, to druga otwiera przestrzeń do szerokiej interpretacji. „Odpowiedni” według Słownika Języka Polskiego PWN to tyle co „spełniający warunki”. ABI spełniający warunki to osoba poprawnie wykonująca obowiązki nałożone przez U.o.d.o. To Administrator Danych, jako kreujący stanowisko ABI dokonuje interpretacji przesłanki. Działając we własnym interesie powinien on powołać osobę, która ma rzeczywistą wiedzę z zakresu ochrony danych.

Jak podkreśla Generalny Inspektor Ochrony Danych Osobowych, znowelizowane przepisy U.o.d.o. nie wprowadzają wymogu posiadania przez ABI jakichkolwiek certyfikatów, poświadczeń ukończenia odpowiednich szkoleń czy kursów. Co ważne, takich certyfikatów nie wydaje sam GIODO! Poziom odpowiedniej wiedzy powinien być dostosowany do prowadzonych u ADO operacji przetwarzania danych oraz wymogów ich ochrony. Wzorowy ABI powinien być „za pan brat” z kompleksową wiedzą prawniczą (aktualne przepisy, judykatura i doktryna) oraz wnikliwie znać proces obiegu informacji w firmie, aby skutecznie dokonywać procesu kontroli: porównywać stan faktyczny (proces) z postulowanym (prawo).

ABI agentem GIODO??

Jeden z bardziej absurdalnych argumentów przeciwko powołaniu ABI, który zdarza mi się słyszeć, to kojarzenie go z agentem GIODO.

Podejrzewam, że pomysł na takie stanowisko wziął się stąd, że według nowych regulacji U.o.d.o. (które dookreśla w tym zakresie majowe Rozporządzenie w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji) ABI jest zobowiązany do dokonywania na żądanie GIODO sprawdzeń zgodności przetwarzania danych z przepisami oraz składania w tym zakresie Inspektorowi sprawozdań.

Rzeczywiście – GIODO może zażądać od ABIego złożenia stosownego sprawozdania ze sposobu przestrzegania zasad ochrony danych osobowych.

Tu jednak warto zastanowić się nad rato legi wprowadzenia takiego rozwiązania. Przyczyna jest bardzo prosta. Liczba inspektorów jest dość niewielka (na rok 2013 było to 14 osób!) , a więc i możliwości kontrolne GIODO, są niewystarczające. Dość powiedzieć, że GIODO zawarł porozumienie z Państwową Inspekcją Pracy w kwestii kontroli pod kątem ochrony danych osobowych starając się w ten sposób powiększyć swoje wątłe zasoby. Ponadto ważną wskazówką jest droga prowadzenia uregulowań dotyczących ABI. U.o.d.o. znowelizowano drogą Ustawy o ułatwieniu prowadzenia działalności gospodarczej. Racjonalny ustawodawca nie ułatwia życia przedsiębiorcom poprzez poszerzanie kontroli nad nimi przez wyspecjalizowany organ.

Twórcy nowelizacji wyszli więc z założenia, że w niektórych sytuacjach zamiast robić kontrolę na miejscu – wystarczy zapytać ABIego o stan przestrzegania danych osobowych w organizacji. Warto zauważyć, że ADO ma pełną kontrolę nad procesem doboru ABI-ego na swoje potrzeby tak, aby był jego mocnym stronnikiem w konfrontacji z administracją publiczną.

Dzięki temu dla ADO istnieje bardzo duża szansa na uniknięcie uciążliwej kontroli, jeśli ABI przedstawi odpowiednie dokumenty i procedury w formie zdalnej – za pośrednictwem poczty tradycyjnej bądź elektronicznej.

Tak więc, posiadanie dobrze wykwalifikowanego ABIego – prędzej przyczyni się do uniknięcia kontroli GIODO, niż do jej realizacji na miejscu.

Cała sytuacja przypomina obawy przy rejestrowaniu zbiorów danych do GIODO. Niektórzy nasi Klienci obawiali się, że sam fakt zarejestrowania bazy, wystawi ich na możliwość kontroli przez GIODO. Tymczasem praktyka inspektorów była zupełnie inna. Kontrole częściej wszczynano w organizacjach, które nie zgłosiły żadnej bazy do rejestracji, niż u tych, które figurowały w stosownych rejestrach.

Powyższa praktyka jest zresztą bardzo racjonalna. Jeżeli duża organizacja nie zarejestrowała żadnej bazy danych w rejestrze prowadzonym przez GIODO, to istnieje duża szansa na to, że inne obowiązki w zakresie ochrony danych osobowych również nie zostały dopełnione. Inspektorzy zastosowali proste domniemanie: jeżeli nie spełniają wymagań w małym stopniu, to także i w większym stan jest niepożądany. Natomiast zgłoszenie bazy do rejestru oznacza dla inspektorów wyraźny sygnał: w tej organizacji ktoś zadbał o realizację podstawowych obowiązków ustawowych.

Dodatkowo, nie sposób nie wspomnieć tutaj o czynniku finansowym. Niezależnie od tego czy ABI jest pracownikiem ADO czy jest outsourcowany (co nadal po nowelizacji jest możliwe), pieniądze otrzymuje od ADO.

Trudno mi sobie wyobrazić, że jakikolwiek ABI, donosi bezpośrednio do GIODO, na każdą nieprawidłowość, którą znajdzie w procedurach ADO. Taki ABI dość szybko… przestałby być ABI i prawdopodobnie przez długi czas nie mógłby znaleźć zatrudnienia w tym fachu. Nikt racjonalnie myślący nie płaci komuś, kto działa na jego szkodę.

ABI powinien zgłosić ewentualne nieprawidłowości do ADO, a co z takimi zastrzeżeniami zrobi ADO – to już jest jego decyzja.

Jeśli nieprawidłowości na które nie ma wpływu ABI, zostaną zgłoszone do ADO, to nie widzę możliwości przypisania ABIemu odpowiedzialności karnej bądź cywilnej w związku z nieprzestrzeganiem przepisów przez ADO. Trzymać rękę na pulsie i informować – to powinna być główna dewiza dobrego Administratora Bezpieczeństwa Informacji.

Podsumowanie

Każda nowelizacja może być obiektywnie oceniona dopiero po wielu miesiącach, a czasem nawet latach praktyki. Obserwacja ostatnich miesięcy weryfikuje tezy o ABI jako rzekomym agencie GIODO. W wielu firmach gdzie polityka bezpieczeństwa informacji była w powijakach, zdecydowano się na powołanie ABI. Dość często przedsiębiorcy decydują się na doświadczonych fachowców oferujących rozbudowane usługi, wzbogacone często o autorskie elementy. Zanim usługobiorca przejmie ustawowe obowiązki, najczęściej dokonuje audytu jednostki organizacyjnej, budując swój horyzont działania i tym samym przedstawiając usługobiorcy diagnozę sytuacji. Osoba reprezentująca ADO jest często laikiem z zakresu ochrony danych osobowych. Taki ABI może być postrzegany jako swoista „polisa” na wypadek kontroli GIODO.

Mimo powyższego, w opinii Generalnego Inspektora, odsetek podmiotów, które powołały Administratora Bezpieczeństwa Informacji, nadal jest zbyt mały.

W następnej, ostatniej już części naszego cyklu rozważań nad ABIm po nowelizacji U.o.d.o., która będzie jego swoistym podsumowaniem zastanowimy się nad plusami i minusami powołania ABI w organizacji.