Powołanie administratora bezpieczeństwa informacji na gruncie obowiązującej Ustawy o ochronie danych osobowych jest fakultatywne – żaden administrator danych nie ma obecnie obowiązku powoływania „organu doradczego” w postaci ABI. Na gruncie ogólnego rozporządzenia o ochronie danych, które zacznie obowiązywać we wszystkich państwach UE od 25 maja 2018 roku, ta sytuacja ulegnie zmianie. Rozporządzenie przewiduje w określonych przypadkach obligatoryjne powołanie „następcy” ABI czyli Inspektora Ochrony Danych (IOD) przez administratora danych jak również przez podmioty przetwarzające czyli u procesorów.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Najwyższe kierownictwo organizacji, a w przypadku spółek kapitałowych – zarząd, bardzo często nie dysponuje wystarczającą wiedzą z zakresu ochrony danych osobowych, co może wpływać na podejmowanie błędnych decyzji biznesowych, które mogą dotyczyć pozyskiwania, sposobu przetwarzania, czy zabezpieczenia danych osobowych. To w jaki sposób właściwe stosować przepisy dotyczące ochrony danych osobowych w praktyce może powodować wiele wątpliwości. Zarząd/ najwyższe kierownictwo podmiotu powinno aktywnie korzystać z wiedzy ABI. Z tym, że osoba powołana do pełnienia takiej funkcji powinna rzeczywiście posiadać praktyczną wiedzę z zakresu ochrony danych osobowych. Niestety w wielu podmiotach funkcję ABI sprawują osoby, które nie dysponują wystarczającą wiedzą, zwłaszcza tą praktyczną. Często funkcję ABI pełnią pracownicy administratora danych, dla których jest to kolejny z pracowniczych obowiązków.
Niewątpliwą zaletą powołania ABI jest minimalizacja ryzyka kontroli „z urzędu” ze strony GIODO. Co potwierdzają słowa Zastępcy Generalnego Inspektora Ochrony Danych Osobowych Pana Andrzeja Lewińskiego podczas XX Forum ADO/ABI 17 maja 2016 roku. Zastępca GIODO stwierdził, iż GIODO domniemywa zgodność z prawem przetwarzania danych w podmiotach, które powołały ABI i zgłosiły fakt jego powołania w GIODO (https://egiodo.giodo.gov.pl/abi_register.dhtml). Jest to istotna informacja, ponieważ Biuro GIODO będzie rozbudowywane, a kontrole będą coraz częstsze. W niedalekiej przyszłości powstaną delegatury GIODO na terenie całego kraju, co zwiąże się z przepisami ogólnego rozporządzenia o ochronie danych, które nakłada na każde państwo członkowskie obowiązek wyposażenia krajowego organu nadzorczego (w Polsce GIODO) w odpowiednie zasoby m.in. kadrowe i finansowe.
Zadania ABI i IOD
Dla przypomnienia, zgodnie z przepisami Ustawy o ochronie danych osobowych oraz Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji, ABI zobowiązany jest:
- dokonać sprawdzenia zgodności przetwarzania danych z przepisami oraz przygotowywać sprawozdania;
- przygotowywać plan sprawdzeń, który jest przygotowywany na okres nie krótszy niż kwartał i nie dłuższy niż rok (plan wewnętrznych kontroli)
- dokonać sprawdzeń zbiorów danych i wszystkich systemów informatycznych co najmniej raz na 5 lat;
- przygotować sprawozdanie na żądanie GIODO;
- nadzorować opracowanie i aktualizację dokumentacji opisującej sposób przetwarzania danych oraz środki zapewniające ochronę tych danych;
- nadzorować stosowanie zasad opisanych w dokumentacji;
- zapewnić, że osoby upoważnione do przetwarzania danych osobowych zostały zapoznane z przepisami z zakresu ochrony danych osobowych.
W świetle ogólnego rozporządzenia o ochronie danych, które zacznie obowiązywać za niespełna dwa lata, IOD zobowiązany będzie do:
- informowania administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
- monitorowanie przestrzegania rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacji przetwarzania oraz powiązane z tym audyty;
- udzielania na żądanie zaleceń co do oceny skutków przetwarzania danych oraz monitorowanie ich wykonania w przypadku, gdy administrator przed rozpoczęciem przetwarzania zobowiązany jest do przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych;
- współpracy z organem nadzorczym;
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami w przypadkach gdy ocena skutków pod kątem przetwarzania niosłaby duże zagrożenia dla osób, których dane dotyczą, gdyby administrator nie przedsięwziął środków w celu zminimalizowania tego ryzyka, oraz w stosownych przypadkach prowadzenie konsultacji we wszystkich innych sprawach.
Podsumowując każdy podmiot, który przetwarza dane osobowe powinien rozważyć możliwość powołania ABI, a w przyszłości IOD, nie tylko ze względu na minimalizację ryzyka kontroli ze strony GIODO, ale przede wszystkim w celu zgodnego z prawem przetwarzania danych osobowych i podniesienia poziomu ich bezpieczeństwa. ODO 24 sp. z o. o. przeprowadziła w 2015 roku badanie, w którym respondenci wskazali m.in., że jednym z największych zagrożeń dla bezpieczeństwa danych osobowych są firmy i organizacje nie przywiązujące wagi do ochrony przetwarzanych danych osobowych (32%) – https://odo24.pl/download.raport-odo24-2015.pdf . Potwierdza to, że świadomość społeczeństwa rośnie i coraz więcej osób zdaje sobie sprawę z tego, jak cenne są ich dane.
