ABI musi mieć odpowiednią wiedzę – nowelizacja ustawy o ochronie danych osobowych

W ostatnim artykule pisałam o dylematach kadrowej, która przed nowelizacją ustawy o ochronie danych osobowych czyli przed 1 stycznia 2015 r. została wyznaczona w firmie do pełnienia funkcji ABI. Jaki jest stan jej wiedzy o ochronie danych osobowych. Mówiąc oględnie daleki od ideału. Czy jest to odosobniony przypadek. Myślę, że raczej typowy. Nie przeczę, że są też ABI wewnątrz organizacji doskonale przygotowani do pełnienia tej funkcji, wyszkoleni i z pewnością legitymujący się odpowiednią wiedzą.

Odpowiednia wiedza to jeden z ustawowych wymogów, który musi spełniać administrator bezpieczeństwa informacji. Odrębną kwestią, ale też ciekawą jest w jaki sposób administrator danych ma tę wiedzę weryfikować.

Myślę, że nie będzie przesadą stwierdzenie, iż w stanie prawnym sprzed nowelizacji w wielu sytuacjach ABI w firmie był tylko figurantem. Ktoś musiał być wyznaczony na tę funkcję. Prezes firmy wyznaczał więc czasem z rozmysłem a czasami z przypadku różne osoby.

Zdarzało się oczywiście, że w ślad za tym administrator danych dostarczał wyznaczonemu ABI niezbędnych narzędzi do pełnienia tej funkcji, choćby w postaci niezbędnego doszkalania. Jednak bywały też i sytuacje w których kadrowa pozostawała kadrową, księgowa księgową a informatyk świadczył pracę informatyka i  wiedza tych osób w zakresie ochrony danych osobowych nie wzrosła w związku z nominacją na ABI.

Czy sytuacje takie będą możliwe w aktualnym stanie prawnym. Jak to w życiu, oczywiście możliwe jest wszystko, jednak pewne będzie, że sytuacja, w której ABI nie ma odpowiedniej wiedzy w zakresie ochrony danych osobowych, będzie niezgodna z prawem. Osoba nie legitymująca się odpowiednią wiedzą nie spełnia ustawowego wymogu niezbędnego do pełnienia funkcji ABI.

Nowelizacja wprowadza szczegółowy katlog zadań, które ABI jest obowiązany w wykonywaniu swojej funkcji wypełniać. Do zadań ABI należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych.

Ustawa precyzując w ten sposób kompetencje ABI czyni zeń jedną z kluczowych osób w procesie przetwarzania danych osobowych. Tak naprawdę to ABI, o ile adminsitrator danych go wyznaczy, będzie odpowiedzialny za poziom i stan ochrony danych osobowych w organizacji.

Jest to ogromne novum. Jedno zdanie z ustawy sprzed nowelizacji zostało zastąpione rozbudowaną regulacją dotyczącą statusu ABI, jego kompetencji oraz określenia sposobów realizacji tych kompetencji. Mamy trzy rozporządzenia wykonawcze do nowelizacji. Rozporządzenia szczegółowo określają sposób i tryb wypełniania przez ABI ustawowo przyznanych zadań.

Osoba, na której spoczywa ciężar zapewnienia przestrzegania przepisów o ochronie danych osobowych musi oczywiście doskonale te przepisy znać, umieć je interpretować i swobodnie się w nich poruszać. Ponadto powinna posiadać tez niezbędną wiedzę w zakresie wymogów techniczno-organizacyjnego zabezpieczenia danych. Jak sądzę tylko taka osoba będzie się legitymować spełnieniem wymogu w zakresie posiadania odpowiedniej wiedzy w zakresie ochrony danych osobowych.

W świetle powyższego oczywiste jest, że ABI nie może być już figurantem, nie może pełnić tej funkcji niejako dodatkowo, nie wypełniając wszystkich przez ustawę nałożonych obowiązków. Taki ABI nawet, jeśli będzie równocześnie kadrową czy księgową czy informatykiem będzie musiał być też specjalistą w zakresie ochrony danych osobowych z pełnymi tego konsekwencjami.

Na koniec należy dodać, iż ABI zgłoszony do rejestru GIODO, będzie w zakresie legitymowania się odpowiednią wiedzą podlegał niejako zewnętrznej weryfikacji ze strony GIODO. Do ABI zarejestrowanego Generalny Inspektor może wystąpić o przeprowadzanie na jego wniosek kontroli i sporządzenie z tejże kontroli odpowiedniego sprawozdania. W toku uproszczonej kontroli GIODO z pewnością bardzo szybko się rozezna czy wiedza ABI jest na wystarczającym poziomie, aby dawać rękojmię należytego wykonywania tej funkcji.

W przypadku stwierdzenia, w toku uproszczonej kontroli braku u ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych, GIODO z urzędu wydaje decyzję o wykreśleniu takiego ABI z rejestru.

O odpowiedzialności ABI pisałam już, ale w kontekście tej sytuacji to też jest ciekawe zagdnienie kto i w jakim zakresie ponosi odpowiedzialność za przestrzeganie przepisów o ochronie danych osobowych, jeśli ABI nie posiada odpowiedniej wiedzy.

Taką odpowiedzialność na pewno zostanie obciążony administrator danych. Na koniec wydaje się oczywiste, że stan, w którym ABI był figurantem to przeszłość. Zarówno w interesie administratorów danych, jak i osób, które powoływane są do pełnienia funkcji ABI jest to, aby nie były to osoby przypadkowe a takie, które są specjalistami w zakresie przepisów o ochronie danych osobowych.

W świetle nowelizacji żaden pracownik czy księgowa, kadrowa czy informatyk nie powinien wyrazić zgody na pełnieni funkcji ABI bez zagwarantowania mu odpowiednich środków i organizacyjnej odrębności niezbędnych do należytego wykonywania przez niego zadań. Tak samo administrator danych  nie może powoływać przypadkowej osoby na stanowisko ABI.

Takie przypadkowe powołanie, bezprzedmiotowe dla zapewnienia odpowiedniego poziomu ochrony danych w organizacji, dodatkowo może to być przyczyną dodatkowego postępowania i negatywnej oceny ze strony Generalnego Inspektora.

Wszystkich zainteresowanych pogłębieniem lub usystematyzowaniem wiedzy w zakresie ochrony danych osobowych oraz przygotowaniem do pełnienia funkcji ABI i wypełnianiem obowiązków zgodnie z najnowszymi przepisami zapraszam na szkolenie 3-4 sierpnia do Warszawy. Więcej na:

http://przetwarzaniedanych.pl/szkolenie-abi-3-4-sierpnia-warszawa/

{ 0 komentarze… dodaj teraz swój }

Dodaj komentarz

Poprzedni wpis:

Następny wpis: