Odpowiedzialność ABI część II

Wraz z ostatnią nowelizacją do życia powołany został ABI profesjonalista. Nowelizacja, która weszła w życie 1 stycznia 2015 r. w zasadniczej części została poświęcona ABI. Określiła więc szczegółowo katalog zadań ABI, zakres formalnych wymagań wobec ABI, wyposażyła też ABI w niezależność w wykonywaniu zadań. Na podstawie nowych przepisów zostały wydane rozporządzenia, które precyzują sposób i tryb wykonywania zdań czy sposób prowadzenia rejestru przez ABI.

Pisałam już, że na skutek tych zabiegów powstał ABI jakiego wcześniej w naszym systemie prawnym nie było. Bez wątpienia ABI musi być znawcą tematu, posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych. Ustawa jednak nie wymaga od ABI posiadania określonych certyfikatów, ukończenia studiów czy szkoleń. Wymaga jednak odpowiedniej wiedzy w tym zakresie.

Decyzję o powołaniu ABI podejmuje administrator danych osobowych i to on musi ocenić poziom wiedzy i doświadczenia ABI.

Zatrudniając księgową, kadrową, informatyka w zasadzie pracodawca również nie ma ustawowych wskazówek jakiego rodzaju osoby zatrudnić,  a jednak w praktyce nie stwarza to większych problemów.

Sprawa z ABI jest może o tyle trudniejsza, że w firmie zwykle nie ma osób włącznie z szefostwem, które byłyby w stanie rzetelnie ocenić poziom wiedzy ABI i możliwości zapewnienia firmie bezpieczeństwa w obszarze danych osobowych.

Czy poziom wiedzy ABI w zakresie ochrony danych osobowych jest odpowiedni. Oto jest pytanie.

W praktyce zauważyłam skrajne postawy od ABI, którzy zostali wyrwani z tzw. łapanki do pełnienia funkcji i ogólnie mają słabą orientację w temacie, ale też nie specjalnie ich to martwi do ABI, którzy są bardzo zmotywowani, świadomi odpowiedzialności, która z wykonywanie funkcji może by związana.

Odpowiedzialność ABI to jeden z tematów, który bardzo interesuje samych ABI ale także administratorów danych osobowych. Odpowiedzialność ABI może być więc  cywilna (outosurcing ABI), pracownicza, administracyjna a nawet karna.

W konsekwencji nałożenia na ABI konkretnych obowiązków, związana z nimi odpowiedzialność administracyjna może spoczywać bezpośrednio na ABI. W doktrynie pojawiają się stanowiska, iż ABI może być adresatem decyzji wydawanych przez GIODO w przypadku naruszenia przepisów o ochornie danych osobowych. Do takiego naruszenia może dojść na skutek niewykonywania przez ABI swoich obowiązków.

Istnieje ryzyko odpowiedzialności karnej ABI w przypadku nieumyślnego naruszenia przepisów ochrony danych osobowych poprzez udostępnienie danych osobom nieupoważnionym. Jednak należy pamiętać, że odpowiedzialność karna jest odpowiedzialnością osobistą i wymaga osobistej zarzucalności popełnionego czynu konkretnej osobie.

Odpowiedzialność pracownicza, podobnie jak w przypadku innych pracowników, może skutkować nawet rozwiązaniem umowy o pracę w przypadku utraty zaufania w związku z niewłaściwym wykonywaniem obowiązków pracowniczych. W przypadku, gdyby pracodawca poniósł szkodę w związku z wykonywaniem przez ABI jego obowiązków, mógłby również pociągnąć go do odpowiedzialności materialnej do wysokości trzykrotnego wynagrodzenia za pracę.

Odpowiedzialność ABI to rozległe zagadnienie ściśle związane z jego kompetencjami i poziomem wymaganej w zakresie ochrony danych osobowych wiedzy. Zagadnienie to będzie miało coraz większe znaczenie. Należy o tym pamiętać  zwłaszcza w kontekście rozporządzenia w sprawie ochrony danych osobowych, nad którym prace legislacyjne w organach Unii wkroczyły w ostatnią fazę.

Zachęcam do nabycia nowego poradnika ABI z wzorami dokumentów, comiesięcznym raportem o reformie prawa unijnego (6 raportów) zaopatrzonym moim komentarzem oraz możliwością rozwiązania jakiegoś trapiącego Cię problemu prawnego z zakresu przepisów ochrony danych osobowych.Więcej tutaj.

A z ostatnim raportem otrzymasz ode mnie super niespodziankę. Uchylając rąbka tajemnicy powiem Ci, że oczywiście będzie to potężny zastrzyk wiedzy z zakresu ochrony danych osobowych. Jednak o szczegółach dowiesz się w swoim czasie pod warunkiem oczywiście złożenia zamówienia na nowy poradnik ABI.

Koszt poradnika ze wszystkimi bonusami to jedyne 49 złotych netto.

Zamówienia proszę składać na adres: kancelaria@przetwarzaniedanych.pl

ABI muszisz się szkolić

W ostatnim artykule pisałam o nowym ABI, którego nie znamy. ABI w nowym wydaniu to niezależny, kompetenty specjalista dbający o całokształ zagadnień dotyczących ochrony danych osobowych w firmie.

Nowy ABI to ekspert i wymaga wiedzy eksperckiej.

Tymczasem pospolitość skrzeczy. Przepisy sobie a rzeczywistość sobie. Wielu dotychczasowych ABI nie posiada odpowiedniej wiedzy. Stwierdzam to z przykrością na podstawie osobistych kontaktów i obserwacji. Wyłączam niektóre firmy, profesjonalnie świadczące usługi konsultigowe zakresie ochrony danych osobowych. Jednak ABI wewnątrz firm często mają bardzo pobieżną wiedzę w zakresie ochrony danych osobowych, daleką od wymaganego poziomu eksperckiego.

Sytuacja taka ma miejsce nie z ich winy. Z reguły zatrudniani byli na zupełnie innych stanowiskach. Jak wielokrotnie pisałam ABI dotychczas z reguły był takim złem koniecznym. Jeśli już musiał być to z łapanki nominowano panią kadrową, księgową czy kogoś z działu informatyki.

Bardzo często tym ludziom pracodawca nie zapewniał odpowiednich szkoleń zapewniających odpowiednią wiedzę. Bywają chlubne wyjątki to jasne. W aktualnym stanie prawnym dotychczasowi ABI czyli panie księgowe, kadrowe, informatycy  z reguły będą kontynuować misję ABI w swojej firmie.

Jednak jak już pisałam, sytuacja zmieniła się diametralnie. Nowy ABI jest dokłądnie uregulowany. Wiemy kim jest i czego możemy od niego wymagać. Z tą wiedzą związana też będzie odpowiednio większa odpowiedzialność ABI. Adminsitrator danych, który powołuje ABI w swojej organizacji będzie miał prawo wskazać ABI jako osobę odpowiedzialną za ten obszar w swojej organizacji.

Nowy ABI powołany i zarejestrowany będzie podlegał też kontroli zewnętrznej GIODO a brak odpowiedniej wiedzy jest warunkiem rejestracji oraz może być powodem wykreślenia z rejestru. GIODO oczekuje, że ABI, który zostanie zarejestrowany sprawnie przeprowadzi kontrolę w firmie na jego wniosek. Podczas takiej kontroli brak odpowiedniej wiedzy u ABI będzie nie do ukrycia. Jedno zdanie może obnażyć brak odpowiedniej wiedzy.

Jeśli już zostałeś powołany do pełnienia funkcji ABI a nie czujesz się ekspertem musisz domagać się od swojego pracodawcy szkoleń. Pracodawca ma obowiązek zapewnić ABI środki niezbędne do należytego pełnienia funkcji ABI a jednym z takich środków będzie zapewnienie szkolenia. Bez nich nigdy nie osiągniesz wymaganej wiedzy eksperckiej. Dziedzina ochrony danych osbowych nie należy do najłatwiejszych, dlatego wymaga gruntownej edukacji.

Jeśli jesteś informatykiem, księgową, kadrową lub piastujesz inne stanowisko w firmie nie masz obowiązku być ekspertem w zakresie ochrony danych osbowych. Jesteś specjalistą w zakresie swoich zadań, znasz się na kadrach, rozliczeniach finansowych czy systemach informatycznych i wiesz na czym ta praca polega. Wiesz również, iż masz odpwiednią wiedzę i doświadczenie, aby zajmować te stanowiska i świadczyć tego rodzaju pracę.

Dodatkowe zajęcia ABI to nie może być jakaś kula u nogi czy piąte koło, gdyż finalnie może stanąć kością w gardle, czego oczywiście Ci nie życzę. Każda praca wymga wiedzy, z każdą pracą związana jest odpwiedzialność a dodatkowo jeśli nasza praca i my personalnie jesteśmy zgłaszani do urzędu jako eksperci z danej dziedziny to po prostu musimy nimi być.

Bodźcem do napisania tego artykułu był telefon jednego wewnętrznego ABI, który zadał mi pytanie kto w spółce z ograniczoną odpowiedzialnością jest administratorem danych osobowych. Takich pytań ABI nie może stawiać.

Zachęcam do nabycia nowego poradnika ABI  z wzorami dokumentów, comiesięcznym raportem o reformie prawa unijnego (6 raportów) zaopatrzonym moim komentarzem oraz możliwością rozwiązania jakiegoś trapiącego Cię problemu prawnego z zakresu przepisów ochrony danych osobowych. Więcej tutaj.

A z ostatnim raportem otrzymasz ode mnie super niespodziankę. Uchylając rąbka tajemnicy powiem Ci, że oczywiście będzie to potężny zastrzyk wiedzy z zakresu ochrony danych osobowych. Jednak o szczegółach dowiesz się w swoim czasie pod warunkiem oczywiście złożenia zamówienia na nowy poradnik ABI.

Koszt poradnika ze wszystkimi bonusami to jedyne 49 złotych netto.

Zamówienia proszę składać na adres: kancelaria@przetwarzaniedanych.pl

Nowe obowiązki w celu zapewnienia zgodności przetwarzania danych osobowych

Z początkiem nowego roku IV pakiet deregulacyjny znowelizował przepisy ustawy o ochronie danych osobowych. Z założenia nowelizacja miała dotyczyć statusu administratora bezpieczenstwa informacji. Bonusem dla administratorów danych osobowych, którzy zdecydowaliby się na powołanie ABI jest zwolnienie z obowiązku rejestracji i aktualizacji zbiorów danych osobowych w GIODO. Obwiązek ten miałby spocząć na powołanym ABI.

W ustawie został szczegółowo wymieniony katalog zadań ABI.

W świetle nowych przepisów przedsiębiorca ma wybór co do powołania ABI w swoje firmie. W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w ustawie dla ABI z wyłączeniem sporządzania sprawozdania wykonuje sam przedsiębiorca.

Jakie wiec zadania w świetle noweli należy przypisać przedsiębiorcy w przypadku, gdy nie powoła on do ich wykonywania ABI. Do tych zadań należy:

1) zapewnianie  przestrzegania przepisów o ochronie danych osobowych w szczególności przez:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami,
  • nadzorowanie opracowania i aktualizowania dokumentacji wymaganej przepisami,
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych z przepisami.

W zasadzie wydaje się, że nie jest to dla administratorów nowość. Z mocy samej ustawy o ochronie danych osobowych odpowiedzialność za zgodność przetwarzania danych osobowych z ustawą i odpowiednimi przepisami spoczywa na administratorze danych. Ustawa określa szczegółowe zasady przetwarzania danych osobowych. Odnoszą sie one do wszystkich administratorów danych osbowych.

Aby przetwarzać dane zgodnie z zasadami określonymi w przepisach o ochronie danych osobowych każdy administrator powinien dokonywać sprawdzenia zgodności tego przetwarzania z przepisami o ochronie danych osobowych.

Jednakże ani samo pojęcie sprawdzenia zgodności przetwarzania danych osobowych, jak również sposób realizacji tego zadania nie były określone w przepisach prawnych.

Ostatnia nowelizacja to jednak zmieniła. Sprawdzenie zgodności przetwarzania stało się literą prawa. Zmiana w tym zakresie dotyczy wszystkich administratorów danych osobowych nawet tych, którzy nie powołają ABI. W związku z tym wszystkie podmioty  tak publiczne jak i prywatne przetwarzające dane osobowe powinny zapoznać się z nowymi regulacjami. Jest to jednak  utrudnione, bowiem najważniejsze rozporządzenie wykonawcze precyzujące tryb i sposób wykonywania nowych obowiązków w dalszym ciągu nie zostało uchwalone.

O trybie i sposobie realizacji nowych zadań z pewnością będziemy jeszcze wielokrotnie pisać. Tak z punktu widzenia wypełniania tych zadań przez administratorów bezpieczeństwa informacji (ABI) jak i samych administratorów danych osobowych.

Wszystkich zainteresowanych pogłębieniem lub usystematyzowaniem wiedzy w zakresie ochrony danych osobowych oraz przygotowaniem do pełnienia funkcji ABI i wypełnianiem obowiązków zgodnie z najnowszymi przepisami zapraszam na szkolenie 3-4 sierpnia do Warszawy. Więcej na:

Szkolenie ABI 3-4 sierpnia Warszawa

Życie bez ABI

Czy  w nowej rzeczywistości prawnej tj. w świetle znowelizowanej ustawy o ochronie danych osobowych, da się żyć bez ABI. Mam wrażenie, że ta deregulacyjna nowelizacja, której pierwotnie przyświecał cel ułatwienia przedsiębiorcom prowadzenia działalności, poruszyła przedsiębiorców do działania.

Od początku roku obserwuję wzmożone zainteresowanie nie tylko prawników, profesjonalnych ABI ale też samych przedsiębiorców nową regulacją. Nie da się ukryć, że zainteresowanie to spowite jest strachem przed nowym obliczem ABI. Obowiązków miało być mniej a będzie więcej. ABI musi być ekspertem w dziedzinie ochrony danych osobowych. Za brak odpowiedniej wiedzy GIODO może z urzędu wykreślić go z rejestru. Dla reputacji ABI może to być cios przesądzający losy jego kariery w tym zawodzie. Nowe obowiązki nie ominą nawet administratorów, którzy w ogóle  zrezygnują z powołania ABI. Dylematów jest wiele i okazuje się, że mają je wszyscy począwszy od przedsiębiorcy poprzez ABI a na prawnikach i GIODO kończąc.

Czy wobec tego życie bez ABI nie jest jakąś alternatywą zapytam przewrotnie.

Niektórzy jednak się budzą lub też są budzeni przez spaming firm oferujących usługi w zakresie danych osobowych. Budzą się i jak nie mieli nic tak nagle chcą mieć wszystko łącznie z ABI na etacie. Zalecam jednak zachować spokój, nie ulegać presjom a juz na pewno zachować dystans do  ofert przesyłanych w związku z ostatnią nowelizacją.

Nie oznacza to, że należy się nie przejmować i spać dalej. Jeśli w tym momencie chcesz zrobić porządek w obszarze ochrony danych osobowych w swojej firmie to nie musisz działać w amoku. Najważniejsze to podjąć odpowiednią dla swojej firmy decyzję. Powołanie ABI nie w każdym przypadku jest rozwiązaniem optymalnym. Są sytuacje, gdy bardziej korzystne będzie zapewnienie stanu zgodności bez powołania ABI.

Na koniec muszę jednak też powiedzieć, że rzeczywiście są firmy, dla których profesjonalny ABI to najlepsze z możliwych rozwiązań. Jednak co najlepsze jest dla twojej firmy musi być wyważone a decyzja podjęta w oparciu o anlizę jej działalności, rozmiaru działania, zakresu przetwarzania danych osobowych i ryzk prawnych z tym związanych.

 

Miało być pięknie a wyszło jak zawsze czyli nowelizacja ustawy o ochronie danych osobowych

Nowelizację ustawy o ochronie danych osobowych omawiamy już od miesięcy. Nowelizacja, która została wprowadzona w IV pakiecie deregulacyjnym teoretycznie miała zapewnić ułatwienie życia przedsiębiorcom tj. wykonywanej przez nich działalności.

Przykre obowiązki administracyjne w postaci zgłaszania, aktualizowania, wykreślania zbiorów z rejestru GIODO miały zniknąć. Jedynym warunkiem dla skorzystania ze zwolnienia było powołanie ABI i zarejestrowanie go w rejestrze GIODO. Jednak wszystko to było alternatywą dla przedsiębiorców. Ci, kórzy nie zdecydowali się na powołanie ABI mogli się nowelizacją nie interesować. To twierdzenie jednak w aktualnym stanie wiedzy jest fałszywe. Okazuje się bowiem, że nowelizacja dotyczy wszystkich administratorów danych.

Nowelizacja potraktowała ABI bardzo poważnie. Mamy bowiem nowego quasi urzędnika, wyposażonego po zęby w quasi urzędnicze narzędzia w celu wypełniania swojej funkcji. Nowy status w postaci odrębności organizacyjnej, niezależności, szczegółowo określony katalog zadań. Trzy rozporządzenia wykonawcze i mnożące się pytania oraz wątpliwości.

Najważniejsze rozporządzenie wykonawcze  w sprawie trybu i sposobu realizacji zadań w celu przestrzegania przepisów o ochronie danych osobowych jak dotychczas nie zostało uchwalone, co potęguje niepewność prawną odnośnie nowej regulacji.

Czytając projekt nasuwa się sporo wątpliwości, zwłaszcza w kontekście głownego założenia IV pakietu deregulacyjnego polegającego na ułatwieniu wykonywania działalności . Zgodnie z intencją prawodawcy wprowadzone w ustawie o ochronie danych zmiany miały dotyczyć jedynie podmiotów, które w trybie przewidzianym w ustawie o ułatwieniu działalności gospodarczej powołają i zgłoszą do GIODO administratora bezpieczeństwa informacji.

Wielokrtonie w toku prac legislacyjnych podkreślano, iż decyzja o powołaniu ABI miała zależeć od woli administratorów danych. Nowy system miał mieć charakter fakultatywny. Tymczasem obowiązki określone w rozporządzeniu wykonawczym dotyczącym trybu i realizacji zadań ABI, będą dotyczyć wszystkich administratorów danych osobowych nawet tych, którzy nie zdecydują się nie powołanie ABI i nie będą objęci zwolnieniem z obowiązków rejestracji zbiorów w GIODO..

Rozszerzenie nowych obowiązków zapewnienia zgodności przetwarzania danych osobowych na wszystkich administratorów również tych, którzy nie skorzystają z ułatwień regulacji, gdyż nie zdecydują się na powołanie ABI  niweczy cel zmian deregulacyjnych.

Czyli miało być pięknie a wyszło jak zawsze…

Powołanie ABI nie jest obowiązkiem

Inspiracją do tego wpisu była rozmowa z klientem, który zadzwonił do mnie z przerażeniem, że zmieniły się przepisy i że on chce zgodnie z nimi uporządkować obszar ochrony danych osobowych i powołać  ABI .

W toku rozmowy zorientowałam się, iż  klient ma przeświadczenie, że powołanie ABI stało się obowiązkiem prawnym, o czym przypomina nieustanny spaming od firm, które świadczą tego rodzaju usługi w zakresie ochrony danych osobowych.

Świadectwo klienta trochę mnie wprawiło w osłupienie, gdyż nie zdawałam sobie sprawy, że uprawiane są tego rodzaju naganne praktyki. Dodatkowo jeszcze wprowadzające w błąd. Bowiem nowelizacja ustawy o ochronie danych osobowych, która weszła w życie z dniem 1 stycznia 2015 r. nie wprowadza obowiązku powołania ABI a wręcz przeciwnie stanowi, iż powołanie ABI jest prawem a nie obowiązkiem administratora danych.

W przypadku niepowołania ABI jego zadania z wyłączeniem obowiązku sporządzania sprawozdania wykonuje administrator danych.

Czy administrator danych osobowych w związku z niepowołaniem ABI, w świetle znowelizowanej ustawy o ochronie danych osobowych  osobowych będzie miał więcej obowiązków, przyjrzymy się w kolejnych wpisach.