Przedsiębiorcy niechętnie powierzą dane osobowe administratorom bezpieczeństwa informacji

Do 30 czerwca 2015 r. przedsiębiorcy powinni zgłosić do generalnego inspektora ochrony danych osobowych (GIODO) administratorów bezpieczeństwa informacji (ABI). Ociągają się, bo zorganizowanie takiego stanowiska pracy kosztuje i jest skomplikowane. Nie chcą też, by pracownik donosił GIODO o nieprawidłowościach.

ABI odpowiadają za ochronę przetwarzania danych osobowych gromadzonych przez firmę. Nie ma obowiązku ich powoływania, gdy przedsiębiorca sam administruje danymi. Powołanie ABI zwalnia jednak z obowiązku zgłaszania do GIODO zbioru danych osobowych. To jednak za mało, by przedsiębiorcy chętnie powoływali administratorów bezpieczeństwa informacji na podstawie nowelizacji ustawy o ochronie danych osobowych, która weszła w życie z początkiem 2015 r.

Dodatkowe trudności

– Do tej pory funkcję ABI pełnili często np. kierownicy działów IT, którzy zajmowali się kwestiami przetwarzania danych osobowych dodatkowo. Zgodnie z przepisami obowiązującymi od 1 stycznia 2015 r. osoba pełniąca funkcję ABI po 1 lipca ma mieć wyodrębnione stanowisko. Ma też podlegać bezpośrednio kierownikowi danej jednostki organizacyjnej (np. zarządowi spółki) – mówi Gabriela Trębicka, radca prawny z kancelarii Linklaters.

Zaznacza, że przedsiębiorca nie tylko ma zapewnić środki niezbędne do wykonywania zadań, ale także zagwarantować organizacyjną odrębność ABI, co może się wiązać z koniecznością utworzenia nowego etatu.

– Nie każdego może być stać na spełnienie tych wszystkich wymagań – dodaje.

Szkopuł w tym, że taka osoba nie będzie pracować tylko dla firmy. GIODO będzie mógł zażądać od niej sporządzenia raportu o sposobie przetwarzania danych osobowych w przedsiębiorstwie. O wykrytych nieprawidłowościach będzie ona musiała zawiadomić GIODO, czyli donieść na swojego pracodawcę.

Gabriela Trębicka zaznacza, że firmy obawiają się takiego wewnętrznego audytora.

Nic dziwnego, że niechętnie powołują ABI. Do tej pory do rejestru GIODO zgłoszono ich 3818. 967 z nich jest już w rejestrze. To niewiele, bo dziś obowiązki ABI pełnią urzędnicy w gminach, pracownicy bibliotek czy urzędów oraz całe rzesze przedsiębiorców bądź ich pracowników.

Wyręczą urząd

W praktyce ABI, którzy mają gwarantować przestrzeganie prawa przy przetwarzaniu danych, będą też elementem nadzoru GIODO nad firmami. Dziś wiele firm w ogóle nie jest kontrolowanych. Tymczasem nawet niewielkie przedsiębiorstwa przetwarzają dane osobowe.

– Rocznie GIODO przeprowadza od 100 do 200 kontroli. Ma do tego tylko 12 inspektorów. I nie ma pieniędzy na to, by takich kontroli było więcej. Tymczasem ABI będzie można zlecić przeprowadzanie pewnego rodzaju samokontroli w przedsiębiorstwie. I rzeczywiście będzie to element nadzoru GIODO nad przedsiębiorcami – mówi Paweł Litwiński, adwokat w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów.

Do powoływania ABI nie zachęca też brak rozporządzeń określających szczegółowo ich obowiązki.