Do końca grudnia 2014 r. spółki, które gromadzą np. imiona, nazwiska i adresy e-mailowe klientów, powinny mieć wyznaczonego administratora bezpieczeństwa informacji (ABI). Od 1 stycznia miały mieć wybór, czy chcą powołać ABI czy nie. Prawo takie miała im dać znowelizowana ustawa o ochronie danych osobowych.
Szkopuł w tym, że przez przepisy przejściowe firmy, które zatrudniały ABI przed 1 stycznia, mają obowiązek robić to dalej nawet przez sześć miesięcy, ale już na nowych zasadach. Te, które go powołają, nie muszą rejestrować wszystkich zbiorów danych u generalnego inspektora ochrony danych osobowych, ale muszą zapewnić ABI środki finansowe oraz niezależność w wykonywaniu przez niego zadań. Jednak co mają dokładnie zrobić, nie wiadomo, bo wciąż brakuje rozporządzeń wykonawczych.
Nie ma też generalnego inspektora danych osobowych (wakat), który pomógłby zinterpretować niejasne przepisy.
Sankcje karne
Większość firm nie dostosowała się do zmienionej rzeczywistości prawnej. Nowelizacja została bowiem ogłoszona 27 listopada, a weszła w życie 1 stycznia. Jej adresaci mieli więc bardzo mało czasu na przygotowanie się do nadchodzących zmian i dostosowanie do nich całej struktury organizacyjnej. Eksperci alarmują, że może to dotyczyć tysięcy przedsiębiorców.
– Zgodnie z nowymi przepisami administrator stał się buforem między GIODO a firmami. Musi zapewnić bezpieczeństwo informacji. W razie np. wycieku danych może ponieść odpowiedzialność. Ale jeżeli firma nie zdążyła zapewnić mu odpowiednich warunków pracy, to odpowiedzialność karna może zawisnąć nad członkami zarządu – wyjaśnia Paweł Litwiński z Instytutu Allerhanda. Zgodnie bowiem z art. 52 ustawy o ochronie danych osobowych za naruszenie obowiązku zabezpieczenia danych, nawet nieumyślne, grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku.
– Pracownik, który wypełnia funkcje administratora, może teoretycznie odmówić dalszego bycia ABI, ale naraża się wtedy na zwolnienie – zaznacza Litwiński.
Znikąd pomocy
Dodatkowym problemem jest pusty fotel generalnego inspektora ochrony danych osobowych. W listopadzie rezygnację z tej funkcji złożył Rafał Wiewiórowski, który został zastępcą europejskiego GIODO.
– Nie ma zatem merytorycznej osoby, która mogłaby wydać stanowisko w tej sprawie – wskazuje Maciej Byczkowski, prezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji. Urząd informuje tylko na swojej stronie internetowej, że z ustawy o ochronie danych osobowych nie wynika obowiązek udzielania przez generalnego inspektora porad prawnych ani wydawania interpretacji przepisów.
– Nie wydano też rozporządzeń dotyczących administratorów bezpieczeństwa informacji. Jesteśmy w zawieszeniu – zwraca uwagę Byczkowski. – Obecny stan nie pozwala w pełni prawidłowo wykonywać obowiązków ABI.
W odpowiedzi na pytanie „Rzeczpospolitej" urząd wyjaśnia, że GIODO, by udzielić wsparcia administratorom danych, przygotował materiały informacyjne. Dodaje też, że problem z ABI nie był jednak dotychczas zgłaszany, ale po analizie inspektor przedstawi stanowisko w tej sprawie na swojej stronie internetowej.
Firmy miały tylko 34 dni na dostosowanie się do nowych przepisów
Opinia dla „Rz"
Grzegorz Sibiga, Polska Akademia Nauk
Administrator danych wybiera, czy samodzielnie realizuje zadanie zapewnienia przestrzegania przepisów o ochronie danych osobowych w swojej sferze wewnętrznej, czy też powołuje w tym celu niezależnego administratora bezpieczeństwa informacji. Jednakże warto, aby powołanie administratora bezpieczeństwa było przemyślaną decyzją, ponieważ należy zapewnić mu odrębność organizacyjną i przeznaczyć środki na działalność, tak aby mógł niezależnie wykonywać swoje obowiązki. Niecelowy jest natomiast automatyzm w przyznawaniu tej funkcji osobom dotychczas zajmującym się ochroną danych.
Czytaj też w piątkowej „Rzeczpospolitej": „Przejściowe problemy z ochroną danych" oraz „Kto zadba o bezpieczne dane osobowe"
