ABI będzie mógł donosić sam na siebie

opublikowano: 05-01-2015, 00:00

Jeśli GIODO zarejestruje administratora bezpieczeństwa informacji, firma nie musi zgłaszać zbioru danych.

Powołanie w firmach administratora bezpieczeństwa informacji (ABI) nie jest od tego roku obowiązkowe. Jednak wciąż budzi wiele wątpliwości i obaw. Ustawa o ułatwieniu wykonywania działalności gospodarczej, czyli tzw. ustawa deregulacyjna autorstwa resortu gospodarki, która znowelizowała przepisy o ochronie danych osobowych, nakłada na ABI większy zakres obowiązków (pisaliśmy o tym w ubiegłym tygodniu). To istotna zmiana z punktu widzenia administratorów danych osobowych, zarządzających zbiorami informacji wykorzystywanymi przez firmy. Wiąże się np. ze zniesieniem obowiązku zgłaszania zbiorów do rejestru generalnego inspektora ochrony danych osobowych (GIODO), jeżeli w przedsiębiorstwie będzie działać ABI. Nie dotyczy to zbiorów z danymi wrażliwymi.

— Przedsiębiorca, który nie chce zgłaszać bazy danych, będzie musiał wcześniej zarejestrować ABI w specjalnym rejestrze prowadzonym od tego roku przez GIODO. To ułatwienie dla obecnych administratorów danych osobowych, szczególnie zobligowanych do wypełniania skomplikowanych wniosków rejestracyjnych w GIODO i tych podmiotów, które już posiadają kompetentnych ABI — ocenia Daniel Zawiliński, CMO platformy SerwerSMS.pl.

Zastrzega przy tym, że nowe regulacje mogą oznaczać przerzucenie na przedsiębiorstwa wielu czynności administracyjno-sprawozdawczych, realizowanych dotychczas przez inspektorów GIODO. Magdalena Koniarska, aplikantka adwokacka w kancelarii prawnej Wierzbowski Eversheds, przypomina, że ABI ma m.in. sprawdzać w firmie zgodność przetwarzania danych osobowych z przepisami prawa. O taką wewnętrzną kontrolę może zwrócić się do niego GIODO i zobowiązać ABI do przedstawienia sprawozdania.

— Pojawia się tu pewien dysonans. Z jednej strony ABI pracuje dla administratora danych, a z drugiej ma go skontrolować „w zastępstwie” GIODO. Z pewnością odciąży to biuro generalnego inspektora, ale zarazem budzi obawy przedsiębiorców— zauważa aplikantka. Jak mówi, ABI może być poddawany naciskom ze strony administratora danych, aby w sprawozdaniu nie ujawniać faktów, świadczących o niedochowaniu przepisów.

— Ponadto wydaje się, że wyjawienie niektórych informacji może wskazywać, że sam ABI nie dopełnił obowiązków, a więc oznaczać donoszenie na samego siebie — dodaje Magdalena Koniarska.

Według ekspertów platformy SerwerSMS.pl, rozwiązaniem może być outsourcing obowiązków administratora bezpieczeństwa informacji. Zewnętrzny ABI może zapewnić niezależność od wewnętrznych struktur firmy, dać gwarancję bezstronności podczas audytów i kontroli stanu ochrony danych osobowych w danym przedsiębiorstwie.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane

Inspiracje Pulsu Biznesu