ABI nie będzie szpiegiem

opublikowano: 24-07-2014, 00:00

Ochrona danych: Nowe przepisy o bezpieczeństwie informacji mają ułatwić firmom pracę — przekonuje minister Wojciech Wiewiórowski

Dr Wojciech Wiewiórowski, pełniący urząd Generalnego Inspektora Ochrony Danych Osobowych (GIODO) regularnie broni projektu powoływania w przedsiębiorstwach administratorów bezpieczeństwa informacji (ABI). Przedsiębiorcy obawiają się, że wyznaczona do tego osoba będzie po prostu „człowiekiem GIODO” wewnątrz firmy.

KTO TU JEST SZEFEM: Z żadnego przepisu nie wynika, żeby administrator bezpieczeństwa informacji podlegał w jakikolwiek sposób GIODO jako przełożonemu – mówi dr Wojciech Wiewiórowski, generalny inspektor ochrony danych osobowych.
KTO TU JEST SZEFEM: Z żadnego przepisu nie wynika, żeby administrator bezpieczeństwa informacji podlegał w jakikolwiek sposób GIODO jako przełożonemu – mówi dr Wojciech Wiewiórowski, generalny inspektor ochrony danych osobowych.
None
None

— Ani to szpieg, ani wtyka — zapewniał minister na spotkaniu z przedstawicielami biznesu, zorganizowanym przez Iron Mountain Polska.

Zdecyduje ADO

Wojciech Wiewiórowski uważa, że nieufność co do przyszłej roli ABI jest zrozumiała, bo wątpliwości zwykle pojawiają się wraz z zapowiedziami nowych rozwiązań. Zapewnił jednak, że nie mają one podstaw.

— Jestem ostatnią osobą, której zależałoby na tym, żeby traktować ABI jako swojego pracownika — mówił GIODO. Podkreślił, że przyszłe przepisy sugerują, aby GIODO wyjaśniał z administratorem danychosobowych (ADO) działającym w danej firmie sytuacje, wskazujące na niewłaściwą pracę tamtejszego ABI. Nowe rozwiązania nie zmienią roli administratora danych i nie zmniejszą jego odpowiedzialności za zgodne z prawem gromadzenie i przetwarzanie danych osobowych. On też zdecyduje, czy powołać ABI. Jeśli go powoła, nie będzie trzeba zgłaszać zbioru danych do rejestru generalnego inspektora.

Zasady powołania ABI określa ustawa o ułatwieniu wykonywania działalności gospodarczej, która wprowadzi odpowiednie zmiany do ustawy o ochronie danych osobowych. Sejm rozpoczął nad nią prace i skierował ją do Komisji Nadzwyczajnej do spraw związanych z ograniczaniem biurokracji. Zakłada się, że nowe przepisy wejdą w życie w styczniu 2015 r. Administrator danych osobowych, który zdecyduje się powołać ABI, będzie musiał powiadomić o tym GIODO w ciągu 30 dni. ABI znajdzie się wtedy w specjalnym rejestrze. Osoba pełniąca tę funkcję ma podlegać bezpośrednio kierownikowi danej jednostki organizacyjnej lub administratorowi danych. Do ABI ma należeć przede wszystkim zapewnienie przestrzegania przepisów o ochronie danych osobowych.

— Przyszła ustawa usytuowała ABI blisko szefostwa firmy, a jednocześnie zapewnia GIODO bezpośredni z nim kontakt. To dlatego m.in., że długo może trwać przekazywanie informacji od administratora danych do administratora bezpieczeństwa, gdy np. pierwszy ma siedzibę w Warszawie, a drugi w Gdańsku, gdzie de facto są przetwarzane dane — wyjaśnił Wojciech Wiewiórowski.

Przedsiębiorcy usłyszeli, że GIODO będzie mógł polecić ABI przeprowadzenie określonej kontroli w firmie. Potem powinienuzyskać z niej sprawozdanie. Wojciech Wiewiórowski przekonywał, że to korzystne rozwiązanie, bo inspekcja z zewnątrz sprawdza wszystko, nawet gdy powodem jej wizyty jest skarga, która okazuje się bezzasadna.

— Jeśli ABI dojdzie do wniosku, że coś trzeba poprawić, zostawimy to jemu. Razem z administratorem danych zdecydują, czy i co należy zrobić. Jeśli GIODO uzna, że ABI nie wykonał właściwie polecenia, odpowiedzialności będziemy żądać od administratora danych — podkreślił minister.

Dla dużych baz

GIODO uważa, że ABI to dobre rozwiązanie dla firm często kontrolowanych, jak np. biuro informacji kredytowej (BIK).

— 90 proc. naszych kontroli mógłby przeprowadzić ABI, bo zwykle dotyczą takich samych danych, tego samego zbioru, takiego samego zdarzenia, a jedynie odnoszą się do innej osoby. BIK doskonale zna sposób postępowania GIODO, wie, na co zwraca uwagę i jak kontroluje. ABI może to zrobić sam, wybawiając też firmę z dezorganizowania pracy, gdy na teren wkracza inspekcja — mówił generalny inspektor. Jego zdaniem, to rozwiązanie dla firm przetwarzających duże zbiory danych klientów.

Zadania ABI

Zapewnienie przestrzegania przepisów o ochronie danych osobowych, m.in. przez: — sprawdzanie zgodności przetwarzania danych osobowych z przepisami i opracowanie w tym zakresie sprawozdania dla administratora danych — nadzorowanie opracowania i aktualizowania dokumentacji wymaganej ustawą — zapewnienie zapoznania z przepisami osób upoważnionych do przetwarzania danych osobowych Prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych Wykonywanie obowiązków powierzonych przez administratora danych, jeżeli nie naruszy to prawidłowego wykonywania zadań.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane