Powołanie administratora bezpieczeństwa informacji (ABI) w przedsiębiorstwie jeszcze nie jest obowiązkiem i nie będzie nim do czasu wejścia w życie unijnych regulacji, nad którymi trwają prace. Polskie prawo może jednak wyprzedzić unijne, bo zapisy dotyczące nowych zasad powoływania ABI mają się znaleźć w kolejnej ustawie deregulacyjnej przygotowywanej przez Ministerstwo Gospodarki.
Przedwczesny start
Pośpiech polskich prawodawców budzi obawy właścicieli firm.
— Niezrozumiałe jest wprowadzanie do polskiego prawa rozwiązań, które idą dalej niż rozporządzenie unijne lub są z nim sprzeczne — mówi Magdalena Osińska, dyrektor ds. prawnych Polskiej Organizacji Handlu i Dystrybucji (POHiD). Wojciech Wiewiórowski, generalny inspektor ochrony danych osobowych (GIODO), przypomina, że prace nad wprowadzeniem polskich przepisów o ABI podjęto na skutek postulatów biznesu, który nie chciał czekać na rozwiązania europejskie.
GIODO nie dostrzega sprzeczności między prawem krajowym a wspólnotowym. Podkreśla, że polski ustawodawca wcześniej planuje wdrożyć jedynie część rozwiązań planowanych przez Unię. W dodatku to, co w unijnym prawie będzie przymusem, w polskim zostanie zapisane jako opcja do wyboru dla przedsiębiorcy.
— Przewiduje się, że przedsiębiorcy będą mogli wybrać, czy chcą stosować dotychczasowe zasady zapisane w ustawie o danych osobowych, czy wolą wdrożyć model przyszłościowy, który przygotowuje Unia. Projektowana ustawa deregulacyjna oferuje zwolnienia podmiotów powołujących ABI z wielu obowiązków administracyjnych, ale jego powołanie będzie wymagane dopiero wtedy, kiedy zacznie obowiązywać unijne rozporządzenie — podkreśla Wojciech Wiewiórowski.
Zdaniem przedstawicielki POHiD, należy jednak unikać dualizmu rozwiązań prawnych, które mogą prowadzić do nierówności przedsiębiorców i dzielić ich na tych, których stać na zatrudnienie ABI, i tych, którzy nie mogą sobie na to pozwolić.
Funkcja, nie zawód
Zdaniem przedsiębiorców, obowiązek zatrudniania ABI nie sprzyja deregulacji, a wręcz przeciwnie — niepotrzebnie ingeruje w wewnętrzne sprawy firm.
— Nie tworzymy nowego zawodu, ani nie wyznaczamy żadnego obowiązkowego zakresu umiejętności czy wiedzy, które ABI miałby posiadać. Mówimy o funkcji — przekonuje GIODO. Wyjaśnia, że powinien ją pełnić ktoś, komu przedsiębiorca ufa. Na ABI może być powołany już zatrudniony pracownik, jak i osoba z zewnątrz. Ponadto nie musi tej roli pełnić jedna osoba, ABI może mieć zastępcę. Wszystko zależy od wielkości podmiotu, liczby danych, którymi dysponuje. W firmie ubezpieczeniowej, która obraca informacjami o tysiącach osób, zadania ABI może wykonywać zespół. — Dla nas wyznaczenie osoby, która kierowałaby takim zespołem, jest istotne, bo dzięki temu wiadomo, z kim się kontaktować w sprawach bezpieczeństwa informacyjnegow przedsiębiorstwie — tłumaczy Wojciech Wiewiórowski.
Jednak zdaniem przedsiębiorców, to niebezpieczny precedens. Inne organy państwowe, np. urząd skarbowy czy ZUS, również mogą zażądać umieszczenia w firmach ich przedstawicieli — oczywiście na koszt przedsiębiorców. — Dotkliwie odczują to szczególnie małe firmy — komentuje Magdalena Osińska. Wątpliwości biznesu budzi też kwestia podległości służbowej ABI.
— Jeżeli ABI ma być niezależny, powinien ponosić pełną odpowiedzialność za przetwarzanie danych osobowych, a nie pozostawiać ją administratorowi danych, czyli przedsiębiorcy. Stosunek pracy charakteryzuje się nadrzędnością służbową, a ABI ma mieć w firmie status podmiotu niezależnego. Pytanie, dlaczego wykonywane przez niego zadania miałyby być finansowane przez przedsiębiorcę. Poza tym nawet fakultatywne powoływanie ABI w firmach stwarza duże ryzyko sankcji ze strony organu państwowego wobec podmiotów, które nie zgłoszą ABI. Przedsiębiorcy będą finansowali koszty kontroli i dokumentacji z tym związanej — wyjaśnia przedstawicielka POHiD. Zdaniem przedsiębiorców, ABI ma być de facto reprezentantem GIODO w ich firmie. Wojciech Wiewiórowski zaprzecza.
— GIODO szefem dla ABI? To nieprawda. Ma być powołany, by dbać o dane pracowników i klientów przedsiębiorcy. Obowiązek taki wynika nie tylko z aktu prawnego, ale także z zasad rozsądnego prowadzenia biznesu. W oczywisty sposób jest to zadanie, które równie dobrze może być spełniane przez samego przedsiębiorcę, nie musi nikogo do tego angażować. Jeśli zechce powołać osobę odpowiedzialną za bezpieczeństwo informacji, nie powinna ona być podporządkowana rozbudowanej hierarchii, lecz np. bezpośrednio zarządowi albo właścicielowi. Dzięki temu ABI mógłby wydawać polecenia wewnątrz firmy, ale nie jako przedłużenie ręki generalnego inspektora, lecz w imieniu przedsiębiorcy — mówi Wojciech Wiewiórowski.
Przedstawicielka POHiD podkreśla jednak, że ABI już są powoływani w dużych firmach na podstawie obecnych przepisów i narzucanie przepisami formy ich podległości służbowej nie ułatwi życia przedsiębiorcom.
Przybędzie kontroli
Firmy obawiają się zwiększenia częstotliwości kontroli u administratorów danych, którzy nie powołają ABI. Jak mówią przedsiębiorcy, przewiduje się kontrole prowadzone przez inspekcję ochrony danych osobowych i przez ABI na zlecenie GIODO, przy czym ten drugi rodzaj kontroli nie wyłączy możliwości kontroli GIODO.
— Przedsiębiorcy obawiają się, że taki dualizm może doprowadzić do zwielokrotnienia czasochłonnych obowiązków sprawozdawczych i związanych z tym kosztów — mówi Magdalena Osińska.
— To ciekawe, bo inni przedstawiciele rynku mają odmienne obawy: spodziewają się wzrostu częstotliwości kontroli w związku z powołaniem ABI — odpowiada generalny inspektor. Mają trochę racji.
— Nigdy nie ukrywałem, że kontroli prowadzonych przez GIODO jest za mało. Obecnie przeprowadzamy ich tyle, ile kilka lat temu, choć liczba zbiorów danych zgłaszanych co roku do rejestracji urosła ponad trzykrotnie. W 2012 r. było to około 22 tysięcy — mówi Wojciech Wiewiórowski.
Może jednak wydawać w stosunku do przedsiębiorców decyzje administracyjne. Nie wyklucza to odpowiedzialności indywidualnej administratora bezpieczeństwa informacji, jeżeli nie wypełni on swoich zadań prawidłowo. Żeby warunek prawidłowej pracy ABI był spełniony, powinien zajmować stosunkowo samodzielne stanowisko w przedsiębiorstwie.
ABI i planowane zmiany
Administratorzy danych już teraz mogą powoływać administratorów bezpieczeństwa informacji. Do ABI należy nadzór nad przestrzeganiem zasad ochrony — szczególnie przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Kolejna ustawa deregulacyjna zakłada zwolnienie administratorów danych z rejestracji zbiorów, jeśli zgłoszą GIODO powołanie ABI.
Przepisy określą wymagania wobec ABI i jego status w firmie. Ponadto przewiduje się możliwość uproszczonej kontroli przestrzegania przepisów o ochronie danych osobowych wykonywanej na wniosek GIODO przez ABI.
GIODO chce, by kontroli było więcej, ale — jak zapewnia — ich częstotliwość nie będzie zależała od tego, czy firma powołała czy nie powołała ABI. Przedsiębiorcy zwracają również uwagę, że GIODO chce wykorzystywać firmowych administratorów bezpieczeństwa informacji do przeprowadzania wewnętrznych kontroli.
— Robimy to już dziś. Jak interpretować zapytania wysyłane przez nas do firm, w których działa ABI, jeśli nie jako sugestie, żeby zbadał on coś, co się tam zdarzyło. Mam nadzieję, że przedsiębiorcy powołują ABI po to, aby kontrolował bezpieczeństwo danych osobowych w ich firmie — podkreśla Wojciech Wiewiórowski.
Odpowiedzialność za ochronę danych osobowych
GIODO przypomina, że odpowiedzialność karną za ochronę danych osobowych ponosi każdy, kto dopuścił się czynów sprzecznych z ustawą o ochronie danych osobowych. Odpowiedzialność karna jest spersonalizowana. Natomiast odpowiedzialność cywilną i administracyjną ponosi w całości przedsiębiorca jako administrator danych osobowych, przy czym o odpowiedzialności administracyjnej dziś trudno mówić, ponieważ prawo nie określa obecnie żadnych sankcji, które mógłby nakładać GIODO.