Nowelizacja Ustawy z dnia 29 sierpnia 1997 roku, która weszła w życie z początkiem 2015 roku wywołała, pewnego rodzaju, nieufność, co do intencji ustawodawcy. Wątpliwości wzbudziły zwłaszcza zapisy dotyczące zasad powoływania przez Administratorów Danych Osobowych (ADO) Administratorów Bezpieczeństwa Informacji (ABI) oraz pozycji, tego ostatniego w strukturze administratora danych i zakresu jego obowiązków.
Kontrowersyjny, zdaniem wielu zainteresowanych problematyką ochrony danych osobowych, jest zapis dotyczący czynności kontrolnych Administratora Bezpieczeństwa Informacji wykonywanych na polecenie GIODO.
Tu i ówdzie przeczytać można było o niekorzystnych dla przedsiębiorców aspektach powołania Administratora Bezpieczeństwa Informacji, takich jak:
- dodatkowe koszty,
- zbyt daleko idące gwarancje jego niezależności;
- szpiegowski charakter działań ABI- ego w firmie na rzecz GIODO.
Jestem przekonany, że u podstaw takich a nie innych zapisów Ustawy o ułatwieniu wykonywania działalności gospodarczej z dnia 7 listopada 2014 r. nie leżała chęć uczynienia z Administratorów Bezpieczeństwa Informacji „wtyczek” GIODO, które działałyby na niekorzyść swoich pracodawców, czy w przypadku outsourcing-u, usługodawców.
Administrator Bezpieczeństwa Informacji (ABI) jest instytucją wywodzącą się z art. 18 dyrektywy95/46/WE i wykazuje w przepisach immanentny związek z obowiązkiem rejestracji zbiorów danych osobowych. Powołanie, przez administratora danych, urzędnika do spraw ochrony danych osobowych, który zapewni stosowanie wewnątrz organizacji przepisów prawa krajowego o ochronie danych osobowych oraz prowadził będzie rejestr operacji przetwarzania danych wykonywanych przez administratora danych umożliwia wprowadzenie przez państwa członkowskie daleko idących uproszczeń ze zwolnieniem z obowiązku zgłaszania zbioru danych do rejestracji włącznie.
Regulacje takie mają zachęcać administratorów danych osobowych do powoływania w swoich organizacjach Administratora Bezpieczeństwa Informacji, co z pewnością zwiększa poziom bezpieczeństwa danych osobowych.
Silna, pozycja Administratora Bezpieczeństwa Informacji w strukturze administratora danych podyktowana jest tym, że działania ABI nie mogą być uzależnione od działań innych osób ani też środków będących w ich dyspozycji.
Odpowiednie środki techniczne (sprzętowe) oraz nadane kompetencje umożliwiać mają ABI:
- wydawanie poleceń dotyczących przestrzegania zasad określonych w dokumentacji (art. 36a ust. 2 pkt 1 lit. b Ustawy o ochronie danych osobowych);
- kontrolowanie działalności administratora danych pod kątem zgodności przetwarzania danych osobowych z przepisami (art. 36a ust. 2 pkt 1 lit. a Ustawy o ochronie danych osobowych);
- prowadzenia szkoleń dotyczących przepisów o ochronie danych osobowych (art. 36a ust. 2 pkt 1 lit. c Ustawy o ochronie danych osobowych);
- prowadzenia rejestru zbiorów danych (art. 36a ust. 2 pkt 2 Ustawy o ochronie danych osobowych);
Zgodnie z art. 19b Ustawy o ochronie danych osobowych GIODO może zwrócić się do ABI wpisanego do rejestru ABI o dokonanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych u administratora danych, który danego ABI powołał wskazując zakres i termin sprawdzenia. Nie wyklucza to, co prawda, skorzystania przez GIODO z własnych kompetencji kontrolnych, biorąc jednak pod uwagę ilość kontroli przeprowadzanych przez GIODO w ciągu roku kalendarzowego, w większości przypadków kontrola wykonana przez ABI powinna finalizować czynności sprawdzające w konkretnej sprawie.
W przypadku polecenia dokonania sprawdzenia przez GIODO ABI przygotowuje sprawozdanie zawierające: wykaz podjętych czynności, określenie podmiotu i zakresu czynności, opis stanu faktycznego stwierdzonego w toku czynności, inne informacje mające znaczenie dla oceny zgodności przetwarzania danych z prawem oraz stwierdzone przypadki naruszenia przepisów. Przygotowane sprawozdanie ze sprawdzenia ABI przedstawia GIODO za pośrednictwem Administratora Danych Osobowych.
Odstąpienie przez GIODO od czynności kontrolnych i zlecenie ich przeprowadzenia Administratorowi Bezpieczeństwa Informacji należy traktować, jako wyraz zaufania w równym stopniu dotyczący Administratora Bezpieczeństwa Informacji, jak i Administratora Danych Osobowych, który go powołał. Jeżeli jednak Administrator Danych Osobowych nie powołał Administratora Bezpieczeństwa Informacji, i sam pełni jego obowiązki z mocy prawa, nie może skorzystać z możliwości uniknięcia kontroli GIODO w związku z wykonaniem sprawdzenia przez ABI.