ABI wciąż nie doceniony, czyli pozycja Administratora Bezpieczeństwa Informacji obecnie oraz wobec nowelizacji UODO

W poniższym artykule postaram się przybliżyć funkcję (obowiązki, odpowiedzialność, kompetencje) Administratora Bezpieczeństwa Informacji w przedsiębiorstwie, a także odpowiedzieć na  podstawowe pytania: Jak będą wyglądały zmiany w projekcie nowelizacji oraz w jakim stopniu będą one dotyczyć funkcji Administratora Bezpieczeństwa Informacji?

Obecnie obowiązujące przepisy w żadnym stopniu nie określają tego, kto może pełnić funkcję ABI. Nie sytuują też hierarchii ABI strukturze Administratora Danych. Powoduje to powszechną praktykę, że sprawowanie funkcji ABI nierzadko jest co najwyżej dodatkowym obowiązkiem pracownika. W efekcie osoby pełniące funkcje ABI nie mają odpowiednich kompetencji, a już zwłaszcza czasu, aby w pełnym zakresie realizować przedłożone im zadania związane z przestrzeganiem zasad ochrony danych osobowych.

W porównaniu do ilości, a także rangi zadań, które spoczywają na Administratorze Bezpieczeństwa Informacji, prestiż funkcji jest znikomy. Dlatego, aby ukazać, jak istotną funkcją jest ABI i dlaczego powinna pełnić ją osoba odpowiednio wykształcona, ciesząca się autorytetem oraz dużym zaufaniem, warto wspomnieć o ponoszonej, w przypadku uchybień w przestrzeganiu UODO, odpowiedzialności karnej, m. in za:

• nieuprawnione lub niedopuszczalne przetwarzanie danych osobowych w zbiorze (art. 49 UODO)
• udostępnienie lub umożliwienie dostępu do danych osobowych osobom nieupoważnionym (art. 51 UODO)
• naruszenie obowiązku zabezpieczenia(art. 52 UODO)
• niezgłoszenie zbioru danych do rejestracji (art. 53 UODO)
• niedopełnienie obowiązku informacyjnego (art.  54 UODO)
• udaremnianie lub utrudnianie wykonania czynności kontrolnej inspektorowi GIODO (art. 54a)

W niektórych przypadkach nawet samo niewyznaczenie Administratora Bezpieczeństwa Informacji może być potraktowane jako przestępstwo. Warto mieć zatem świadomość konsekwencji, jakie niesie za sobą brak poświęcenia należytej uwagi kwestii ochrony danych osobowych.

Projekt nowelizacji

Dotychczasowa funkcja Administratora Bezpieczeństwa Informacji ulegnie przekształceniom. Projekt nowelizacji UODO przygotowany m. in. przez Generalnego Inspektora Ochrony Danych Osobowych i Stowarzyszenie Administratorów Bezpieczeństwa Informacji dołączony został przez Ministerstwo Gospodarki do tzw. IV pakietu deregulacyjnego –  założeń projektu ustawy o ułatwieniu warunków wykonywania działalności gospodarczej.

Zmiana obecnie obowiązującej treści UODO związana jest z planowanymi zmianami w prawie Unii Europejskiej, która przystąpiła już do reformy przepisów w tym zakresie.  W miejsce dotychczasowej dyrektywy Parlamentu Europejskiego i Rady 95/46/WE zostanie wprowadzone jednolite rozporządzenie, które będzie dokumentem bezpośrednio obowiązującym w całej Unii Europejskiej.

Obecnie trwają nad nim dalsze prace w Parlamencie Europejskim i choć sam projekt może jeszcze ulec licznym zmianom i przekształceniom, jego przyjęcie wydaje się być jedynie kwestią czasu oraz odpowiednich konsultacji.

Propozycje zmian zamieszczonych w IV pakiecie deregulacyjnym przewidują w zakresie UODO:

• Wyłączenie obowiązku rejestracyjnego wobec administratorów danych, którzy powołali i zgłosili do GIODO administratora bezpieczeństwa informacji oraz wobec przetwarzających dane w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych (wyłączenie nie będzie dotyczyć zbiorów danych wrażliwych). (rozdz. 2.15 )
• Rozszerzenie kompetencji rejestracyjnych GIODO na informacje o administratorach bezpieczeństwa informacji oraz wprowadzenie uproszczonej kontroli przestrzegania przepisów o ochronie danych osobowych. (rozdz. 2.16)
• Umożliwienie administratorom danych (po spełnieniu przez nich określonych warunków) przekazywania danych osobowych do państw trzecich bez konieczności każdorazowego uzyskiwania indywidualnej zgody GIODO. (rozdz. 2.17)

W zamyśle twórców nowelizacji wyżej wymienione zmiany przyniosą szereg korzyści m. in.: usprawnią procedury zgłoszeniowe oraz ułatwią przestrzeganie UODO.

Zmiany dotyczące Administratora Bezpieczeństwa Informacji (ABI)

Kolejnym pozytywnym skutkiem przyjęcia  propozycji GIODO i SABI będzie zapewnienie zgodności proponowanych przepisów ze standardami wyznaczonymi dyrektywą 95/46/WE.  Do tej pory polski ustawodawca nie skorzystał bowiem z możliwości uregulowania instytucji urzędnika ds. ochrony danych osobowych. Aktualnie sformułowana w UODO funkcja Administratora Bezpieczeństwa Informacji nie spełnia warunków do uznania osoby jej pełniącej  wspomnianym urzędnikiem, ponieważ nie gwarantuje mu niezależności oraz zbyt wąsko określa jego zakres obowiązków.

Zaproponowany projekt nowelizacji chce zmienić zarówno pozycję ABI, jak również zwiększyć prestiż związany z ochroną danych osobowych – jej  dalekowzrocznym celem jest stworzenie nowego zawodu, jakim ma się stać Administrator Bezpieczeństwa Informacji. Kandydat na to stanowisko powinien posiadać wyższe wykształcenie, a także mieć szeroką, ciągle aktualizowaną  wiedzę w zakresie ochrony danych osobowych. Równocześnie powinien on łączyć znajomość zagadnień teoretycznych z  praktyczną  zdolnością wykonywania zadań.

Ponadto wyznaczony zostanie status ABI, na który będą się składać:

• wymogi stawiane osobie mającej pełnić tę funkcję
• organizacyjne usytuowania funkcji oraz dopuszczenie nałożenia na ABI innych zadań niż określonych w ustawie o ochronie danych osobowych
• dopuszczenie możliwości powołania zastępcy ABI.

Rozwiązanie to wydaje się być ze wszech miar słuszne, gdyż dotychczasowe regulacje dotyczące ABI są zdecydowanie niewystarczające wobec wyzwania, jakim jest profesjonalna ochrona danych osobowych. Prawidłowe i kompleksowe wdrożenie procedur związanych z ochroną danych osobowych w połączeniu z odpowiednią pracą ABI przynosi bowiem każdej instytucji wiele korzyści, nie tylko w relacjach z pracownikami, ale także z klientami, którzy cenią sobie bezpieczeństwo. Wysokie standardy w ochronie danych osobowych budują pozytywny wizerunek firmy na tle konkurencji.