Z początkiem stycznia tego roku, nastąpiła jedna z największych dotychczas zmian w prawie ochrony danych osobowych. Była to długo oczekiwana nowelizacja, która w znacznej mierze skupiła się na uregulowaniu statusu Administratorów Bezpieczeństwa Informacji.

Na mocy nowych przepisów, administratorzy danych powinni dokonać wyboru, czy będą dbali o bezpieczeństwo danych osobowych samodzielnie, czy też za pomocą wykwalifikowanego podmiotu jakim jest Administrator Bezpieczeństwa Informacji.

Korzyści z powołania ABI

Na pierwszy rzut oka, szczególnie dla tych przedsiębiorców, którzy dotychczas nie przywiązywali szczególnej wagi do ochrony danych osobowych, powoływanie ABI wydaje się zbędnym kosztem. Warto jednak rozważyć, czy w dłuższej perspektywie poniesiony koszt nie przyniesie wymiernych korzyści.

Analiza znowelizowanych przepisów pozwala na wskazanie dwóch podstawowych zalet związanych z powołaniem ABI. Pierwszą jest niewątpliwie uproszczona procedura kontroli, drugą uproszczona procedura rejestracji zbiorów danych osobowych.
Uproszczona procedura kontroli polega na tym, że Generalny Inspektor Ochrony Danych Osobowych w firmie, w której powołano ABI, będzie mógł zaniechać przeprowadzania zewnętrznej kontroli. Nie oznacza to jednak, że kontrola w ogóle nie będzie się odbywać. Będzie miała miejsce, ale na innych zasadach.

W firmie, w której powołano ABI, GIODO będzie mógł przeprowadzać, zamiast kontroli wykonywanej przez własnych inspektorów (jak to miało miejsce do grudnia 2014), tzw. kontrolę wewnętrzną. Kontrola wewnętrzna to nic innego jak sprawdzenie przez ABI, na wniosek GIODO, czy dane osobowe w firmie przetwarzane są zgodnie z prawem. Taka kontrola wydaje się sprzyjać przedsiębiorcom. Nie będą kontrolowani przez zewnętrzne podmioty, lecz przez własnego pracownika, który przedstawi GIODO sprawozdanie z przeprowadzonych przez siebie czynności.

Warto w tym miejscu przypomnieć, że jeśli przedsiębiorca nie powoła ABI, wówczas kontrole GIODO będą odbywały się na starych zasadach, a więc przedsiębiorcy będą sprawdzani przez pracowników GIODO. Z perspektywy uproszczonej kontroli powołanie ABI wydaje się więc korzystne.
Kolejną i równie istotną zaletą powołania ABI, jest uproszczona procedura rejestracji zbiorów danych osobowych. Uproszczona procedura rejestracji polega na tym, że przedsiębiorca, który powoła i zarejestruje ABI, nie będzie musiał zgłaszać do rejestru występujących u niego zbiorów danych osobowych. Wyjątek od tej reguły stanowić będą dane wrażliwe, które pomimo powołania ABI należy zgłaszać do rejestru. Niezaprzeczalnie, zwolnienie z obowiązku rejestracji zbiorów danych osobowych jest dla przedsiębiorców dużym ułatwieniem.
Oprócz wskazanych powyżej korzyści, warto również zwrócić uwagę na wpływ powołania ABI na wizerunek firmy. Korzystanie z ABI, który z założenia profesjonalnie zajmuje się ochroną danych osobowych, w mojej opinii jest wysłaniem sygnału do kontrahentów, że dane osobowe w firmie traktowane są poważnie i podlegają należytej ochronie. Z pewnością walor wizerunkowy dotyczy w głównej mierze dużych podmiotów, które na co dzień zajmują się przetwarzaniem danych osobowych.

Głosy krytyczne

W rozważaniach na temat nowych przepisów związanych z powoływaniem ABI, nie sposób pominąć głosów krytycznych. Przeciwnicy powoływania ABI podnoszą, iż ustanowienie ABI w organizacji to dodatkowy, wysoki koszt. Ponadto, wskazują, że powołanie ABI wiąże się z dopuszczeniem kolejnej osoby do kluczowych dla firmy informacji, co zwiększa ryzyko wycieku tych informacji poza organizację.

Pojawiają się również głosy, że poprzez przyznanie ABI kompetencji kontrolnych, będą oni traktowani w firmach jako „szpiedzy GIODO”, a z drugiej strony GIODO może podchodzić z rezerwą do informacji uzyskiwanych od ABI, gdyż będą to osoby finansowane przez samych zainteresowanych pozytywnym wynikiem kontroli.

Biorąc pod uwagę plusy i minusy powołania ABI, nie można jednoznacznie stwierdzić czy powołanie ABI będzie w każdym przypadku i dla każdego administratora danych korzystne. Wydaje się, że dla oceny nowych rozwiązań decydujące znaczenie będą miały z jednej strony specyfika danej organizacji, a z drugiej praktyka która wykształci się w najbliższym czasie. Niewątpliwie jednak, każdy administrator danych powinien przyjrzeć się swojej strukturze organizacyjnej i ocenić czy jest w stanie samodzielnie zadbać o bezpieczeństwo przetwarzanych danych osobowych oraz czy plusy z powołania ABI przeważają nad minusami.

Oceń artykuł