ABI ADO ASI itp. ….. to dla niektórych czarna magia. W ostatnim czasie zaobserwowałem pewną „psychozę” dotyczącą problemu ochrony danych osobowych. W związku ze zmianą przepisów wiele firm szkoleniowych zwietrzyło biznes i rozpoczęło „nabór” na jak twierdzą obowiązkowe szkolenia. Nawet do mnie zadzwoniła Pani z propozycją nie do odrzucenia, usiłując mi wmówić, że radca prawny ma teraz obowiązek odbycia szkolenia w zakresie danych osobowych. Niestety podstawy prawnej powołać już nie potrafiła.
Podobnie sprawa ma się z Administratorem Bezpieczeństwa Informacji (ABI) szereg firm świadczących tego typu usługi usiłuje przekonać o obligatoryjności tego rozwiązania.
Otóż informuję wszystkich zainteresowanych, że powołanie ABI na dzień dzisiejszy nie jest obowiązkowe. Jak to powiedział jeden z uczciwych szkoleniowców, w dość oczywiście dużym uproszczeniu „najlepszą rzeczą w zmianie przepisów w tym zakresie jest to , że nie musimy ich stosować” ;-).
Jeśli nie ABI to co ? Jeżeli Administrator Danych Osobowych (ADO) nie powoła ABI to po prostu sam odpowiada za tą działkę. Nie może stworzyć stanowiska pełnomocnika, pomocnika, asystenta czy też innego referenta ds. ochrony danych osobowych, które to stanowisko wyeliminowałoby odpowiedzialność ADO.
Tak więc spokojnie, bez paniki ABI to nie oblig. Nie mniej jednak w moim przekonaniu z uwagi na wciąż rosnącą ilość danych osobowych i różnych kanałów ich przepływu a w szczególności ilości danych jakimi operuje spółdzielnia, powołanie ABI może przynieść wymierne korzyści.
Nie mówię tu o kontrolach GIODO bo na dzień dzisiejszy nie ma ich zbyt wiele ale mam na myśli inne roszczenia i postępowania chociażby wynikające z przepisów o ochronie dóbr osobistych czy kodeksu karnego. Ponadto przepisy o ochronie danych osobowych nie należą do, że tak powiem łatwostrawnych i z pewnością z tego co już obserwuję w prawie unijnym, sprawy nie zmierzają ku uproszczeniu.
Niektórzy myślą „aa dam prawnikowi niech zaparafuje i po sprawie” No niezupełnie, ochrona danych osobowych wymaga również sporej wiedzy technicznej stąd liczenie tylko na prawnika nie jest dobrym rozwiązaniem.
Plusów powołania ABI jest sporo ale są też minusy. Przykładowo na podstawie nowych przepisów, GIODO, zamiast przeprowadzania kontroli w przedsiębiorstwie, może zlecić ABI wykonywanie czynności polegających na sprawdzeniu zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, wtedy pozostaje nam jedynie powiedzieć „i ty Brutusie?”.
Podsumowując, jeżeli są w jednostce osoby, którym można zaufać pod względem kompetencji prawnych i techniczno – informatycznych to zarząd może nie powoływać ABI i odpowiadać za zapewnienie przestrzegania przepisów o ochronie danych osobowych sam, można również zrzucić co nieco brzemienia odpowiedzialności i ABI powołać.
To tak skrótowo, ale temat jest rozwojowy 🙂
