Z nami dowiesz się jak rozkręcić własny biznes

Outsourcing Abi jako forma wypełnienia obowiązków administratora danych osobowych

Ochrona danych osobowych jest tematem często eksplorowanym, a jednocześnie ulegającym dynamicznym przemianom wraz z rozwojem nowych technologii. Jego znajomość jest niezbędna dla administratorów serwisu internetowego, pracodawców, właścicieli klubów fitness czy sklepów internetowych, jednocześnie wysyłających newslettery lub oferty marketingowe do swoich klientów. W obecnych czasach prowadzenie biznesu nie może się odbyć bez przetwarzania danych osobowych.

Podmiot przetwarzający dane osobowe, który decyduje o celach i środkach przetwarzania, w nomenklaturze ustawy z dnia 29.08.1997 r. o ochronie danych osobowych („uODO”) to „administrator danych”. Spoczywa na nim szereg obowiązków, a jednym z nich jest dbałość o bezpieczeństwo przetwarzanych danych, jednak może on wypełniać obowiązki z tym związane poprzez inne osoby o odpowiednich kwalifikacjach. Art. 36a uODO przewiduje możliwość powołania do wykonywania tych zadań administratora bezpieczeństwa informacji („ABI”).

personal_data

Pojawienie się tego przepisu w treści uODO jest następstwem nowelizacji i dostosowania uODO do obowiązującej na chwilę obecną dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (art. 18 ust. 2). W celu implementacji dyrektyw europejskich państwa członkowskie mogą zdecydować się na dowolne środki, a obowiązkowe jest zrealizowanie jedynie celu dyrektywy. Stąd polski ustawodawca zdecydował się na przyjęcie konstrukcji dowolności powołania ABI. Przyjęte rozwiązania mają również na celu przygotowanie gruntu pod zapowiadany projekt ogólnego rozporządzenia unijnego o ochronie danych osobowych.

Powołanie ABI nie jest jednak obowiązkowe i jeśli takie stanowisko nie zostanie w ramach organizacji wyróżnione, sam administrator danych będzie pełnił obowiązki ABI. Możliwym i niekiedy praktykowanym rozwiązaniem jest powołanie do pełnienia tej funkcji pracownika lub współpracownika, który dysponuje odpowiednią wiedzą oraz kompetencjami. W takiej sytuacji administrator danych musi zapewnić tej osobie niezależność w pełnieniu funkcji ABI w ramach struktury organizacyjnej wewnątrz przedsiębiorstwa.

Jednakże w przypadku, gdy brak osób dysponujących kompetencjami w tym zakresie, powołanie na stanowisko ABI osoby niekompetentnej może narażać na odpowiedzialność administratora danych osobowych, w tym odpowiedzialność karną. Tymczasem istnieje wiele podmiotów specjalizujących się w tematyce ochrony danych osobowych i bezpieczeństwa informacji, którym można powierzyć pełnienie funkcji ABI. Taki outsourcing zadań – jeśli wybór będzie trafny – zagwarantuje pełną profesjonalizację i bezpieczeństwo danych osobowych. Jednym z takich podmiotów jest JPL Group Sp. z o.o. (www.jplgroup.pl) – profesjonalista w dziedzinie ochrony danych osobowych, prawa konsumenckiego oraz prawa reklamy.

Jak wskazano powyżej outsourcing zadań ABI nie jest obligatoryjny, jednakże przyniesie szereg korzyści – zarówno na płaszczyźnie organizacyjno-technicznej (pozwoli zapobiec sporom kompetencyjnym), jak i prawnej (profesjonalny nadzór nad obszarem ochrony danych osobowych). Takie rozwiązanie nie tylko umożliwi odjęcie wymogu wykonywania pewnych obowiązków bezpośrednio przez przedsiębiorcę, ale dodatkowo wprowadzi wysoki poziom wykonywania zadań z dziedziny bezpieczeństwa informacji. Mając na uwadze, że na przedsiębiorcy i tak spoczywają obowiązki administratorów danych, powołanie ABI jest jedynie pewną formą – znacznie dogodniejszą – realizacji tych obowiązków, tym bardziej, że na ABI spoczywa obowiązek przedstawiania administratorowi danych sprawozdań. Warto wspomnieć również o tym, iż powołanie ABI oraz zgłoszenie go do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) zwalnia z obowiązku rejestracji zbiorów zawierających zwykłe dane osobowe.

Wspomniana ustawa przewiduje autonomiczność ABI, umożliwiając im prowadzenie kontroli w zastępstwie GIODO. Posiadanie profesjonalnego ABI czuwającego nad przestrzeganiem wymagań wynikających z uODO zminimalizuje ryzyko wystąpienia sytuacji zagrożenia bezpieczeństwa danych, a w następstwie tego również inspekcji GIODO.

Na chwilę obecną mówi się o pełnej dowolności powołania ABI, jednakże istotne zmiany w tej materii zakłada projekt rozporządzenia unijnego, który przewiduje obowiązek wyznaczenia ABI, m. in. gdy chodzi o administratora danych osobowych, będącego osobą prawną, który przetwarza dane ponad 5.000 podmiotów rocznie w dowolnym okresie kolejnych 12 miesięcy. Warto więc zastanowić się nad skorzystaniem z usługi, jaką świadczy m.in. JPL Group (www.jplgroup.pl) już teraz.

Justyna Matuszak-Leśny, LL.M.

Adwokat, Radca Prawny

Katarzyna Barszczewska

JPL Group Sp. z o. o.