1 stycznia 2015 r. zmieniła się ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2014 poz. 1182 ze zm., zwana dalej Ustawą), wprowadzająca spore zmiany, w większości dotyczących osoby administratora bezpieczeństwa informacji (ABI-ego). Nowością jest w szczególności wprowadzenie wymogów, jakie ABI musi spełniać, a które przedstawiają się następująco:
Art. 36 ust. 5
Administratorem bezpieczeństwa informacji może być osoba, która:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.
Warunek pierwszy i trzeci nie budzą wątpliwości i weryfikują się łatwo. Ale co z drugim? Jaka wiedza ABI-ego jest odpowiednia i kto ma to stwierdzić?
Przed zabraniem się do odpowiedzi na to pytanie sprawdziłem, co sądzą na ten temat osoby dłużej zajmujące się tematyką ochrony danych osobowych.
Krzysztof M. Król, Administrator bezpieczeństwa informacji – czy warto go powołać? (Lookreatywni)
Najważniejszym wymogiem jest posiadanie odpowiedniej wiedzy w zakresie ochrony danych osobowych. To w gestii administratora pozostanie decyzja, czy uważa on danego kandydata za spełniającego oczekiwania. Osoby te mogą podnosić swoje kompetencje poprzez szkolenia i certyfikaty.
Katarzyna Witkowska, Reforma ochrony danych osobowych – nowe obowiązki, nowe korzyści
Na szczególną uwagę zasługuje wymóg posiadania przez administratora bezpieczeństwa informacji odpowiedniej wiedzy. Oznacza to, że administratorem bezpieczeństwa informacji nie może być i wynika to wprost z ustawy, przypadkowa osoba. Ze względu na powierzenie ABI nowych zadań, musi on mieć odpowiednie kompetencje. Niestety ustawa nie zawiera wytycznych, jak oceniać odpowiedni poziom wiedzy.
Arwid Mednis, Nowy status administratorów bezpieczeństwa informacji
Posiadanie „odpowiedniej wiedzy”, wbrew pierwszym komentarzom po opublikowaniu ustawy, nie oznacza, że ABI musi mieć wykształcenie wyższe. Z drugiej strony, użycie przez ustawodawcę kolejnego wyrażenia nieostrego („odpowiednia wiedza”) może nieść dla administratorów danych poważne skutki. Brak odpowiedniej wiedzy może skutkować wykreśleniem ABI z rejestru prowadzonego przez GIODO co oznacza, że nie będzie on mógł pełnić tej funkcji u danego przedsiębiorcy lub innego podmiotu będącego administratorem danych.
Andrzej Lewiński, Administrator bezpieczeństwa informacji powinien być jak inspektor (Rzeczpospolita, 30 grudnia 2014 r., s. D4)
[Co należy rozumieć pod pojęciem odpowiednich kwalifikacji do zajmowania stanowiska ABI?] Ustawa tego nie precyzuje. I zresztą o to chodziło. Celem nowelizacji nie było tworzenie nowej grupy zawodowej, co stałoby w sprzeczności z ogólnym trendem do deregulacji zawodów. To decyzja administratora [danych osobowych – AK], kogo powoła na takie stanowisko. Działając we własnym interesie,powinien powołać osobę, która ma rzeczywistą wiedzę z zakresu ochrony danych.
I last but not least…
JAKIE SĄ WYMAGANIA WOBEC KANDYDATÓW NA ABI? (strona internetowa GIODO)
Przesłanka posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych (art. 36a ust. 5 pkt 2 u.o.d.o.) jest oceniana przez samego administratora danych. Działając we własnym interesie powinien on powołać osobę, która ma rzeczywistą wiedzę z zakresu ochrony danych. Znowelizowane przepisy u.o.d.o. nie wprowadzają wymogu posiadania przez ABI jakichkolwiek certyfikatów, poświadczeń ukończenia odpowiednich szkoleń itp. Poziom odpowiedniej wiedzy powinien być dostosowany do prowadzonych u administratora danych operacji przetwarzania danych oraz wymogów ich ochrony.
Tyle cytatów.
W mojej ocenie podkreślenia wymaga przede wszystkim, że ocena wiedzy ABI-ego dokonywana jest dwukrotnie:
- W momencie zgłaszania ABI-ego do rejestru prowadzonego przez GIODO: zgłoszenia (zgodnie ze wzorem, stanowiącym załącznik do rozporządzenia wydanego na podstawie art. 46f Ustawy) dokonuje administrator danych osobowych (ADO). W treści zgłoszenia ADO deklaruje w szczególności, że ABI posiada odpowiednią wiedzę w zakresie ochrony danych osobowych.
- W momencie badania przez GIODO spełnienia przesłanek z art. 36a ust. 5 Ustawy (w przypadku niespełnienia rzeczonych przesłanek GIODO z urzędu wydaje ADO decyzję o wykreśleniu ABI z rejestru, zgodnie z art. 46d ust. 2 pkt. 1 Ustawy).
O ile zatem na etapie zgłaszania ABI-ego do rejestru ADO ustna deklaracja ABI-ego może być uznana za wystarczającą, o tyle na etapie badania przez GIODO może w skrajnym przypadku (stwierdzenia przez GIODO, że deklarowana wiedza jest niewystarczająca) zaowocować wykreśleniem ABI-ego z rejestru. Oznacza to utratę korzyści związanych z powołaniem ABI-ego, np. możliwość niezgłaszania pewnych zbiorów danych osobowych (przetwarzanych u danego ADO) do GIODO (zgodnie z art. 43 ust. 1a Ustawy).
Wydaje się zatem, że działaniem najbezpieczniejszym jest przejście przez kandydata na ABI-ego szkolenia, na którym pozna tajniki zapewniania przestrzegania przepisów o ochronie danych osobowych (z naciskiem na sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, opracowywanie dokumentacji opisującej sposób przetwarzania danych osobowych i prowadzenie rejestru zbiorów przetwarzanych przez ADO – vide art. 36a ust. 2 Ustawy).