ABI – wprowadzać czy nie wprowadzać?

ABI – wprowadzać czy nie wprowadzać?

Ustawa z 23.10.2014 r. o ułatwieniu wykonywania działalności gospodarczej, która weszła w życie z dniem 01.01.2015 r.  zmienia wiele ustaw, w tym Ustawę o ochronie danych osobowych wprowadzając tym samym szereg zmian w zakresie ochrony i przetwarzania danych, także w TFI. W szczególności zmiany dotyczą zakresu kompetencji, obowiązków i odpowiedzialności Administratorów Bezpieczeństwa Informacji (ABI) oraz Administratorów Danych Osobowych (ADO).

 

Zmiany te stanowiły punkt wyjścia do dyskusji podczas seminarium zorganizowanym przez FIS i poprowadzonym przez mecenasa Gerarda Karpa, specjalizującego się w prawie ochrony danych osobowych. Okazało się, że wątpliwości jest mnóstwo, a główny problem uczestników seminarium sprowadza się do pytania czy tak naprawdę warto powołać ABI w TFI.

Nie ma uniwersalnej odpowiedzi na to pytanie, jako że uzależniona jest ona od wielu czynników, m. in: dotychczasowych rozwiązań dotyczących ochrony danych osobowych, wielkości Towarzystwa, przynależności do grupy kapitałowej, możliwości outsourcingu procesu czy wreszcie kultury korporacyjnej. Można natomiast wskazać jakie wady i zalety niesie za sobą rozwiązanie polegające na powołaniu w Towarztstwie ABI wg nowych zasad.

 

 

Największym problemem związanym z powołaniem ABI jest umieszczenie go w strukturze organizacyjnej oraz jego podległość administracyjna. Zakres obowiązków ABI wymaga bowiem kompetencji działu prawnego, compliance oraz IT i tym samym utrudnia powierzenie funkcji ABI, jednej kompetentnej we wszystkich tych obszarach, osobie. Z tego też względu rekomendowanym przez prowadzącego seminarium i dopuszczanym przez Ustawę rozwiązaniem, jest powołanie zastępcy, który uzupełni brakujące kompetencje samego ABI i tym samym zwiększy szanse na prawidłowe wykonywanie obowiązków ABI.

 

Kolejną problematyczną kwestią, także wynikającą ze struktury organizacyjnej TFI, jest się podległość ABI. Ustawa wymaga bowiem organizacyjnej odrębności oraz bezpośredniej podległości ABI wobec Administartora Danych Osobowych czyli Zarządu. Problemem, z którym TFI będą musiały się uporać to zachowanie niezależności ABI i efektów jego pracy, zwłaszcza w przypadku wykrycia nieprawidłowości. Zagadnienie to wydaję się być największym zagrożeniem prawidłowego wykonywania obowiązków przez ABI i jednocześnie największym wyzwaniem dla TFI bowiem w przeciwnym wypadku powołanie ABI minie się z celem.

 

Poza opisanymi powyżej wadami i zagrożeniami wskazać można też inne, istotne bardziej lub mniej dla TFI czy samego ABI. Zatem czy zalety tego rozwiązania są w stanie je pokonać lub chociaż zrównoważyć?

 

Bez wątpienia najważniejszą zaletą powołania Administratora Bezpieczeństwa Informacji na nowych zasadach jest jasne doprecyzowanie i ustalenie odpowiedzialności za obszar związany z ochroną i przetwarzaniem danych osobowych w organizacji. To ABI prowadzi rejestr zbiorów danych, to on zapewnia i nadzoruje przestrzeganie przepisów prawa z tym związanych oraz dokonuje sprawdzeń w tym zakresie,  a także – last but not least – to ABI ponosi odpowiedzialność za nieprawidłowe wykonywanie obowiązków. Z punktu widzenia Zarządu ma to kolosalne znaczenie. Choć Ustawa formalnie nie zdejmuje z ADO odpowiedzialności cywilno-prawnej to pozwala na uniknięcie kary z tym związanej w przypadku gdy w TFI funkcjonuje ABI, a ABI ponosi wyłącznie odpowiedzialność administracyjną.

 

Zatem powołanie ABI umożliwia uniknięcie odpowiedzialności cywilno-prawnej przez ADO czyli Zarząd Towarzystwa

 

Jest to argument, zdecydowanie przemawiający  ZA powołaniem ABI nawet mimo pewnych niedogodności czy trudności wynikających z tego faktu.

 

Pamiętać także należy, iż nieunikniony jest dalszy rozwój technologii i w związku z tym coraz szersze możliwości przechowywania, wykorzystywania oraz ochrony danych. Tym samym coraz trudniejsze będzie sprawowanie kontroli nad wszystkimi procesami związanymi z danymi osobowymi.

 

Biorąc pod uwagę powyższe, powołanie ABI i tym samym jasne ustalenie odpowiedzialności za obszar danych osobowych, wydaje się być jak najbardziej uzasadnione – jeśli nie już teraz to w perspektywie kilkunastu miesięcy okaże się to po prostu niezbędne do prawidłowego funkcjonowania Towarzystwa.

 

Poza dylematem dotyczącym powoływania ABI w trakcie warsztatu omówione zostały ponadto nowe obowiązki ABI oraz nowe kompetencje GIODO. Prowadzący rozwiał też wątpliwości dotyczące transferu danych osobowych poza Europejski Obszar Gospodarczy, co ważne w przypadku Towarzystw będących częścią zagranicznych grup kapitałowych. Zaznaczone zostały różnice pomiędzy transferem danych w EOG oraz do państw trzecich na zasadach tzw. adekwatnej ochrony, czyli standardowych klauzul umownych (SCC) oraz wiążących reguł korporacyjnych (BCR), czy na mocy programu Safe Harbour do USA. W tym kontekście pojawił się też temat FATCA oraz przepływu danych rezydentów podatkowych. Opisany został także temat whistleblowingu i problem anonimowości danych osobowych obu stron tego procesu. Podczas dyskusji padły też odpowiedzi na pytania dotyczące problemu ochrony danych osobowych pracowników oraz związanych z procesami rekrutacyjnymi. Ostatnim punktem było przedstawienie projektów rozporządzeń wykonawczych do ustawy, zwłaszcza szczegóły dotyczące przygotowania sprawdzenia planowego oraz pozaplanowego przez ABI.

BACK                                                                  HOME                                                                NEXT

 

No Comments

Sorry, the comment form is closed at this time.