Komu opłaca się powołać ABI

Obecnie powołanie ABI nie jest obowiązkowe. Obowiązkowe jest natomiast zapewnienie ochrony danych osobowych w sposób zgodny z przepisami prawa. Pilnować tego może oczywiście formalnie powołany, wyspecjalizowany administrator bezpieczeństwa informacji.

Taka funkcja powinna być poważnie brana pod uwagę przede wszystkim w organizacjach, które mają wiele dużych zbiorów danych. Jeśli więc oprócz danych pracowników przetwarzane są dane różnego rodzaju klientów, kontrahentów, dane są zbierane w różnych celach, na podstawie różnych przepisów prawa lub innych przesłanek legalizujących gromadzenie danych, to tam jest czego pilnować i powołany ABI miałby co robić.

Do takich instytucji należałoby na przykład zaliczyć urzędy miast i gmin oraz inne jednostki administracji publicznej, na przykład urzędy skarbowe. Nie sądzę jednak, aby pani sekretarz szkoły czy przedszkola, będąc powołanym ABI, była w stanie wywiązać się w pełni ze wspominanych wcześniej rozporządzeń MAiC.

Nie wątpię tu w odpowiednią wiedzę z zakresu ochrony danych osobowych, która jest ustawowo wymagana. Może być jednak problem z pierwszeństwem wykonywania zadań ABI przed przecież licznymi innymi obowiązkami pracowniczymi. Oczywiście, pani sekretarz może być osobą wyznaczoną przez dyrektora do sprawowania w jego imieniu nadzoru nad przestrzeganiem przepisów, a zwłaszcza art. 36a ust. 2 pkt 1 ustawy o ochronie danych osobowych.

Wtedy jednak wspomniane rozporządzenia nie są obowiązkowe. Można je potraktować jako wskazówki, a nie zalecenia do bezwzględnego wypełniania. Powołany ABI, wypełniający wymogi rozporządzeń wykonawczych do ustawy, miałby uzasadnienie w instytucjach i organizacjach, gdzie w grę wchodzi przetwarzanie danych objętych dodatkowo tajemnicą sektorową/zawodową. Będą to więc banki, firmy ubezpieczeniowe, a także firmy telekomunikacyjne. Szczególnej ochronie podlegają przecież dane wrażliwe, sensytywne.

Są to informacje wymienione w art. 27 ustawy o ochronie danych osobowych i dotyczą danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Tak więc szpitale, kliniki, sieci aptek, firmy farmaceutyczne, związki zawodowe czy duże ośrodki pomocy społecznej powinny rozważyć powołanie ABI. Powołany ABI przydałby się też firmom, których głównym przedmiotem działalności jest gromadzenie i przetwarzanie danych osobowych. Będą to więc wszelkiego rodzaju firmy marketingowe, zwłaszcza takie, które tworzą i udostępniają bazy danych lub świadczą usługi, np. telemarketingowe.

Wydawcy prasy, zwłaszcza wszelkich poradników. Mam tu przede wszystkim na myśli duże spółki marketingu bezpośredniego. Osoba fizyczna prowadząca jednoosobową działalność gospodarczą, na przykład nieduży sklep internetowy, nie będzie powoływać ABI, ze wszystkimi tego konsekwencjami, łącznie finansowymi.

Powołany ABI powinien mieć dość szeroką wiedzę na temat bardzo różnych przepisów dotyczących przetwarzania i ochrony danych osobowych. Ustawa o ochronie danych osobowych w sposób ogólny określa zasady przetwarzania danych. W pierwszej kolejności zawsze mają zastosowanie przepisy szczegółowe, wynikające ze szczególnych, branżowych ustaw.

Przepisy się zmieniają. Przy chociażby wspomnianym marketingu bezpośrednim trzeba stosować aktualne przepisy dotyczące czy to praw konsumenta, czy przesyłania informacji handlowych drogą e-mailową i telefoniczną. ABI powinien m.in. sprawdzać adekwatność gromadzonych danych, czyli czy zbierane są tylko takie dane, które są konieczne do określonego celu lub takie, które są wymienione w przepisach prawa. ABI musi też kontrolować, czy na przykład w teczkach osobowych pracowników nie są przechowywane kserokopie dowodów osobistych.