Zamieszanie z bezpieczeństwem informacji w firmach i urzędach
Niebotyczne kary za niedopełnienie do końca czerwca obowiązku rejestracji administratora bezpieczeństwa informacji? Nieuczciwe firmy korzystają z niewiedzy swoich klientów i takimi groźbami próbują zdobywać nowe zamówienia. Eksperci IT uspokajają: firmom i instytucjom, które nie powołały jeszcze administratorów, nie grożą sankcje.
Do firm świadczących usługi IT dla zewnętrznych klientów dociera w ostatnich dniach wiele próśb o ofertę lub nawet zaproszeń do podpisania umów na pełnienie usług administratora bezpieczeństwa informacji. – Codziennie w tej sprawie zgłasza się do nas kilku kontrahentów. Na rynku jest duże zamieszanie, wynikające z niepełnej wiedzy na temat obowiązujących przepisów dotyczących bezpieczeństwa informacji. Niestety, korzystają na tym nieuczciwe podmioty, które klientów wprowadzają w błąd co do możliwych sankcji za niedopełnienie obowiązków rejestracji administratorów bezpieczeństwa informacji – mówi Sergiusz Kunert, menadżer Działu IT w Grupie Gumułka.
Skąd to zamieszanie? 1 stycznia 2015 weszły w życie zapisy ustawy o ułatwieniu wykonywania działalności gospodarczej, które wprowadziły zmiany w zapisach ustawy o ochrony danych osobowych. Zdefiniowano między innymi nowa rolę oraz zakres zadań i obowiązków administratora danych osobowych (ADO). – Takim administratorem jest każdy pracodawca, zatrudniający nawet 1 osobę, który przetwarza dane osobowe swoich pracowników. Przepisy nakładają na ADO obowiązek ochrony danych, stosowania środków nadzoru nad prawidłowością ich przetwarzania oraz dokumentowanie tego procesu – wyjaśnia Sergiusz Kunert.
Administrator Danych Osobowych może dodatkowo powołać Administratora Bezpieczeństwa Informacji (ABI), który będzie go wspierał w procesie nadzoru nad prawidłowym funkcjonowania obszaru ochrony danych osobowych czy też będzie samodzielnie realizował zadania wynikające z ustawy. Prawo do powołania administratora bezpieczeństwa informacji jest zatem uprawnieniem każdego podmiotu przetwarzającego dane osobowe, a nie obowiązkiem.
Nowe przepisy nie wprowadziły jednak obowiązku zgłoszenia administratora bezpieczeństwa Informacji do GIODO w terminie do 30 czerwca. – Brak takiego zgłoszenia nie wiąże się z żadnymi sankcjami. Obowiązkowe jest jedynie poinformowania GIODO o powołaniu ABI w terminie 30 dni od daty jego powołania – podkreśla ekspert Grupy Gumułka.
Skąd więc w ostatnich dniach panika na rynku i masowe poszukiwanie firm świadczących usługi ABI? Ustawodawca przewidział przypadki, iż część administratorów danych posiada już wcześniej powołanych administratorów bezpieczeństwa informacji. W takim przypadku ABI pełni nieprzerwanie swoją funkcję na podstawie wcześniejszego aktu powołania, nie dłużej jednak niż do dnia 30 czerwca 2015. Do tego czasu administrator danych ma obowiązek zgłoszenia do GIODO administratora bezpieczeństwa informacji w trybie przewidzianym ustawą. W sytuacji niedopełnienia tego obowiązku, mandat do realizacji funkcji administratora bezpieczeństwa informacji wygasa, a realizację jego zadań zobowiązany jest przejąć administrator danych.
– Przestrzegam przed ofertami, w których straszy się niebotycznymi karami za niepowołanie do końca czerwca administratora bezpieczeństwa informacji. W ten nieuczciwy sposób niektóre firmy próbują skorzystać z nieznajomości prawa. Administratorzy danych, którzy nie dopełnili wspomnianych wcześniej obowiązków, mogą spać spokojnie – podkreśla Sergiusz Kunert z Działu IT Grupy Gumułka.
Więcej o Grupie Gumułka na www.gumulka.pl
Wojciech Gumułka
