W dzisiejszym Dzienniku Gazecie Prawnej ukazała się relacja Sławomira Wikariaka z konferencji zorganizowanej w ubiegły poniedziałek przez wydawnictwo C.H.Beck oraz dr Grzegorza Sibigę na temat zmian w ustawie o ochronie danych osobowych. Podczas tej konferencji miałem przyjemność wziąć udział w debacie poświęconej kwestii powoływania administratorów bezpieczeństwa informacji oraz ich obowiązkom. Potwierdza się niestety obserwacja z prowadzonych przez naszą kancelarię szkoleń i spotkań z firmami, że przepisy w tej materii są niejasne, nie stanowią żadnego ułatwienia dla przedsiębiorców (wbrew tytułowi ustawy, która te zmiany wprowadziła) i co więcej - część firm, która zatrudniała ABI przed zmianami została zniechęcona do powołania go "po nowemu" z powodów, o których mowa w artykule. Zachęcam do lektury bo to jedna z pierwszych debat, w której praktycy wymienili się uwagami z perspektywy 3 miesięcy obowiązywania nowych przepisów.
Przy okazji dodam jeszcze jedną kwestię, która nie znalazła się w tekście w DGP, a która była poruszona w dyskusji i choć wydaje się drobna to jednak dla przedsiębiorców niesie ze sobą pewne skutki finansowe. Chodzi o kwestie szkoleń pracowników, którzy zostali upoważnieni do przetwarzania danych osobowych w przedsiębiorstwie.
Przypomnę, że zgodnie z nowym art. 36a) ust. 2 lit. c) ustawy o ochronie danych osobowych do zadań ABI należy m. in. zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Dyskusja dotyczyła dwóch zagadnień: czy to oznacza powrót obowiązku szkoleń z ochrony danych osobowych, a jeśli nie to co oznacza owo "zapewnienie zapoznania"?
Prof. Paweł Fajgielski stanął na stanowisku, że ustawa nie formułuje wyraźnie obowiązku szkoleń pracowników (tak jak to miało miejsce w przepisach rozporządzenia z lat 90-tych), a więc o takim obowiązku trudno mówić. Z kolei, Prezes Maciej Byczkowski wskazał, że ustawodawcy nie chodziło o szkolenia w tradycyjnym znaczeniu, a "zapewnienie zapoznania" oznacza, że ABI może ograniczyć swoje działania np. do wręczenia pracownikom kompletu przepisów o ochronie danych. Ja natomiast byłem zdania, że pomimo braku wyraźnie sformułowanego obowiązku szkoleń wynika on jednak pośrednio z obowiązku nałożonego na ABI. To on odpowiada za to, aby pracownicy zapoznali się z przepisami, co więcej - zapoznali się "skutecznie" bo przepis mówi o "zapewnieniu zapoznania" co może nawet sugerować uprawnienie do zweryfikowania wiedzy pracowników w tym zakresie. O ile pamiętam Prezes Maciej Byczkowski nie jest z wykształcenia prawnikiem, więc dyskusja w powyższym gronie jest najlepszą ilustracją zdania, że tam gdzie dwóch prawników tam trzy różne opinie:)


Możesz zaprenumerować ten blog. Wpisz adres e-mail, a powiadomienie o nowym wpisie dostaniesz na swoją skrzynkę.
- Komentarze nt. bieżących wydarzeń związanych z ochroną danych osobowych i dostępem do informacji, telekomunikacją i szeroko rozumianym prawem administracyjnym.
- Omawianie orzecznictwa polskiego i europejskiego oraz propozycji zmian w przepisach w tych dziedzinach.
- Opinie dotyczące działań takich organów jak GIODO, UKE czy ULC.