Rz: Czy po nowelizacji przepisów ustawy o ochronie danych osobowych każdy administrator danych musi powołać u siebie administratora bezpieczeństwa informacji?
Andrzej Lewiński: Absolutnie nie. Decyzja należy do administratora danych, czyli każdej osoby lub instytucji, która decyduje o celach i środkach przetwarzania takich informacji. Jeżeli administrator uzna, że jest w stanie samodzielnie zadbać o prawidłowe przetwarzanie danych i zapanować nad tym procesem, to nie ma takiego obowiązku. Jednak może to zrobić, a w pewnych przypadkach powinien.
Powinien?
Tak. Warto bowiem zauważyć, że w społeczeństwie rośnie świadomość potrzeby ochrony danych i zasad z tym związanych. Świadczy o tym chociażby liczba skarg, jakie wpływają do generalnego inspektora ochrony danych osobowych (GIODO), w których skarżący zawiadamiają o nieprawidłowym przetwarzaniu ich danych. Wiele z tych skarg jest uzasadnionych. jednocześnie świadomość po stronie samych administratorów danych nadal pozostawia wiele do życzenia. W wielu przypadkach, chociaż ustawa o ochronie danych osobowych obowiązuje już od 17 lat, nie znają oni podstawowych obowiązków, jakie nakładają na nich jej przepisy. Dlatego warto, aby korzystali z pomocy osób mających wiedzę na ten temat, czyli ABI. Należy bowiem podkreślić, że chodzi tutaj o osoby, które odpowiadają nie tylko za kwestie techniczne, związane np. z prawidłowym zabezpieczeniem systemów informatycznych, szyfrowaniem danych, dbaniem o to, aby nie były one narażone na ataki cyberprzestępców. ABI ma bowiem odpowiadać za całokształt prawidłowego przetwarzania danych, a więc zarówno za ich ochronę, jak i szkolenia oraz doradzanie innym pracownikom administratora, mającym do nich dostęp. ABI ma nadzorować cały proces przetwarzania danych. Powinien być więc takim „wewnętrznym inspektorem ochrony danych".
To może się kojarzyć ze zwiększaniem obowiązków nakładanych na przedsiębiorców i wzrostem kosztów ich działalności.