Zgodnie z ustawą z dnia 29 sierpnia 1997 r. o
ochronie danych osobowych (Dz.U.2014.1182 j.t. ze
zm.; dalej jako „Ustawa”), podmiot przetwarzający
dane osobowe (pracowników, klientów itd.) jest
administratorem
danych
osobowych,
odpowiedzialnym za przetwarzanie danych zgodnie
z Ustawą, ich właściwe zabezpieczenie i ochronę.
Ustawa nakłada szereg wymogów w zakresie
kontroli przestrzegania przepisów o ochronie
danych osobowych w sferze wewnętrznej.
Zarząd (kierownictwo jednostki), pełniący funkcję
administratora danych osobowych, odpowiada za
prawidłowe przetwarzanie danych w spółce.
Możliwe jest jednak scedowanie obowiązków
związanych z nadzorem nad przestrzeganiem zasad
ochrony danych na wyznaczoną osobę, która będzie
pełniła funkcję administratora bezpieczeństwa
informacji („ABI”). Powołanie ABI nie jest
obowiązkowe, stanowi jednak uprawnienie warte
rozważenia.
W razie jego powołania, ABI odpowiada za
całkowity proces przetwarzania danych osobowych
w organizacji. Nie tylko prowadzi kontrolę
zgodności z Ustawą, ale również powinien posiadać
uprawnienia
władcze
pozwalające
mu
na
doprowadzenie stanu istniejącego do wymogów
prawa.
Głównym
zadaniem
ABI
jest zapewnianie
przestrzegania
przepisów
o ochronie
danych
osobowych,
które
realizuje
w szczególności
przez sprawdzanie zgodności przetwarzania danych
osobowych z
Ustawą
i
odpowiednimi
rozporządzeniami
oraz
opracowanie
w tym
zakresie sprawozdania dla administratora danych,
nadzorowanie
opracowania
i aktualizowania
dokumentacji opisującej
sposób
przetwarzania
danych oraz środki techniczne i organizacyjne
zapewniające ochronę przetwarzanych danych
osobowych odpowiednią do zagrożeń oraz kategorii
danych objętych ochroną, oraz przestrzegania
zasad w niej określonych, a także zapewnianie
zapoznania osób upoważnionych do przetwarzania
danych osobowych z odpowiednimi przepisami.
Dodatkowym zadaniem ABI jest prowadzenie
rejestru zbiorów danych przetwarzanych przez
administratora
danych.
To
ważne,
gdyż
administrator danych, który powołał ABI i zgłosił go
Generalnemu
Inspektorowi
Ochrony
Danych
Osobowych („GIODO”) do rejestracji, zwolniony
jest z – obowiązującego w innym wypadku –
obowiązku rejestracji zbiorów danych osobowych, o
ile nie zawierają one danych wrażliwych.
Ustawa wymaga, aby osoba pełniąca funkcję ABI
posiadała odpowiednią wiedzę w zakresie ochrony
danych osobowych. Przesłanka ta jest oceniana
przez samego administratora danych. Przepisy nie
wprowadzają wymogu posiadania przez ABI
jakichkolwiek
certyfikatów,
poświadczeń
ukończenia odpowiednich szkoleń itp. Poziom
odpowiedniej wiedzy powinien być dostosowany do
prowadzonych u administratora danych operacji
przetwarzania danych oraz wymogów ich ochrony.
Ponadto wymagane jest, aby ABI posiadał pełną
zdolność do czynności prawnych oraz korzystał z pełni praw publicznych i nie był karany za
umyślne przestępstwo. ABI powinien podlegać
bezpośrednio kierownikowi jednostki, oraz mieć
zapewnione środki i organizacyjną odrębność
administratora
niezbędną
do
niezależnego
wykonywania przez niego swoich obowiązków.
Fakt powołania ABI przedsiębiorca ma obowiązek
zgłosić w ciągu 30 dni do rejestracji GIODO.
Zgłoszeni ABI są wpisywani do ogólnokrajowego,
jawnego rejestru. Administrator danych, który
zgłosi ABI do rejestracji, ma obowiązek zgłaszać
GIODO
każdą
zmianę
informacji
objętych
zgłoszeniem powołania ABI w terminie 14 dni od
dnia jej dokonania, a jego odwołanie w terminie 30
dni.
Jak wynika z powyższego, powołanie Administratora
Bezpieczeństwa Informacji pozwoli znacznie
odciążyć kierownictwo jednostki, co jednak istotne,
nie zwalnia to kierownictwa całkowicie z
odpowiedzialności za właściwe, zgodne z prawem,
zorganizowanie procesu przetwarzania danych
osobowych.
MILLER, CANFIELD,
W. BABICKI, A. CHEŁCHOWSKI I WSPÓLNICY SP.K.
ul. Batorego 28-32
81-366 Gdynia
Tel. +48 58 782-0050
Fax +48 58 782-0060
gdynia@pl.millercanfield.com
ul. Nowogrodzka 11
00-513 Warszawa
Tel. +48 22 447-4300
Fax +48 22 447-4301
warszawa@pl.millercanfield.com
ul. Skarbowców 23a
53-125 Wrocław
Tel. +48 71 780-3100
Fax +48 71 780-3101
wroclaw@pl.millercanfield.com
Zastrzeżenie: Niniejsza publikacja została przygotowana dla klientów i współpracowników kancelarii Miller Canfield. Ma ona na celu jedynie
przedstawienie streszczenia niektórych wydarzeń prawnych z wybranych dziedzin prawa. Z tego powodu informacje zawarte w niniejszej publikacji nie
powinny stanowić podstawy do podjęcia jakiejkolwiek decyzji dotyczącej określonego kierunku działania. Informacje te nie mogą też być traktowane
jako porada prawna ani nie zastępują szczegółowej opinii prawnej w konkretnej sprawie. W każdym przypadku należy skorzystać z usług doradców
prawnych w celu weryfikacji, czy odpowiednie przepisy prawa mają zastosowanie do określonej sytuacji.