Szukaj

Publikacje

DLACZEGO WARTO POWOŁAĆ ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI?

Zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2014.1182 j.t. ze zm.; dalej jako „Ustawa”), podmiot przetwarzający dane osobowe (pracowników, klientów itd.) jest administratorem danych osobowych, odpowiedzialnym za przetwarzanie danych zgodnie z Ustawą, ich właściwe zabezpieczenie i ochronę. Ustawa nakłada szereg wymogów w zakresie kontroli przestrzegania przepisów o ochronie danych osobowych w sferze wewnętrznej.

Zarząd (kierownictwo jednostki), pełniący funkcję administratora danych osobowych, odpowiada za prawidłowe przetwarzanie danych w spółce. Możliwe jest jednak scedowanie obowiązków związanych z nadzorem nad przestrzeganiem zasad ochrony danych na wyznaczoną osobę, która będzie pełniła funkcję administratora bezpieczeństwa informacji („ABI”). Powołanie ABI nie jest obowiązkowe, stanowi jednak uprawnienie warte rozważenia.

W razie jego powołania, ABI odpowiada za całkowity proces przetwarzania danych osobowych w organizacji. Nie tylko prowadzi kontrolę zgodności z Ustawą, ale również powinien posiadać uprawnienia władcze pozwalające mu na doprowadzenie stanu istniejącego do wymogów prawa.

Głównym zadaniem ABI jest zapewnianie przestrzegania przepisów o ochronie danych osobowych, które realizuje w szczególności przez sprawdzanie zgodności przetwarzania danych osobowych z Ustawą i odpowiednimi rozporządzeniami oraz opracowanie w tym zakresie sprawozdania dla administratora danych, nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych, a także zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z odpowiednimi przepisami.

Dodatkowym zadaniem ABI jest prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych. To ważne, gdyż administrator danych, który powołał ABI i zgłosił go Generalnemu Inspektorowi Ochrony Danych Osobowych („GIODO”) do rejestracji, zwolniony jest z – obowiązującego w innym wypadku – obowiązku rejestracji zbiorów danych osobowych, o ile nie zawierają one danych wrażliwych.

Ustawa wymaga, aby osoba pełniąca funkcję ABI posiadała odpowiednią wiedzę w zakresie ochrony danych osobowych. Przesłanka ta jest oceniana przez samego administratora danych. Przepisy nie wprowadzają wymogu posiadania przez ABI jakichkolwiek certyfikatów, poświadczeń ukończenia odpowiednich szkoleń itp. Poziom odpowiedniej wiedzy powinien być dostosowany do prowadzonych u administratora danych operacji przetwarzania danych oraz wymogów ich ochrony. Ponadto wymagane jest, aby ABI posiadał pełną zdolność do czynności prawnych oraz korzystał z pełni praw publicznych i nie był karany za umyślne przestępstwo. ABI powinien podlegać bezpośrednio kierownikowi jednostki, oraz mieć zapewnione środki i organizacyjną odrębność administratora niezbędną do niezależnego wykonywania przez niego swoich obowiązków.

Fakt powołania ABI przedsiębiorca ma obowiązek zgłosić w ciągu 30 dni do rejestracji GIODO. Zgłoszeni ABI są wpisywani do ogólnokrajowego, jawnego rejestru. Administrator danych, który zgłosi ABI do rejestracji, ma obowiązek zgłaszać GIODO każdą zmianę informacji objętych zgłoszeniem powołania ABI w terminie 14 dni od dnia jej dokonania, a jego odwołanie w terminie 30 dni.

Jak wynika z powyższego, powołanie Administratora Bezpieczeństwa Informacji pozwoli znacznie odciążyć kierownictwo jednostki, co jednak istotne, nie zwalnia to kierownictwa całkowicie z odpowiedzialności za właściwe, zgodne z prawem, zorganizowanie procesu przetwarzania danych osobowych.