Powołanie administratora bezpieczeństwa informacji, zwanego dalej również „ABI”, jest uprawnieniem administratora danych, czyli podmiotu decydującego o celach i środkach przetwarzania danych osobowych. Podejmując decyzję o powołaniu ABI na zasadach określonych w ustawie o ochronie danych osobowych, administrator danych pozyskuje dla swojej organizacji osobę, która będzie zajmowała się zapewnieniem przestrzegania przepisów o ochronie danych osobowych.
Kto może pełnić funkcję ABI?
Administratorem bezpieczeństwa informacji może zostać jedynie osoba fizyczna, która:
- ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
- posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
- nie była karana za umyślne przestępstwo.
Należy zwrócić uwagę na fakt, że ustawodawca odwołał się do kryterium posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych, które jest bardzo nieostre. Nie wprowadzono wymogu posiadania przez ABI wykształcenia wyższego lub ukończenia innych odpowiednich szkoleń. Tym samym, to na administratorze danych ciąży odpowiedzialność za dokonanie właściwej oceny, czy wiedza i umiejętności posiadane przez osobę zamierzającą pełnić funkcję administratora bezpieczeństwa informacji są wystarczające.
Wymóg niezależności
Zgodnie z ustawą o ochronie danych osobowych, ABI podlega bezpośrednio kierownikowi jednostki (administratorowi danych), co oznacza że tylko od niego może otrzymywać polecenia. Ma to na celu wzmocnienie pozycji ABI względem wszystkich innych pracowników biorących udział w procesie przetwarzania danych. Administrator danych jest zobowiązany zapewnić ABI odpowiednie środki i organizacyjną niezależność w wykonywaniu zadań.
Powołanie ABI
Ustawa o ochronie danych osobowych nie reguluje procedury samego powołania ABI oraz jego formy prawnej. Przyjmuje się jednak, że podstawą wykonywania obowiązków ABI mogą być rozmaite stosunki zatrudnienia, tj. umowa o pracę, umowa zlecenie, umowa o świadczenie usług czy stosunek administracyjnoprawny.
Zgłoszenie do GIODO
Jeżeli administrator danych skorzysta z przysługującego mu uprawnienia i powoła administratora bezpieczeństwa informacji, to w ciągu 30 dni od dnia jego powołania powinien zgłosić go do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Zgłoszenie dokonywane jest na formularzu i powinno zawierać:
- oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
- dane administratora bezpieczeństwa informacji tj.: imię i nazwisko, numer PESEL, adres do korespondencji, jeżeli jest inny niż adres administratora danych;
- datę powołania ABI;
- oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków określonych ustawie o ochronie danych osobowych.
Zastępca ABI
Ustawa nie przewiduje możliwości powołania w jednej organizacji kilku administratorów danych bezpieczeństwa. Możliwe jest jednak powołanie zastępcy ABI. Taka osoba musi spełniać te same wymogi co sam ABI. Fakt powołania zastępcy nie wymaga rejestracji w GIODO.
Do korzyści wynikających z powołania ABI należą m.in.:
- Zwolnienie administratorów danych zwykłych z obowiązku zgłoszenia zbiorów takich danych do rejestracji GIODO.
- Uzyskanie przez administratora danych efektywnego wewnętrznego nadzoru nad prawidłową realizacją obowiązków wynikających z przepisów o ochronie danych osobowych.
- Wzmocnienie zaufania do administratorów danych ze strony osób, których dane dotyczą oraz innych administratorów danych, a także podmiotów współpracujących z administratorem danych.
Należy jednak pamiętać, że powołanie ABI co do zasady nie wyłącza odpowiedzialności administratora danych osobowych za właściwą ochronę przetwarzanych przez niego danych osobowych oraz nie zwalnia administratora danych z konieczności wypełnienia ciążących na nim obowiązków.
Zadania ABI
Minimalny zakres obowiązków ABI został określony przez ustawodawcę. Jego podstawowym zadaniem jest zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
- kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych dokonywaną z urzędu lub na zlecenie GIODO oraz opracowanie w tym zakresie sprawozdania;
- nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych;
- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, co w praktyce oznacza konieczność organizacji szkoleń z zakresu ochrony danych osobowych.
Zadaniem ABI jest również prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych.Podkreślić należy, że zbiory danych, które zarejestruje u siebie ABI, są zwolnione z obowiązku rejestracji w GIODO.
Przepisy dopuszczają poszerzenie kompetencji ABI przez administratora danych, pod warunkiem, że nie naruszy to wykonywania podstawowych obowiązków przewidzianych ustawą.W przypadku niepowołania ABI, jego zadania wykonuje sam administrator danych, z wyłączeniem obowiązku sporządzania sprawozdania i obowiązku prowadzenia wewnętrznego rejestru zbiorów danych przetwarzanych przez administratora danych.
Odpowiedzialność ABI
Administrator bezpieczeństwa informacji, w sytuacji naruszenie przepisów o ochronie danych osobowych może ponieść 1) odpowiedzialność administracyjną ze strony GIODO. W przypadku nieumyślnego udostępnienie danych osobom nieupoważnionym może narazić się również na 2) odpowiedzialność karną. Ponadto, gdy jest ABI jest zatrudniony na umowie o pracę, może ponosić 3) odpowiedzialność pracowniczą względem administratora danych za naruszenie obowiązków określonych w umowie.
ABI w rozporządzeniu GDPR
W dniu 25 maja 2016 roku zostało przyjęte ogólne rozporządzenie o ochronie danych 2016/679, które wprowadza daleko idące zmiany w zasadach ochrony danych osobowych, w tym zadaniach ABI. Przepisy zaczną być stosowane od 25 maja 2018 roku. Do tego czasu, administratorzy danych oraz osoby pełniące funkcję ABI będą musieli przygotować się do właściwego wdrożenia nowych obowiązków. Ustawodawca europejski wprowadzając instytucję inspektora ochrony danych (aktualny ABI) określił jego nowy status i zadania tj.:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o ich obowiązkach wynikających z przepisów o ochronie danych osobowych i doradzanie im w tej sprawie;
- monitorowanie przestrzegania obowiązujących przepisów o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych;
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
- współpraca z organem nadzorczym (w Polsce GIODO) oraz wypełnianie funkcji punktu kontaktowego dla tego organu.
Zgodnie z przepisami rozporządzenia, wyznaczenie inspektora ochrony danych osobowych będzie obligatoryjne, gdy: 1) administratorem danych jest organ administracji publicznej, bądź gdy 2) rodzaj podejmowanej przez administratora działalności wymaga stałego nadzoru osób, których dane dotyczą w dużym zakresie albo3)gdy działalność administratora danych wiąże się z przetwarzaniem przez niego danych wrażliwych. Nowością będzie możliwość powołania jednego inspektora ochrony danych przez grupę przedsiębiorców. Wprowadzono również pewne gwarancje jego niezależności, w tym że nie może on otrzymywać żadnych instrukcji co do wykonywania powierzonych mu zadań.