Powołanie Administratora Bezpieczeństwa Informacji – obowiązek czy uprawnienie? Kompetencje ABI.

Administrator Bezpieczeństwa Informacji, w skrócie ABI, jest osobą powoływaną przez Administratora Danych Osobowych (ADO) w celu zapewnianie przestrzegania przepisów o ochronie danych osobowych administrowanych przez ADO. Stanowi on zatem pomoc dla administratora danych w procesie prawidłowego przetwarzania danych osobowych.

Choć instytucja Administratora Bezpieczeństwa Informacji nie jest nowa, przez lata istniał spór, czy jego powołanie jest obowiązkiem, czy tylko uprawnieniem administratora danych. Wydaje się, że spór ten ostatecznie rozstrzygnęły przepisy nowelizujące ustawę o ochronie danych osobowych („u.o.d.o.”), które weszły w życie z dniem 1 stycznia 2015 roku. Na mocy aktualnego brzmienia przepisów, tj. zgodnie z art. 36a ust 1 u.o.d.o. „Administrator danych może powołać administratora bezpieczeństwa informacji”, a zatem ustanowienie ABI jest uprawnieniem administratora danych. Potwierdza to również treść art. 36b u.o.d.o. stanowiącego, że w przypadku niepowołania administratora bezpieczeństwa informacji zadania ABI, wykonuje administrator danych, z wyłączeniem obowiązku sporządzania sprawozdania oraz obowiązku prowadzenia wewnętrznego rejestru zbiorów danych przetwarzanych przez administratora danych.

Osoba, którą ADO zamierza powołać do pełnienia funkcji Administratora Bezpieczeństwa Informacji musi spełniać wymogi stawiane przepisami ustawy o ochronie danych osobowych, w tym dysponować szczególnymi uprawnieniami. ABI zobowiązany jest nie tylko posiadać pełną zdolność do czynności prawnych, korzystać z pełni praw publicznych oraz być osobą niekaraną za umyślne przestępstwo, ale przede wszystkim musi wykazywać odpowiednią wiedzę w zakresie ochrony danych osobowych. Prowadząc procedurę wyłonienia ABI, administrator danych powinien zatem zwracać szczególną uwagę na to, by kandydat na ABI posiadał stosowne zaplecze teoretyczne, a najlepiej również doświadczenie w dziedzinie ochrony danych osobowych. Staranna rekrutacja ABI leży w interesie administratora danych oraz może zagwarantować mu należyte zabezpieczenie przetwarzanych danych osobowych. Choć przepisy ustawy nie wymagają legitymowania się przez ABI certyfikatami, dyplomami itp. administrator danych powinien samodzielnie sprawdzić i zadbać o to, by poziom wiedzy kandydata był adekwatny do procesu przetwarzania administrowanych zbiorów danych.

Należy również wskazać, że pomimo, iż Administrator Bezpieczeństwa Informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych, to posiada on niezależność i organizacyjną odrębność w wykonywaniu przez siebie zadań. ABI może powołać swoich zastępców. Osoby te również muszą spełniać warunki określone dla głównego ABI.

Powołanie ABI, jak również jego odwołanie, wymaga zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) w terminie 30 dni od dnia powołania lub odwołania. Obowiązkowi zgłoszenia podlega również każda zmiana informacji objętych zgłoszeniem powołania ABI, w terminie 14 dni od dnia zmiany.

Podstawowym obowiązkiem ABI jest zapewnianie przestrzegania przepisów o ochronie danych osobowych. Odbywa się to głównie poprzez kontrolowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, nadzorowanie opracowania, aktualizowania i przestrzegania dokumentacji, opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, a także zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Oprócz powyższego ABI prowadzi rejestr zbiorów danych przetwarzanych przez administratora danych, z wyłączeniem zbiorów danych korzystających ze zwolnienia z obowiązku rejestracji (wskazanych w art. 43 ust. 1 u.o.d.o.). Należy również wskazać, że w przypadku zbiorów danych wrażliwych, powinny one być nadal zgłaszane do rejestracji GIODO przed rozpoczęciem ich przetwarzania.

Szczegółowe zasady dotyczące trybu i sposobu realizacji zadań ABI, jak również sposób prowadzenia przez niego wewnętrznego rejestru zbiorów danych, określają stosowne rozporządzenia wykonawcze do u.o.d.o.

Kinga Nastałek - Fałowska
Radca prawny