Administrator Bezpieczeństwa Informacji
Z dniem 1 stycznia 2015 r. znaczącej zmianie uległy przepisy ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (zwanej dalej „Ustawą”). Przywołana nowelizacja jest konsekwencją wejścia w życie ustawy z dnia 7 listopada 2014 r. o ułatwianiu wykonywania działalności gospodarczej.
Uchwalone zmiany dotyczą w głównej mierze podmiotu odpowiedzialnego za wewnętrzny nadzór i kontrolę w zakresie przestrzegania zasad ochrony danych osobowych w organizacji, tj. Administratora Bezpieczeństwa Informacji (zwanego dalej „ABI”). Wzmiankowana nowelizacja precyzuje status ABI oraz dookreśla jego obowiązki. Celem niniejszego opracowania jest syntetyczne przedstawienie pozycji ustrojowej ABI oraz jego zadań w świetle zmienionych przepisów.
Status i pozycja ABI
W poprzednim stanie prawnym regulacja odnosząca się do ABI i jego kompetencji była niezwykle skąpa. Uchylony obecnie art. 36 ust. 3 Ustawy stanowił, że „administrator danych wyznacza ABI, nadzorującego przestrzeganie zasad ochrony danych osobowych, chyba że sam wykonuje te czynności”. Aktualnie zdecydowanie rozbudowane zostały przepisy określające charakter powołania ABI przez administratora danych, wymogi stawiane kandydatom na ABI oraz jego pozycję w organizacji, w której przetwarzane są dane osobowe.
Obecnie, powołanie ABI jest uprawnieniem administratora. Wniosek ów płynie z jednoznacznego brzmienia art. 36a ust. 1 Ustawy, zgodnie z którym „administrator danych może powołać administratora bezpieczeństwa informacji”. Fakultatywność powołania ABI została zaakcentowana przez ustawodawcę poprzez wskazanie skutków jego niepowołania – stosownie do art. 36b Ustawy w przypadku niepowołania ABI, zadania ciążące z mocy prawa na ABI wykonuje sam administrator danych.
Wyznaczenie ABI zależy obecnie wyłącznie od woli administratora danych. Jednakże, to czy w ramach konkretnej organizacji przetwarzającej dane osobowe powołanie ABI winno nastąpić czy też nie, zależy w istocie od skali przetwarzania danych osobowych i od liczby procesów z tym związanych. Przyjmuje się powszechnie, że powołanie ABI jest korzystne dla administratora danych i leży w jego interesie. W ten sposób administrator danych może nie tylko przerzucić wykonywanie licznych obowiązków na ABI ale i związaną z tym odpowiedzialność (odpowiedzialność cywilna oraz potencjalna odpowiedzialność karna).
Znamiennym novum legislacyjnym jest określenie przez ustawodawcę expressis verbis wymogów, które muszą zostać spełnione przez kandydatów na ABI. Zgodnie z art. 36a ust. 5 Ustawy administratorem danych osobowych może być osoba, która:
1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
2. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
3. nie była karana za umyślne przestępstwo.
Niewątpliwie, wymogi określone w pkt 1) i 3) są jednoznaczne i nie budzą jakichkolwiek wątpliwości interpretacyjnych. Natomiast wymóg posiadania odpowiedniej wiedzy w zakresie ochrony danych osobowych jest nieostry – oceny co do jego spełnienia dokonuje sam administrator danych. Z całą pewnością posiadanie „odpowiedniej wiedzy” nie jest tożsame z posiadaniem wyższego wykształcenia. Sprawdzając spełnienie opisywanego wymogu administrator danych może posiłkować się w tym zakresie oświadczeniem samego kandydata lub przykładowo dokumentami potwierdzającym ukończenie przez kandydata specjalistycznych szkoleń, kursów czy studiów podyplomowych.
Analiza wymienionych powyżej wymogów ustawowych dla kandydatów na ABI pozwala na stwierdzenie, że niedopuszczalne jest wyznaczenie jako ABI jednostki organizacyjnej (np. spółki prawa handlowego), albowiem charakter stawianych wymogów powoduje, że spełnić je może wyłącznie osoba fizyczna.
Wprowadzone w Ustawie zmiany sprowadzają się również do ustawowego zagwarantowania wzmocnionej pozycji i niezależności ABI w organizacji przetwarzającej dane osobowe. Źródłem przywołanej niezależności jest art. 36a ust. 8 Ustawy, zgodnie z którym administrator danych ma obowiązek zapewnić ABI środki i organizacyjną odrębność niezbędne do niezależnego wykonywania przez niego zadań. Środki, o których mowa w przywołanej normie to środki finansowe, techniczne i organizacyjne służące ABI do realizacji jego kompetencji. Przewidując niezależność organizacyjną dla ABI, ustawodawca upoważnił administratora danych do powierzenia ABI wykonywania również innych obowiązków (art. 36a ust. 4 Ustawy). Powszechnym zjawiskiem w praktyce jest bowiem powierzenie osobie powołanej jako ABI realizowania obowiązków ABI w ramach części etatu, podczas gdy pozostała część etatu jest przez tę osobę wypełniana poprzez wykonywanie innych czynności.
Nadmienić również należy, że ustawa w aktualnym brzmieniu dopuszcza również powołanie zastępców ABI. Osoby te muszą jednak spełniać kryteria przewidziane dla kandydatów na ABI.
Obowiązki ABI
Zakres zadań, do wykonywania których zobligowany jest ABI został skonkretyzowany w dodanym do Ustawy art. 36a ust. 2. Zgodnie z przywołanym powyżej przepisem do zadań ABI należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
1. sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
2. nadzorowanie opracowania i aktualizowania dokumentacji przetwarzania danych osobowych (polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych) oraz przestrzegania zasad w niej określonych,
3. zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami
o ochronie danych osobowych.
Tryb oraz sposób realizacji zadań przez ABI określony został szczegółowo w rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. (Dz.U. z 2015 r. poz. 745). Do zadań ABI należy również prowadzenie rejestru danych przetwarzanych przez administratora danych. Nałożenie na ABI obowiązku prowadzenia rejestru jest następstwem przyjęcia przez ustawodawcę rozwiązania, zgodnie z którym administrator danych, który wyznaczył ABI i zgłosił ten fakt do rejestracji u Generalnego Inspektora Ochrony Danych Osobowych, jest zwolniony z obowiązku rejestracji zbioru danych (z wyjątkiem zbioru danych wrażliwych).
Sposób prowadzenia przez ABI rejestru danych, o którym mowa powyżej, został określony w rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. (Dz.U. z 2015 r. poz. 719).
Zaznaczyć należy, że katalog zadań ABI jest katalogiem otwartym – podstawowym zadaniem ABI jest
sprawowanie pieczy nad przestrzeganiem przepisów o ochronie danych osobowych, co oznacza, że ABI winien wykonywać wszystkie czynności podporządkowane realizacji jego podstawowego zadania.
Zgłoszenie ABI do rejestru
Wyznaczenie ABI przez administratora danych wiąże się z obowiązkiem zgłoszenia ABI do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych. Zarówno powołanie jak i ewentualne odwołanie ABI winno być zgłoszone przez administratora danych w terminie 30 dni. Przypomnieć raz jeszcze należy, że zgłoszenie ABI do rejestru jest warunkiem zwolnienia administratora danych z obowiązku rejestracji zbioru danych.
Niniejszy artykuł jedynie sygnalizuje wprowadzone przez ustawodawcę zmiany w zakresie przepisów odnoszących się do ABI i jego roli w procesie przetwarzania danych. Znowelizowane przepisy umożliwiają podjęcie administratorowi danych swobodnej decyzji co do powołania ABI, zaś dla tego ostatniego określają katalog obciążających go zadań i stanowią gwarancję niezależności w wykonywaniu nałożonych nań obowiązków. Mnogość obowiązków związanych z przetwarzaniem danych osobowych powinna skłonić administratorów danych do refleksji na temat powierzenia wykonywania tych zadań osobie posiadającej w tym zakresie odpowiednią wiedzę i doświadczenie.
Dominik Sęczkowski aplikant radcowski w Kancelarii Prawnej „Chudzik i Wspólnicy Radcowie Prawni” sp.
