O statusie i potrzebie powołania osoby Administratora Bezpieczeństwa Informacji w ramach struktury organizacyjnej Administratora Danych Osobowych można napisać bardzo wiele. Faktem jest, że osoba posiadająca odpowiednie kompetencje oraz wiedzę z zakresu ochrony danych osobowych (nie tylko w zakresie prawa) może być gwarantem prawidłowego ukształtowania procedur i procesu gromadzenia, przetwarzania oraz ochrony danych osobowych.
ABI w Ustawie o ochronie danych osobowych
W obecnym stanie prawnym Administrator Danych Osobowych może powołać Administratora Bezpieczeństwa Informacji (vide art. 36a ust. 1 Ustawy o ochronie danych osobowych – „Ustawa”), a następnie zgłaszając go do rejestru Generalnego Inspektora Ochrony Danych Osobowych może skorzystać z udogodnienia w zakresie wypełniania niektórych obowiązków wynikających z Ustawy (np. zwolnienia z obowiązku rejestracji zbiorów danych osobowych w bazie GIODO z wyłączenie zbiorów zawierających dane szczególnie chronione). Wpis ma na celu wskazanie pozycji ABI w strukturze organizacyjnej Administratora danych, dlatego jedynie zaznaczę, że obowiązki oraz zadania ABI określono odpowiednio w:
- art. 36a ust. 2 Ustawy o ochronie danych osobowych,
- przepisach wykonawczych do Ustawy tj. Rozporządzeniu Ministra Administracji i Cyfryzacji: z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji oraz z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych.
Status Administratora Bezpieczeństwa Informacji
W aspekcie niniejszego wpisu najważniejsza jest analiza art. 36a ust. 7 oraz ust. 8 Ustawy. Artykuł 36a ust. 7 stanowi, że Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Oznacza to tyle, że poza osobą bezpośrednio zarządzającą podmiotem decydującym o celach i środkach przetwarzania danych (Administrator) nikt nie może wpływać na działanie ABI. W tym ujęciu ABI hierarchicznie jest „drugą osobą” po kierowniku jednostki Administratora w aspekcie prawa ochrony danych osobowych i nikomu innemu w tym zakresie nie podlega lub też przed nikim innym organizacyjnie nie odpowiada. Ma to o tyle duże znaczenie, że decyzje lub działania ABI kierowane do osób przetwarzających dane mogą być zmienione jedynie przez kierownika jednostki Administratora Danych Osobowych (np. członka zarządu). Ma to też swoje odzwierciedlenie w celach powołania ABI w strukturze organizacyjnej jako osoby zapewniającej przestrzegania przepisów o ochronie danych osobowych.
Odrębność ABI
Artykuł 36a ust. 8 stanowi z kolei, że Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań. Wobec powyższego przepisy jednoznacznie wskazują odrębny charakter oraz niezależność w strukturze organizacyjnej Administratora. Regulacja ta jest logiczna w aspekcie celu powołania ABI w strukturze Administratora danych i zapewnienia ABI możliwości właściwego wykonywania jego zadań. Nietrudno sobie wyobrazić sytuację gdzie przetwarzanie następuje niezgodnie z prawem, a ABI ze względu na stosunek podporządkowania niewłaściwie wykonuje nałożone przez Ustawę obowiązki. Regulacja ma za zadanie wykluczyć właśnie takie sytuację i stwarza obraz ABI jako osoby podporządkowanej jedynie kierownikowi jednostki w aspekcie jego struktury, ale daje mu gwarancję niezależności w zakresie wykonywaniu zadań mających na celu poprawę stanu gromadzenia, przetwarzania i ochrony danych.
Rozporządzenie PE i Rady z dnia 27 kwietnia 2016 r. – ogólne rozporządzenie o ochronie danych osobowych
W Rozporządzeniu PE i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które wejdzie w życie 25 maja 2016 r., a znajdzie zastosowanie od 25 maja 2018 r. instytucja ABI zostanie zastąpiona instytucją Inspektora ochrony danych. O nowych przepisach dotyczących Inspektora ochrony danych osobowych napiszemy w kolejnych wpisach.