Kim jest Administrator Bezpieczeństwa Informacji?

Zapewnienie bezpieczeństwa przetwarzanych danych osobowych to jedno z najważniejszych zadań administratorów tych danych. W celu zwiększenia bezpieczeństwa i optymalizacji procesów, w których przetwarzane są dane osobowe, administrator danych osobowych (ADO) może powołać tzw. administratora bezpieczeństwa informacji (ABI). Do głównych zadań administratora bezpieczeństwa informacji należy zapewnienie, że przetwarzanie danych osobowych w firmie lub organizacji odbywa się zgodnie z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Słowem przypomnienia, administrator danych osobowych to organ, jednostka organizacyjna, podmiot lub osoba, decydująca o celach i środkach przetwarzania danych osobowych. Administratorem danych osobowych będą więc zarówno osoby fizyczne prowadzące jednoosobową działalność gospodarczą, spółki prawa handlowego, jak i fundacje, stowarzyszenia, czy spółdzielnie. Jeżeli przetwarzanie danych osobowych przez te podmioty odbywa się w związku z prowadzoną działalnością zarobkową, zawodową lub dla realizacji celów statutowych, nie ma wątpliwości, że podmioty te posiadają status administratora danych osobowych.

Ponadto, status ADO dotyczy także podmiotów publicznych, takich jak np. Ministerstwo Finansów, gmina, powiat czy szkoła.

Od 1 stycznia 2015 r., w wyniku wejścia w życie ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, do ustawy o ochronie danych osobowych wprowadzono art. 36a, umożliwiający ADO powołanie wewnętrznego administratora bezpieczeństwa informacji. To głównie powyższy przepis kształtuje kompetencje i zasady, na jakich opiera się funkcjonowanie administratorów bezpieczeństwa informacji w przedsiębiorstwie.

Podkreślić należy, że wyznaczenie administratora bezpieczeństwa informacji nie jest obowiązkiem, lecz uprawnieniem, z którego warto skorzystać, bowiem w przypadku niepowołania ABI, to na administratorze danych osobowych spoczywać będą wszystkie obowiązki, które można przenieść na ABI.

Jakie są zadania ABI?

Rola administratora bezpieczeństwa informacji, pomimo, że sprowadza się głównie do zapewnienia przestrzegania przepisów o ochronie danych osobowych, tak naprawdę jest dość złożona i może wymagać posiadania pewnego zestawu kompetencji merytorycznych oraz dużego doświadczenia.

Ustawa o ochronie danych osobowych wymienia następujące obowiązki ABI:

? sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
? opracowanie sprawozdania dla administratora danych w zakresie zgodności przetwarzania danych osobowych z obowiązującymi przepisami,
? nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych,
? nadzór nad przestrzeganiem zasad wskazanych w dokumentacji,
? zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Szczegółowe wymagania w zakresie sposobu wypełniania przez ABI powyższych zadań zostały uregulowane w treści rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r.w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r., poz. 745).

Prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych oraz podejmowane przez przedsiębiorstwo środki techniczne i organizacyjne, powinno pozostawać w zgodzie z przepisami szczegółowymi. Dokumentami takimi są m.in. polityka bezpieczeństwa danych osobowych i instrukcja zarządzania systemem informatycznym. Aktem regulującym powyższą materię jest rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).

W katalogu obowiązków ABI wskazano także konieczność zapoznania osób przetwarzających dane osobowe w firmie z obowiązującymi przepisami o ochronie danych osobowych. Szkolenie ABI przeprowadza w sposób dowolny, jednakże powinno ono pozostawać na odpowiednim poziomie merytorycznym. W materii tak dynamicznej jak ochrona danych osobowych, szkolenie powinno zawierać także porcję wiedzy dotyczącą nadchodzących zmian w przepisach, które skutkować mogą powstaniem nowych obowiązków po stronie podmiotów przetwarzających dane osobowe, jak np. dostosowanie procesu przetwarzania danych osobowych w firmie do wchodzącego w życie RODO, co trzeba zrobić w jak najszybszym czasie.

Prowadzenie rejestru zbiorów danych osobowych

Zgodnie z treścią art. 40 ustawy o ochronie danych osobowych, administrator danych jest zobowiązany do zgłoszenia zbiorów przetwarzanych danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO).

Powołanie administratora bezpieczeństwa informacji będzie skutkowało pewnego rodzaju ułatwieniem, polegającym na zwolnieniu ADO z obowiązku rejestracji zbiorów w GIODO.

Zwolnienie powyższe nie obejmie jednak zbiorów, które zawierają dane wrażliwe.

W przypadku, gdy bezpieczeństwo danych osobowych nadzoruje ABI, to właśnie on prowadzi rejestr zbiorów danych osobowych przetwarzanych w firmie. Powyższy rejestr można prowadzić w postaci papierowej jak i elektronicznej. Rejestr przetwarzanych zbiorów danych jest jawny, powinien być prowadzony w powszechnie zrozumiałej formie i zawierać informacje dotyczące każdego zbioru danych. Szczegóły dotyczące jego prowadzenia zostały określone w rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015 r., poz. 719).

Ponadto, do administratora bezpieczeństwa informacji może w każdej chwili zwrócić się GIODO, z żądaniem przeprowadzenia audytu procesu przetwarzania danych osobowych w firmie, pod kątem zgodności z obowiązującymi przepisami. Po weryfikacji procesów, w których przetwarzane są dane osobowe audyt skutkuje sporządzeniem sprawozdania, które przekazywane jest do GIODO za pośrednictwem administratora danych.

Kto może zostać ABI?

Zgodnie z treścią art. 36a ust. 5 ustawy o ochronie danych osobowych, administratorem bezpieczeństwa informacji może zostać osoba, która:

? ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
? posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
? nie była karana za umyślne przestępstwo.

Przepisy ustawy nie wymagają, by wiedza ABI poparta była konkretnymi certyfikatami czy doświadczeniem. Pomimo tego GIODO wskazuje, że to na administratorze danych, który powołuje ABI, spoczywa konieczność oceny, czy tak ważna funkcja w przedsiębiorstwie powierzana jest osobie posiadającej odpowiednie kwalifikacje.

By zapewnić odpowiedni poziom bezpieczeństwa danych osobowych przetwarzanych w firmie, administrator danych powinien zweryfikować wiedzę potencjalnego ABI. Posiadanie przez kandydata na ABI poświadczenia ukończenia odpowiednich kursów (np. szkolenie ABI, szkolenie RODO, czy jakiekolwiek merytoryczne szkolenie z ochrony danych osobowych), może okazać się pomocne w ocenie wiedzy merytorycznej ABI pod kątem wymogów stawianych mu przez przepisy ustawy.

Wybierając ABI, administrator danych powinien wziąć pod uwagę zarówno kompetencję kandydata, potrzeby własnego przedsiębiorstwa, jak i potencjalne zagrożenia, które działalność ABI może stwarzać dla praw i wolności osób, których dotyczą przetwarzane dane.

Uzupełniając część artykułu dotyczącą wymogów formalnych należy wspomnieć o dwóch dodatkowych kwestiach. Administrator bezpieczeństwa informacji musi bowiem:

? podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych osobowych,
? mieć zapewnione środki i organizacyjną odrębność niezbędne do niezależnego wykonywania przez niego zadań z zakresu ochrony danych osobowych.

Spełnienie pierwszego z powyższych wymogów jest niezbędne, by ABI mógł w pełni realizować zadania wynikające z przepisów o ochronie danych osobowych, mając przy tym rzeczywistą możliwość podejmowania odpowiednich działań i sprawowania skutecznej kontroli wewnętrznej.

Tymczasem obowiązek zapewnienia ABI odrębności organizacyjnej wiąże się z tym, iż omawiana funkcja nie może być sprawowana przez osobę kierującą podmiotem będącym administratorem danych osobowych. Obrazując, funkcji ABI nie będzie mógł pełnić np. wójt, dyrektor szkoły czy członek zarządu spółki lub stowarzyszenia.

Nie dopuszcza się także sytuacji, w której np. przedsiębiorca prowadzący jednoosobową działalność gospodarczą powołałby na stanowisko ABI ?samego siebie?. Pamiętajmy, że na administratorze danych osobowych ciąży obowiązek nadzorowania i kontroli działań ABI, co z samej swojej istoty wymaga, by funkcje ADO i ABI pozostały rozdzielone.

Zgłoszenie ABI do rejestru GIODO

Fakt powołania administratora bezpieczeństwa informacji należy zgłosić do GIODO, celem jego rejestracji we właściwym rejestrze prowadzonym przez organ. Obowiązek ten wynika z art. 46b ust. 1 ustawy o ochronie danych osobowych i ciąży na administratorze danych.

Zgłoszenia ABI do rejestracji należy dokonać w ciągu 30 dni od dnia jego powołania, wykorzystując do tego formularz urzędowy, stanowiący załącznik do rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. z 2014 r., poz. 1934).

Rejestracja służy głównie temu, by Generalny Inspektor Ochrony Danych Osobowych mógł zweryfikować spełnienie przez ABI stawianych mu ustawowo wymogów, a także zapewnić, że pomiędzy ABI i ADO występuje wymagana niezależność organizacyjna. W przypadku pozytywnej weryfikacji, GIODO wpisuje ABI do rejestru.

Warto wspomnieć, że powyższe zgłoszenie może zostać przeprowadzone także drogą elektroniczną, za pośrednictwem Elektronicznej Platformy Usług Administracji Publicznej (ePUAP) lub Elektronicznego Punktu Kontaktowego (ePK).

W przypadku zmiany informacji objętych zgłoszeniem, administrator danych jest zobowiązany do zgłoszenia tych zmian do GIODO w terminie 14 dni. Aktualizacja informacji na temat powołanego ABI następuje w sposób analogiczny do jego zgłoszenia, w związku z czym można w tym celu wykorzystać wspomniany już wyżej formularz urzędowy.

Analogicznie, odwołanie ABI również powinno zostać zgłoszone GIODO. Administrator danych ma na to 30 dni od chwili odwołania ABI, a samo zgłoszenie powinno nastąpić na przytoczonym formularzu urzędowym.

Powoływanie zastępców ABI

Dana jednostka lub przedsiębiorstwo może powołać tylko jednego administratora bezpieczeństwa informacji, co wynika z art. 36a ust. 1 ustawy o ochronie danych osobowych.

Administrator danych osobowych posiada jednak możliwość powołania zastępców ABI. Wymagania dotyczące zastępców są identyczne jak w stosunku do osoby pełniącej funkcję ABI, jednakże nie trzeba ich zgłaszać do GIODO celem rejestracji.

Co dla administratora danych osobowych oznacza powołanie ABI?

Jak wspomniano już wcześniej, powołanie administratora bezpieczeństwa informacji nie jest obowiązkowe. Praktyka biznesowa pokazuje jednak, że w wielu przypadkach decyzja o powołaniu ABI jest bardzo korzystna dla organizacji.

Przede wszystkim, wyznaczenie ABI jest prostą i skuteczną formą delegowania zadań administratora danych osobowych na inną osobę. Im bardziej rozbudowana jest struktura podmiotu, tym bardziej zasadne jest powołanie ABI.

Bardzo ważną korzyścią dla administratora danych osobowych który powołał ABI, jest zwolnienie z obowiązku rejestracji zbiorów danych w rejestrze GIODO. W przypadku, gdy na skutek prowadzonej działalności operacyjnej zbiory danych osobowych ulegają częstym przekształceniom lub ich liczba rośnie, możliwość rejestrowania tych zbiorów wyłącznie ?wewnątrz? organizacji przez ABI jest dużym ułatwieniem. Pamiętajmy jednak, że nie dotyczy to zbiorów zawierających dane wrażliwe, które podlegają rejestracji niezależnie od tego, czy w firmie funkcjonuje ABI.

Powołanie ABI powoduje także zmianę relacji pomiędzy przedsiębiorstwem, a organem ochrony danych osobowych ? GIODO. Inspektor może bowiem zwrócić się do ABI z żądaniem przeprowadzenia audytu zgodności procesu przetwarzania danych osobowych z właściwymi przepisami. W efekcie ABI przedstawia GIODO sprawozdanie we wskazanym zakresie, co może okazać się wyczerpujące, a tym samym zmniejszyć prawdopodobieństwo kontroli zewnętrznej ze strony organu.

Podsumowując, powołanie ABI może znacząco zwiększyć efektywność procesów z zakresu zarządzania bezpieczeństwem danych osobowych, funkcjonujących w firmie lub organizacji. Wyznaczenie administratora bezpieczeństwa informacji posiadającego wysoką wiedzę merytoryczną z zakresu ochrony danych osobowych sprawi, że przedsiębiorca lub organ zarządzający podmiotem uzyska większy komfort oraz pewność dotyczącą zgodności procesu przetwarzania danych osobowych z obowiązującymi przepisami.