Wprowadzeniem do tej części obrad będzie wystąpienie ministra Andrzeja Lewińskiego, zastępcy Generalnego Inspektora Ochrony Danych Osobowych (GIODO), poświęcone roli administratora bezpieczeństwa informacji (ABI) od strony prawnej i dobrych praktyk.
Wśród poruszanych zagadnień nie zabraknie m.in. wyjaśnień związanych z ustawowym wymogiem zapewnienia ABI niezależności. Zgodnie bowiem z art. 36a ust. 7 ustawy o ochronie danych osobowych, ABI w zakresie zapewniania przestrzegania przepisów o ochronie danych osobowych musi podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Administrator danych zobowiązany jest zaś (na mocy art. 36a ust. 8 ustawy) do wyposażenia ABI w odpowiednie środki i zapewnienia mu organizacyjnej odrębności, co jest niezbędne do niezależnego wykonywania przez niego zadań.
Bezpośrednią podległość ABI kierownikowi jednostki organizacyjnej należy rozumieć w ten sposób, że w zakresie zapewniania przestrzegania przepisów o ochronie danych osobowych, ABI nie może podlegać innym osobom niż kierownik jednostki organizacyjnej.
W opinii ministra Andrzeja Lewińskiego, „W interesie administratora danych jest, by ABI był faktycznie niezależny, czemu sprzyjać ma ustawowo gwarantowana bezpośrednia podległość kierownikowi zakładu pracy. Tym samym ABI nie może podlegać np. szefowi działu kadr, szefowi działu prawnego czy dyrektorowi ds. informatycznych. Tymczasem zdarza się, że na ABI powoływani bywają pracownicy pionów bezpieczeństwa, a czasem nawet ich wicedyrektorzy. To złe rozwiązanie, gdyż prowadzi do oczywistego konfliktu interesów. Przecież zadaniem ABI jest m.in. kontrolowanie zabezpieczeń, a więc tak naprawdę zastępca sprawdza własnego szefa. Trudno wówczas o zapewnienie niezależności. Poprawnym rozwiązaniem jest taka organizacja pracy ABI, by w sprawach dotyczących ochrony danych, był niezależny i podległy kierownictwu zakładu pracy." Z kolei wymóg zapewnienia ABI odrębności organizacyjnej umożliwia mu wykonywanie swoich obowiązków niezależnie od pozostałych komórek organizacyjnych jednostki. Oznacza to także, iż ma on zapewnione odpowiednie środki organizacyjne (ewentualny personel wspierający), jak i finansowe (środki na prowadzenie szkoleń, weryfikowanie zabezpieczeń itp.).
Jednocześnie warto zaznaczyć, że na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dostępny jest specjalny serwis dotyczący administratorów bezpieczeństwa informacji — „ABI-informator". Zawiera on informacje m.in. o statusie ABI i jego zadaniach, ale także szczegółowe wskazówki co do zasad powoływania takich osób w firmach oraz ich rejestrowania. W osobnych częściach zawarte są wyjaśnienia dotyczące wykonywania przez ABI sprawdzeń na zlecenie GIODO oraz odpowiedzi na najczęściej zadawane pytania. „ABI-informator" jest dostępny pod adresem: https://abi.giodo.gov.pl.
