Dlaczego warto mieć swojego inspektora ochrony danych

Powołanie administratora bezpieczeństwa informacji wzmacnia zaufanie osób, których dane dotyczą, a także pozwala przygotować się do stosowania unijnych przepisów – przekonuje ekspertka Monika Młotkiewicz .

Publikacja: 19.05.2016 08:47

Foto: 123RF

Podejmując decyzję o powołaniu administratora bezpieczeństwa informacji (ABI) na zasadach określonych w ustawie o ochronie danych osobowych, administrator danych (ADO) pozyskuje dla swojej organizacji osobę, która ze względu na posiadaną wiedzę będzie mogła zadbać nie tylko o należyte zabezpieczenie danych osobowych, ale także o kompleksowe zapewnianie u danego administratora danych przestrzegania przepisów o ich ochronie. Powołanie ABI jest uzasadnione, zarówno w przypadku administratorów, którzy przetwarzają dane w systemach informatycznych, jak i administratorów przetwarzających dane jedynie w tradycyjnych (manualnych/papierowych) zbiorach danych.

Mocna pozycja

Nowelizacja ustawy o ochronie danych osobowych z 2014 r. wprowadziła wzmocnienie pozycji i władztwa ABI przez formalnie jego wysokie umiejscowienie w strukturze organizacyjnej (bezpośrednia podległość ADO), zapewnienie tej osobie niezależnego wykonywania swoich zadań oraz organizacyjnej odrębności. Zgodnie bowiem z art. 36a ust. 7 ustawy o ochronie danych osobowych ABI w zakresie zapewniania przestrzegania przepisów o ochronie danych osobowych musi podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Administrator danych zobowiązany jest zaś (na mocy art. 36a ust. 8 ustawy) do wyposażenia ABI w odpowiednie środki i zapewnienia mu organizacyjnej odrębności, co jest niezbędne do niezależnego wykonywania przez niego zadań.

Takie rozwiązania w zakresie pozycji i niezależności ABI wynikają chociażby z art. 18 ust. 2 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, w którym to przepisie mowa jest o uprawnieniu administratora danych do powołania „urzędnika do spraw ochrony danych osobowych odpowiedzialnego w szczególności za zapewnienie wewnętrznego stosowania przepisów prawa krajowego w niezależny sposób".

W przypadku niepowołania ABI jego zadania wykonuje sam administrator danych, z wyłączeniem obowiązku sporządzania sprawozdania i obowiązku prowadzenia wewnętrznego rejestru zbiorów danych przetwarzanych przez administratora danych (art. 36b u.o.d.o.). Warto wziąć pod uwagę, że powołanie ABI zgodnie z ustawowymi wymogami, jego zarejestrowanie w ogólnopolskim rejestrze prowadzonym przez generalnego inspektora ochrony danych osobowych (organ nadzorczy) oraz sprawowanie przez ABI wewnętrznej kontroli procesów przetwarzania danych osobowych na ustawowych zasadach może przyczynić się do wzmocnienia zaufania do administratorów danych ze strony osób, których dane dotyczą, a także innych administratorów danych. Podjęcie takiej decyzji jest również istotnym krokiem na drodze do należytego przygotowania się do stosowania unormowań rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (rozporządzenie ogólne).

Jeden dla wielu

Ogólne rozporządzenie, które wejdzie w życie 25 maja 2016 r. (a stosowane będzie od 25 maja 2018 r.) wprowadza obowiązek wyznaczenia inspektora ochrony danych osobowych (aktualny ABI), gdy administratorem danych jest organ administracji publicznej bądź gdy rodzaj podejmowanej przez administratora działalności wymaga stałego nadzoru osób, których dane dotyczą w dużym zakresie albo gdy działalność administratora danych wiąże się z przetwarzaniem przez niego danych wrażliwych. Nowością będzie możliwość powołania jednego inspektora ochrony danych przez grupę podmiotów. Wprowadzono również gwarancje jego niezależności, z tym że nie może on otrzymywać żadnych instrukcji co do wykonywania powierzonych mu zadań.

Inspektor ochrony danych powinien właściwie i terminowo angażować się we wszystkie sprawy dotyczące ochrony danych osobowych.

Monika Młotkiewicz, z-ca dyrektora Departamentu Rejestracji Administratorów Bezpieczeństwa Informacji i Zbiorów Danych Osobowych w biurze GIODO

Podejmując decyzję o powołaniu administratora bezpieczeństwa informacji (ABI) na zasadach określonych w ustawie o ochronie danych osobowych, administrator danych (ADO) pozyskuje dla swojej organizacji osobę, która ze względu na posiadaną wiedzę będzie mogła zadbać nie tylko o należyte zabezpieczenie danych osobowych, ale także o kompleksowe zapewnianie u danego administratora danych przestrzegania przepisów o ich ochronie. Powołanie ABI jest uzasadnione, zarówno w przypadku administratorów, którzy przetwarzają dane w systemach informatycznych, jak i administratorów przetwarzających dane jedynie w tradycyjnych (manualnych/papierowych) zbiorach danych.

Pozostało 84% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Opinie Prawne
Prof. Pecyna o komisji ds. Pegasusa: jedni mogą korzystać z telefonu inni nie
Opinie Prawne
Joanna Kalinowska o składce zdrowotnej: tak się kończy zabawa populistów w podatki
Opinie Prawne
Robert Gwiazdowski: Przywracanie, ale czego – praworządności czy władzy PO?
Opinie Prawne
Ewa Szadkowska: Bieg z przeszkodami fundacji rodzinnych
Opinie Prawne
Isański: O co sąd administracyjny pytał Trybunał Konstytucyjny?