Administratora bezpieczeństwa informacji trudno zwolnić

Administrator bezpieczeństwa informacji na etacie może być sporym problemem dla pracodawcy.

Aktualizacja: 02.06.2015 08:57 Publikacja: 01.06.2015 19:17

Administratora bezpieczeństwa informacji trudno zwolnić

Foto: 123RF

Samorządy i podległe im szpitale czy szkoły, a także wielu producentów, sprzedawców i usługodawców, ma dylemat, czy do 30 czerwca zgłaszać administratorów bezpieczeństwa informacji (ABI) do rejestru prowadzonego przez głównego inspektora danych osobowych. Po ostatniej zmianie ustawy o ochronie danych osobowych ABI zgłoszeni do końca czerwca do GIODO zyskają nowe kompetencje w firmie. Przepisy gwarantują im także niezależność od pracodawcy.

Byle nie na etacie

– Podmioty, które zdecydują się na powołanie ABI, powinny rozważyć, czy aby na pewno osoba taka powinna być zatrudniona na podstawie stosunku pracy – mówi Dominika Dörre-Kolasa, radca prawny, partner w kancelarii A. Sobczyk i Współpracownicy.

Podkreśla, by zwrócić uwagę na to, że zgodnie z art. 36a ust. 7 i 8 ustawy o ochronie danych osobowych ABI powinien być tak umiejscowiony w strukturze organizacyjnej, aby podlegał bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Powinien mieć też zapewnione środki i organizacyjną odrębność niezbędne do niezależnego wykonywania przez niego zadań.

1397

ABI figuruje w rejestrze GIODO; codziennie przybywa około 50 osób z nowymi uprawnieniami

Może się więc okazać, że takie umiejscowienie ABI postawi go także na lepszej pozycji w razie potrzeby zwolnienia go przez pracodawcę. Do tej pory administratorami bezpieczeństwa informacji były osoby, które na co dzień wykonują zupełnie inne obowiązki, np. administratorzy systemów informatycznych, pracownicy działów HR, prawnicy. Po nałożeniu nowych uprawnień i obowiązków nie każdy musi się sprawdzić w nowej roli.

Zarówno pracodawca, jako administrator ochrony danych osobowych, jak i pracownik zatrudniony, jako administrator bezpieczeństwa informacji, będą odpowiadali za to samo, ale to pracodawca ponosi odpowiedzialność karną za ochronę danych klientów.

– Gdyby spór np. co do wyboru oprogramowania zabezpieczającego skończył się zwolnieniem administratora, jest duże prawdopodobieństwo, że sąd pracy przywróciłby go na to stanowisko, gdyż przepisy gwarantują mu niezależność w stosunku do pracodawcy – zauważa adwokat Paweł Litwiński, partner w kancelarii Barta Litwiński. – Gdyby takie usługi świadczyła zewnętrzna firma, zakończenie współpracy mogłoby się odbyć w praktyce bezboleśnie.

Za naruszenia będą wysokie kary

Przeciwko zatrudnieniu administratora bezpieczeństwa informacji na etacie przemawia także limitowany zakres odpowiedzialności pracownika za szkodę wyrządzoną niewykonaniem lub nienależytym wykonaniem jego obowiązków.

Może to być szczególnie istotne w związku z zaawansowanym już postępem prac nad rozporządzeniem Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych (tzw. ogólne rozporządzenie o ochronie danych). Przewidywane są w nim sankcje w postaci grzywny. Sięgają one setek tysięcy euro w razie naruszenia zasad ochrony danych osobowych – dodaje mec. Dörre-Kolasa.