Rzeczpospolita
Prawo

Administrator bezpieczeństwa: funkcja nie dla każdego

Do 30 czerwca jest czas na podjęcie decyzji co do sposobu ochrony danych osobowych - przypomina Maciej Byczkowski, prezes zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji.

Aktualizacja: 05.04.2015 15:34 Publikacja: 05.04.2015 11:30

Administrator bezpieczeństwa: funkcja nie dla każdego

Katarzyna Borowska

Rz: Od 1 stycznia obowiązują nowe przepisy o ochronie danych osobowych. Na jakie dodatkowe obowiązki powinny zwrócić uwagę osoby odpowiedzialne za te kwestie w instytucjach publicznych i prywatnych firmach?

Maciej Byczkowski: Nowe obowiązki dotyczą m.in. przeprowadzenia sprawdzeń zgodności przetwarzania danych osobowych z przepisami, nadzorowania zasady ich ochrony określonej w odpowiedniej dokumentacji, zapoznawania osób przetwarzających dane z przepisami. Zmieniona ustawa pozostawia administratorom danych możliwość wyboru sposobu realizacji tych obowiązków: albo powołają do ich wykonywania administratora bezpieczeństwa informacji (ABI) na niezależnym stanowisku, albo sami będą realizować te obowiązki, wyznaczając do tego inne osoby.

Powołanie ABI na podstawie nowych przepisów wprowadza dodatkowe udogodnienia dla administratorów danych np. w zakresie rejestracji zbiorów danych.

Do końca zeszłego roku wszyscy administratorzy mieli obowiązek zarówno wyznaczyć ABI, jak i zgłaszać zbiory danych osobowych do rejestracji generalnemu inspektorowi ochrony danych osobowych (GIODO). Zmieniła to ustawa o ułatwieniu wykonywania działalności gospodarczej. W ramach uproszczenia przepisów postulowanego przez przedsiębiorców każda organizacja może zostać zwolniona z obowiązku zgłaszania zbiorów danych do rejestracji GIODO. Jest to jednak możliwe tylko wtedy, gdy powoła ona ABI zgodnie z nowymi zasadami. To zwolnienie z rejestracji nie dotyczy natomiast zbiorów zawierających dane osobowe wrażliwe (np. informacje na temat zdrowia, wyznania, poglądów politycznych, karalności, pochodzenia etnicznego czy życia seksualnego). Obowiązek zgłaszania takich zbiorów do rejestracji GIODO nadal jest bezwzględny.

Jakie trzeba więc spełnić warunki, by uzyskać zwolnienie z obowiązku zgłaszania zbiorów danych do rejestracji GIODO? Wystarczy mieć w swoich strukturach administratora bezpieczeństwa informacji?

Wystarczy powołanie ABI na podstawie nowych przepisów i zgłoszenie go do rejestracji GIODO, który prowadzi ogólnopolski jawny rejestr ABI. Czyli teraz zbiory zgłaszamy wewnętrznie do ABI, a do GIODO tylko informację, kogo powołaliśmy na ABI. Nowelizacja wprowadziła jednak nowe wymogi kwalifikacyjne dla ABI, warunki organizacyjne, w których może wykonywać on swoją funkcję, oraz nowe zadania i tryb ich realizacji. Przepisy wymagają, aby podlegał on bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Należy również zapewnić środki i organizacyjną odrębność ABI niezbędne do niezależnego wykonywania przez niego nowych zadań. Wcześniej na podstawie uchylonych przepisów na ABI można było wyznaczyć dowolną osobę, a często były to osoby przypadkowe, które niewiele wiedziały na temat ochrony danych. Przez to właściwy nadzór nad ochroną danych w wielu podmiotach w Polsce nie jest realizowany. Teraz trzeba będzie powołać na to stanowisko odpowiednio przygotowaną osobę.

Kto będzie mógł być powołany na ABI?

Zgodnie z nowelizacją ABI może być osoba, która posiada odpowiednią wiedzę w zakresie ochrony danych osobowych oraz nie była karana za umyślne przestępstwo. Musi mieć ona również pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych. Osoba taka powinna posiadać doświadczenie i kompetencje niezbędne do wykonywania nowych zadań dotyczących zapewniania przestrzegania przepisów o ochronie danych osobowych.

Co to za zadania?

Zadania te dotyczą zapewniania przestrzegania przepisów o ochronie danych osobowych, o których mówiłem wcześniej, oraz dodatkowo prowadzenia jawnego rejestru zbiorów danych osobowych przetwarzanych przez administratora danych. Szczegółowy tryb i sposób wykonywania zadań ABI oraz prowadzenia rejestru zbiorów zostanie wskazany w nowych rozporządzeniach wykonawczych do ustawy, które mogą zostać wydane w ciągu najbliższych tygodni.

Informacje o zbiorach zgłaszanych do GIODO wprowadzane są do jawnego rejestru, który udostępniony jest na stronie internetowej urzędu. W sytuacji powołania ABI nie ma obowiązku zgłaszania zbiorów do GIODO, ale informacje na ich temat musi udostępniać do przeglądania ABI.

W jaki sposób ma to robić? Wystarczy zamieszczenie tych informacji na stronie internetowej?

Zgodnie z projektowanymi przepisami będzie mógł być według wyboru: opublikowany na stronie internetowej administratora danych, dostępny do przeglądania na stanowisku komputerowym lub w postaci wydruku w siedzibie organizacji – np. przy recepcji.

Czy w związku z powołaniem ABI zmieni się sposób kontroli administratorów danych przez GIODO?

Zgodnie z nowymi przepisami GIODO może się zwrócić do powołanego i zarejestrowanego ABI z wnioskiem o sprawdzenie zgodności przetwarzania danych z przepisami o ochronie danych. Jest to korzystne rozwiązanie dla administratorów danych. Z dotychczasowej praktyki wynika bowiem, że w przypadku wielu kontroli przeprowadzanych przez GIODO wystarczająca byłaby rozmowa z ABI zamiast kilkudniowej inspekcji w siedzibie administratora danych. Sprawdzenie wykonywane przez wewnętrznego ABI będzie na pewno wygodniejsze i mniej stresujące.

Czy nowy zakres zadań ABI będzie na tyle znaczący, że powinien wpłynąć np. na wymiar etatu?

Moim zdaniem tak. Oczywiście to zależy od wielkości danej instytucji i ilości procesów przetwarzania danych oraz zbiorów danych. Jeśli jednak np. do tej pory ABI miał 1/4 etatu, to teraz być może trzeba będzie zwiększyć ten wymiar do 3/4 lub nawet pełnego etatu.

Może to więc oznaczać dodatkowe obciążenia dla wszystkich instytucji...

Przypominam, że wszyscy administratorzy danych mają wybór sposobu realizacji nowych obowiązków. Mogą przecież nie powoływać ABI według nowych zasad, tylko pozostawić osobę wyznaczoną dotychczasowo do pełnienia funkcji ABI, która do tej pory zajmowała się nadzorem nad ochroną danych, i zgłaszać oraz aktualizować, tak jak do tej pory, zbiory danych osobowych do rejestracji GIODO. Jest jeszcze trochę czasu na podjęcie decyzji. Do 30 czerwca należy zdecydować, czy wyznaczonych do końca 2014 r. ABI, na podstawie uchylonych przepisów, powołamy na ABI zgodnie z nowymi zasadami i zgłosimy do rejestracji GIODO czy pozostawimy te osoby, ale już na innych stanowiskach, i zlecimy im wykonywanie części lub wszystkich zadań. Podkreślam, że od 1 lipca 2015 r. stanowisko ABI będzie odnosić się do ABI powołanego na podstawie nowych przepisów. Po tym terminie nowego ABI będzie można zgłaszać w dowolnym momencie.

Czy dużo instytucji już zgłosiło powołanie takiej osoby?

Jest już ponad 2000 zgłoszeń, z czego jest zarejestrowanych ok. 700 ABI. Najwięcej pochodzi ze sfery publicznej. Sądzę, że to dlatego, iż w strukturach tego typu instytucji osoba zajmująca się danymi osobowymi ma już formalnie utworzone stanowisko. Nieco inaczej może być w firmach prywatnych. Żeby podjąć racjonalną decyzję dotyczącą powołania ABI, najlepiej zaczekać na publikację wszystkich rozporządzeń wykonawczych.

Na co powinno się zwracać szczególną uwagę w organach administracji publicznych przy powoływaniu ABI?

Na pewno na wybór odpowiednio przygotowanej osoby z niezbędnymi kompetencjami oraz właściwe jej umocowanie w strukturze danej organizacji. Do tej pory nie było takich szczególnych wymagań. Powołany według nowych przepisów ABI powinien podlegać bezpośrednio kierownikowi organu. W związku ze zwiększeniem zadań i obowiązków ABI w każdej instytucji należy rozważyć kwestie zwiększenia wymiaru etatu oraz wynagrodzenia.

—rozmawiała Katarzyna Borowska

Maciej Byczkowski jest prezesem zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: Rzeczpospolita

Budżet Państwa Dane Osobowe
Czterolatek miał zapłacić zaległy czynsz. Sąd nie doczytał, w jakim jest wieku
W sądzie i w urzędzie
Czterolatek miał zapłacić zaległy czynsz. Sąd nie doczytał, w jakim jest wieku
Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę
Materiał Promocyjny
Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę
https://track.adform.net/adfserve/?bn=77855207;1x1inv=1;srctype=3;gdpr=${gdpr};gdpr_consent=${gdpr_consent_50};ord=[timestamp]
Po śmierci rodzica, majątek w pierwszej kolejności przypada małżonkowi oraz dzieciom
Spadki i darowizny
Podział spadku po rodzicach. Kto ma prawo do majątku po zmarłych?
Już za trzy tygodnie list polecony z urzędu przyjdzie on-line
W sądzie i w urzędzie
Już za trzy tygodnie list polecony z urzędu przyjdzie on-line
Ważne zmiany w zasadach wystawiania recept. Pacjenci mają powody do radości
Zdrowie
Ważne zmiany w zasadach wystawiania recept. Pacjenci mają powody do radości
Do 300 zł na święta dla rodziców i dzieci od Banku Pekao
Materiał Promocyjny
Do 300 zł na święta dla rodziców i dzieci od Banku Pekao
Prezydent Andrzej Duda, była prezes TK Julia Przyłębska oraz Pierwsza Prezes Sądu Najwyższego Małgor
Sądy i trybunały
Bogdan Święczkowski nowym prezesem TK. "Ewidentna wada formalna"
Jaecoo J7 w leasingu od 1670 zł/mies.
Materiał Promocyjny
Jaecoo J7 w leasingu od 1670 zł/mies.
e-Wydanie