CyberbezpieczeństwoArtykuł z magazynu ITwizPolecane tematy
Administrator Bezpieczeństwa Informacji: kim jest i co robi?
Administrator Danych Osobowych (ADO) jest obowiązany zastosować środki techniczne i organizacyjne, zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, uszkodzeniem lub zniszczeniem. ADO może też powołać Administratora Bezpieczeństwa Informacji (ABI)…
W sieci, na forach internetowych spopularyzowano pogląd, że od czasu wejścia w życie przepisów nowelizujących ustawę o ochronie danych osobowych (1 stycznia 2015 r.) – w tym tych dotyczących Administratora Bezpieczeństwa Informacji – został usunięty obowiązek i teraz nie ma potrzeby powoływania ABI. Jest to tylko półprawda, gdyż nie znikają obowiązki ABI, a konsekwencją jego niepowołania jest przejęcie wyżej wskazanych zadań przez ADO.
Zasady powoływania ABI
Decyzja o powołaniu ABI należy do Administratora Danych Osobowych, dlatego też to on musi zadecydować, czy powołanie Administratora Bezpieczeństwa Informacji będzie korzystne. Gdy ADO – będący osoba prawną – nie zdecyduje się na powołanie ABI, wtedy, zgodnie z zasadami reprezentacji, obowiązki te będzie wykonywała „osoba uprawniona do reprezentacji”. Problem może się pojawić w przypadku zarządu wieloosobowego. Wówczas konieczne stanie się wewnętrzne ustalenie osoby wykonującej zadania ABI.
Decyzja o powołaniu ABI należy do Administratora Danych Osobowych, dlatego to on musi zadecydować, czy powołanie Administratora Bezpieczeństwa Informacji będzie korzystne. Gdy ADO – będący osobą prawną – nie zdecyduje się na powołanie ABI, wtedy, zgodnie z zasadami reprezentacji, obowiązki te będzie wykonywała „osoba uprawniona do reprezentacji”. Problem może się pojawić w przypadku zarządu wieloosobowego. Wówczas konieczne stanie się wewnętrzne ustalenie osoby wykonującej zadania ABI.
Przepisy nie przesądzają, w jaki sposób ADO powinien realizować obowiązki. Zatem ADO może działać samodzielnie albo powierzyć to innej osobie, bez powoływania jej na ABI. Może także wyznaczyć zespół osób, które będą odpowiedzialne za ochronę danych. Jednakże ADO musi być świadomy tego, że bez względu na to, jaki model wybierze, to on będzie odpowiedzialny za realizację ustawowych zadań.
Obowiązki administratorów bezpieczeństwa i danych
ADO działający bez ABI, z oczywistych względów, nie musi wykonywać dwóch obowiązków – przygotowywania sprawozdań ze sprawdzeń oraz prowadzenia rejestru zbiorów danych. Zadaniem ABI jest przedkładanie sprawozdań ADO, a skoro on sam prowadzi sprawdzenie, nie ma komu składać sprawozdania. ADO, działający samodzielnie, nie zostanie też wezwany przez GIODO do przeprowadzenia sprawdzenia i złożenia z niego sprawozdania. ADO, który nie powołał ABI, musi na dotychczasowych zasadach zgłaszać zbiory do rejestracji w GIODO.
Ustawa o ochronie danych osobowych dość lakonicznie wypowiada się na temat obowiązków Administratora Bezpieczeństwa Informacji. Ich uszczegółowienie pojawiło się wraz z opublikowaniem rozporządzenia Ministra Administracji i Cyfryzacji w sprawie „trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez Administratora Bezpieczeństwa Informacji”. Przepisy tego rozporządzenia określają tryb i sposób sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowywania sprawozdania w tym zakresie, a także nadzorowania opracowywania i aktualizowania dokumentacji.
Kto może być ABI i za co odpowiada?
Administratorem Bezpieczeństwa Informacji może być osoba, która ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, nie była karana za umyślne przestępstwo oraz posiada odpowiednią wiedzę w zakresie ochrony danych osobowych. ABI musi być odpowiednio umiejscowiony w strukturze podmiotu, dla którego pracuje, to jest musi bezpośrednio podlegać kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Ustawa nie odnosi się do wytycznych oceny kompetencji ABI. Jednakże we własnym interesie ADO powinien zadbać o to, by zweryfikować jego umiejętności.
ABI odpowiada zarówno za kwestie techniczne – zabezpieczenie systemów informatycznych, szyfrowanie danych itd., jak i za prawidłowe przetwarzanie danych – np. ochrona danych, szkolenia i doradztwo dla pozostałych pracowników podmiotu, którzy mają dostęp do danych.
ABI odpowiada zarówno za kwestie techniczne (zabezpieczenie systemów informatycznych, szyfrowanie danych itd.), jak i za prawidłowe przetwarzanie danych (np. ochrona danych, szkolenia i doradztwo dla pozostałych pracowników podmiotu, którzy mają dostęp do danych). Jeżeli ABI został powołany i wpisany do rejestru prowadzonego przez GIODO, wówczas GIODO może zwrócić się do niego o skontrolowanie administratora danych, u którego ABI pełni swoją funkcję.
Czy warto powoływać ABI?
Wiele firm rozważa, czy powołanie ABI w rzeczywistości okaże się opłacalne. Zdarzają się też podmioty, które decydują się na odwołanie dotychczasowych ABI. Jeśli przy rejestracji zbiorów podawały, że mają ABI, po odwołaniu muszą przesłać zgłoszenie aktualizujące.
Pojawiły się słuszne głosy, że poza zwolnieniem z obowiązku rejestracji zbiorów danych osobowych, nie ma korzyści z ustanowienia ABI, a nawet pojawiają się dodatkowe problemy. Jednostka powołująca ABI musi bowiem zapewnić mu odpowiednie warunki działania (niezależność i środki finansowe). Sprawdzenia dokonywane na żądanie GIODO odbywają się według reguł, na które jednostka nie ma wpływu. Natomiast gdy ABI nie zostanie powołany, to sprawdzenie odbywa się na zasadach ustalanych przez jednostkę.
Właściwie największą zaletą powołania ABI jest zwolnienie z obowiązku rejestracji danych osobowych u GIODO, chyba że zbiór zawiera dane wrażliwe, bo rejestr taki prowadzi ABI. Jednak najpierw trzeba zarejestrować ABI, co oznacza, że jeden obowiązek rejestracyjny został zastąpiony innym.
ADO jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania. ADO może też powołać zastępców administratora bezpieczeństwa informacji, którzy spełniają warunki określone dla ABI. Ustawa nie wskazuje, ilu może być takich zastępców. Ponadto ich powołanie lub odwołanie, odmiennie niż w przypadku ABI, nie wymaga notyfikacji u GIODO.
Berenika Kaczmarek-Templin jest adwokatem
Głównym zadaniem Administratora Bezpieczeństwa Informacji jest:- 1) Zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
- a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
- b) nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz przestrzegania zasad w niej określonych,
- c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
- 2) Prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.
- PRZECIW: Jednostka powołująca ABI musi zapewnić mu odpowiednie warunki działania – niezależność i środki finansowe.
- PRZECIW: Sprawdzenia dokonywane na żądanie GIODO odbywają się według reguł, na które jednostka nie ma wpływu. Natomiast gdy ABI nie zostanie powołany, to sprawdzenie odbywa się na zasadach ustalanych przez jednostkę.
- ZA: Zaletą powołania ABI jest zwolnienie z obowiązku rejestracji danych osobowych u GIODO, chyba że zbiór zawiera dane wrażliwe, bo rejestr taki prowadzi ABI. Jednakże najpierw trzeba zarejestrować ABI. Jeden obowiązek rejestracyjny został więc zastąpiony innym.