Administrator bezpieczeństwa informacji

Administrator bezpieczeństwa informacji (ABI) jest powoływany przez administratora danych. Kto może zostać ABI i jakie zadania leżą w jego gestii - wyjaśniamy poniżej.

Kto może zostać administratorem bezpieczeństwa informacji?

Zgodnie ze stanowiskiem Generalnego Inspektora Ochrony Danych Osobowych (GIODO) administratorem bezpieczeństwa może być jedynie osoba fizyczna. Bowiem jak wynika z art. 36 ust. 3 ustawy o ochronie danych osobowych głównym zadaniem ABI jest nadzorowanie przestrzegania zasad ochrony ustalonych przez administratora danych w celu zapewnienia bezpieczeństwa danych. Natomiast art. 37 ustawy wskazuje, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. W ocenie GIODO niewątpliwie przepisy te odnoszą się do konkretnych osób fizycznych, które wymienione są w ewidencji osób upoważnionych do przetwarzania danych oraz które są zobowiązane zachować w tajemnicy dane i sposoby ich zabezpieczenia.

 

Co ważne, osoba powołana na stanowisko administratora bezpieczeństwa informacji nie musi być zatrudniona u administratora danych. Jednak powołanie to z pewnością  powinno zachować formę pisemną.

Nic nie stoi na przeszkodzie, aby ABI pełnił w jednostce również inne funkcje, przy czym ich wykonywanie nie powinno powodować powstania konfliktu interesu.

Administrator bezpieczeństwa informacji - jakie ma zadania?

Ustawa o ochronie danych osobowych nie określa szczegółowych zadań ABI, jednak wśród najważniejszych można wymienić:

  1. nadzorowanie poprawności i aktualizacja dokumentacji związanej z ochroną danych osobowych;
  2. kontrola stanu wydanych upoważnień oraz ewidencji osób upoważnionych;
  3. odpowiedzi związane z kontrolami GIODO i innymi organami szkolenia wstępne oraz okresowe dla poszczególnych działów;
  4. nadzorowanie udostępniania danych osobowych odbiorcom danych i innym podmiotom;
  5. sprawowanie nadzoru nad wdrożeniem stosownych środków w celu zapewnienia bezpieczeństwa danych osobowych;
  6. sprawowanie nadzoru nad funkcjonowaniem systemu zabezpieczeń wdrożonym w celu ochrony danych osobowych;
  7. kontrola dostępu osób niepowołanych do systemu, w którym przetwarzane są dane osobowe;
  8. nadzorowanie oraz podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń lub podejrzenia naruszenia;
  9. monitorowanie dostępu użytkowników do systemów przetwarzających dane osobowe.

Odpowiedzialność administratora bezpieczeństwa informacji

Kwestia odpowiedzialności ABI została określona w art. 51 ustawy o ochronie danych osobowych. W sytuacji, gdy ABI udostępni je lub umożliwi dostęp do danych osobowych osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Natomiast gdy działanie to ma charakter nieumyślny, ABI podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Kiedy nie ma konieczności powoływania ABI?

Ustawa o ochronie danych osobowych wyróżnia dwie sytuacje, w których nie ma konieczności powoływania administratora bezpieczeństwa informacji.

Pierwsza z nich została uregulowana w art. 36 ust. 3 ustawy i wskazuje, że wyznaczenie ABI nie jest konieczne, gdy administrator danych osobowych jest osobą fizyczną i sam wykonuje zadania przed nim stawiane.

Natomiast druga sytuacja odnosi się do administratorów danych wykonujących prasową działalność dziennikarską, działalności literacką lub artystyczną, zgodnie z art. 3a ust. 2 ustawy.