Administrator bezpieczeństwa informacji (ABI) jest powoływany przez administratora danych. Kto może zostać ABI i jakie zadania leżą w jego gestii - wyjaśniamy poniżej.
Kto może zostać administratorem bezpieczeństwa informacji?
Zgodnie ze stanowiskiem Generalnego Inspektora Ochrony Danych Osobowych (GIODO) administratorem bezpieczeństwa może być jedynie osoba fizyczna. Bowiem jak wynika z art. 36 ust. 3 ustawy o ochronie danych osobowych głównym zadaniem ABI jest nadzorowanie przestrzegania zasad ochrony ustalonych przez administratora danych w celu zapewnienia bezpieczeństwa danych. Natomiast art. 37 ustawy wskazuje, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. W ocenie GIODO niewątpliwie przepisy te odnoszą się do konkretnych osób fizycznych, które wymienione są w ewidencji osób upoważnionych do przetwarzania danych oraz które są zobowiązane zachować w tajemnicy dane i sposoby ich zabezpieczenia.
Co ważne, osoba powołana na stanowisko administratora bezpieczeństwa informacji nie musi być zatrudniona u administratora danych. Jednak powołanie to z pewnością powinno zachować formę pisemną.
Nic nie stoi na przeszkodzie, aby ABI pełnił w jednostce również inne funkcje, przy czym ich wykonywanie nie powinno powodować powstania konfliktu interesu.
Administrator bezpieczeństwa informacji - jakie ma zadania?
Ustawa o ochronie danych osobowych nie określa szczegółowych zadań ABI, jednak wśród najważniejszych można wymienić:
- nadzorowanie poprawności i aktualizacja dokumentacji związanej z ochroną danych osobowych;
- kontrola stanu wydanych upoważnień oraz ewidencji osób upoważnionych;
- odpowiedzi związane z kontrolami GIODO i innymi organami szkolenia wstępne oraz okresowe dla poszczególnych działów;
- nadzorowanie udostępniania danych osobowych odbiorcom danych i innym podmiotom;
- sprawowanie nadzoru nad wdrożeniem stosownych środków w celu zapewnienia bezpieczeństwa danych osobowych;
- sprawowanie nadzoru nad funkcjonowaniem systemu zabezpieczeń wdrożonym w celu ochrony danych osobowych;
- kontrola dostępu osób niepowołanych do systemu, w którym przetwarzane są dane osobowe;
- nadzorowanie oraz podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń lub podejrzenia naruszenia;
- monitorowanie dostępu użytkowników do systemów przetwarzających dane osobowe.
Odpowiedzialność administratora bezpieczeństwa informacji
Kwestia odpowiedzialności ABI została określona w art. 51 ustawy o ochronie danych osobowych. W sytuacji, gdy ABI udostępni je lub umożliwi dostęp do danych osobowych osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Polecamy:
Natomiast gdy działanie to ma charakter nieumyślny, ABI podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Kiedy nie ma konieczności powoływania ABI?
Ustawa o ochronie danych osobowych wyróżnia dwie sytuacje, w których nie ma konieczności powoływania administratora bezpieczeństwa informacji.
Pierwsza z nich została uregulowana w art. 36 ust. 3 ustawy i wskazuje, że wyznaczenie ABI nie jest konieczne, gdy administrator danych osobowych jest osobą fizyczną i sam wykonuje zadania przed nim stawiane.
Natomiast druga sytuacja odnosi się do administratorów danych wykonujących prasową działalność dziennikarską, działalności literacką lub artystyczną, zgodnie z art. 3a ust. 2 ustawy.
