Poradnik Przedsiębiorcy

Administrator bezpieczeństwa informacji - kim jest?

Ustawa o ochronie danych osobowych nie definiuje pojęcia administrator bezpieczeństwa informacji, choć w treści przepisów niejednokrotnie pojawia się to pojęcie. Kim jest i jaki jest zakres obowiązków takiej osoby? Czy każdy powinien zarejestrować administratora bezpieczeństwa informacji w GIODO? Czy istnieją jakieś 

Kim jest administrator bezpieczeństwa informacji?

Odpowiedź na to pytanie możemy znaleźć w treści ustawy o ochronie danych osobowych. W jej przepisach ustawodawca wskazał, czym zajmuje się administrator bezpieczeństwa informacji.

Art. 36a ust. 2

Do zadań administratora bezpieczeństwa informacji należy:

1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,

c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7.

Zatem administratorem bezpieczeństwa informacji jest osoba, którą powołano w celu sprawowania pieczy nad bezpieczeństwem danych osobowych w firmie lub organizacji. Dodatkowo zobowiązana jest wypełniać zadania, wskazane w ustawie o ochronie danych osobowych. Ponieważ w praktyce często trudno jest odróżnić administratora danych (tzw. ADO) od administratora bezpieczeństwa informacji (tzw. ABI), spróbujemy wyjaśnić różnicę między tymi dwoma pojęciami.

Administrator bezpieczeństwa informacji a administrator danych osobowych

Administrator danych to pojęcie wyjaśnione wprost w przepisach prawa. Mówiąc więc o administratorze danych osobowych, rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, decydujące o celach i środkach przetwarzania danych osobowych. W praktyce pojęcie najłatwiej wyjaśnić na przykładach. Administratorem danych w przypadku:

  • jednoosobowej działalności gospodarczej jest sam przedsiębiorca;

  • spółki z o.o. jest nim spółka - w praktycznym ujęciu za tę spółkę odpowiadają konkretne osoby, a więc mowa tu o zarządzie.  

Co do zasady zatem, administrator danych jest stały i nie może przekazywać swojej funkcji i odpowiedzialności na inne osoby czy firmy. Natomiast według zapisów ustawy o ochronie danych osobowych może on powoływać administratorów bezpieczeństwa informacji, na których przekazuje konkretne (m.in. wynikające z ustawy) zadania. Powołany zatem przez administratora danych ABI nie zastępuje w pełni administratora danych ani nie przejmuje pełnej odpowiedzialności za ochronę danych osobowych w firmie. Wykonuje natomiast określone zadania, za które ponosi odpowiedzialność i dzięki którym administrator danych może zapewnić w swojej firmie środki techniczne i organizacyjne, zapewniające ochronę przetwarzanych danych osobowych. W praktyce oznacza to, że przede wszystkim zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Administrator bezpieczeństwa informacji - rejestracja w GIODO

GIODO, czyli Generalny Inspektor Ochrony Danych Osobowych, prowadzi jawny ogólnodostępny rejestr administratorów bezpieczeństwa informacji. Aby w tym rejestrze mógł się znaleźć ABI konkretnej firmy, administrator danych musi oficjalnie go oficjalnie powołać, a następnie złożyć w GIODO wniosek o jego rejestrację.

Czynności związane z powołaniem i rejestracją administratora danych opisano w artykule Powołanie ABI do rejestracji GIODO wzór z omówieniem.

Czynności wykonywane przez administratora bezpieczeństwa informacji

Gdy administrator danych osobowych powoła ABI-ego i zgodnie z przepisami dokona jego rejestracji w GIODO (ustawowo w terminie 30 dni), administrator bezpieczeństwa informacji przyjmuje na siebie określone zadania. Wśród nich wyróżniamy:

  • obowiązek zapewniania przestrzegania przepisów o ochronie danych osobowych w firmie, w czym pomocne ma być:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

  • nadzorowanie opracowania i aktualizowania dokumentacji (m.in. polityka ochrony danych osobowych, instrukcja zarządzania systemem informatycznym), oraz przestrzegania zasad w niej określonych,

  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

  • obowiązek prowadzenia rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów zwolnionych z rejestracji.

Z obowiązków, które ciążą na administratorze bezpieczeństwa informacji, widzimy, że nie on sam dba o ochronę danych osobowych w firmie. Przede wszystkim bowiem ochroną danych osobowych zajmują się wszyscy zatrudnieni pracownicy, a ABI sprawdza, nadzoruje i zapewnia dostęp do wiedzy na ten temat.

Brak administratora bezpieczeństwa informacji w firmie

Powołanie administratora bezpieczeństwa informacji w firmie nie jest bezwzględnym obowiązkiem administratora danych. Oznacza to, że brak ABI-ego nie jest przestępstwem. Administrator danych osobowych, który nie powoła administratora bezpieczeństwa informacji, powinien mieć jednak świadomość, że wówczas czynności, które miałby wykonywać ABI, musi wykonywać on sam. Zatem brak powołania administratora bezpieczeństwa nie może skutkować zaniedbaniami w zakresie przestrzegania przepisów ochrony danych osobowych. Jeżeli ADO nie powoła na wspomniane stanowisko żadnej osoby, sam jest zobowiązany wykonywać wszelkie czynności, którymi zajmowałby się ABI (z wyjątkiem sporządzania sprawozdań).