Poradnik Przedsiębiorcy

Administrator bezpieczeństwa informacji - kim jest?

Ustawa o ochronie danych osobowych nie definiuje pojęcia administrator bezpieczeństwa informacji, choć w treści przepisów niejednokrotnie pojawia się to pojęcie. Kim jest i jaki jest zakres obowiązków takiej osoby? Czy każdy powinien zarejestrować administratora bezpieczeństwa informacji w GIODO? Czy istnieją jakieś 

Kim jest administrator bezpieczeństwa informacji?

Odpowiedź na to pytanie możemy znaleźć w treści ustawy o ochronie danych osobowych. W jej przepisach ustawodawca wskazał, czym zajmuje się administrator bezpieczeństwa informacji.

Art. 36a ust. 2

Do zadań administratora bezpieczeństwa informacji należy:

1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,

c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7.

Zatem administratorem bezpieczeństwa informacji jest osoba, którą powołano w celu sprawowania pieczy nad bezpieczeństwem danych osobowych w firmie lub organizacji. Dodatkowo zobowiązana jest wypełniać zadania, wskazane w ustawie o ochronie danych osobowych. Ponieważ w praktyce często trudno jest odróżnić administratora danych (tzw. ADO) od administratora bezpieczeństwa informacji (tzw. ABI), spróbujemy wyjaśnić różnicę między tymi dwoma pojęciami.

Administrator bezpieczeństwa informacji a administrator danych osobowych

Administrator danych to pojęcie wyjaśnione wprost w przepisach prawa. Mówiąc więc o administratorze danych osobowych, rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, decydujące o celach i środkach przetwarzania danych osobowych. W praktyce pojęcie najłatwiej wyjaśnić na przykładach. Administratorem danych w przypadku:

  • jednoosobowej działalności gospodarczej jest sam przedsiębiorca;

  • spółki z o.o. jest nim spółka - w praktycznym ujęciu za tę spółkę odpowiadają konkretne osoby, a więc mowa tu o zarządzie.  

Co do zasady zatem, administrator danych jest stały i nie może przekazywać swojej funkcji i odpowiedzialności na inne osoby czy firmy. Natomiast według zapisów ustawy o ochronie danych osobowych może on powoływać administratorów bezpieczeństwa informacji, na których przekazuje konkretne (m.in. wynikające z ustawy) zadania. Powołany zatem przez administratora danych ABI nie zastępuje w pełni administratora danych ani nie przejmuje pełnej odpowiedzialności za ochronę danych osobowych w firmie. Wykonuje natomiast określone zadania, za które ponosi odpowiedzialność i dzięki którym administrator danych może zapewnić w swojej firmie środki techniczne i organizacyjne, zapewniające ochronę przetwarzanych danych osobowych. W praktyce oznacza to, że przede wszystkim zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Administrator bezpieczeństwa informacji - rejestracja w GIODO

GIODO, czyli Generalny Inspektor Ochrony Danych Osobowych, prowadzi jawny ogólnodostępny rejestr administratorów bezpieczeństwa informacji. Aby w tym rejestrze mógł się znaleźć ABI konkretnej firmy, administrator danych musi oficjalnie go oficjalnie powołać, a następnie złożyć w GIODO wniosek o jego rejestrację.

Czynności związane z powołaniem i rejestracją administratora danych opisano w artykule Powołanie ABI do rejestracji GIODO wzór z omówieniem.

Czynności wykonywane przez administratora bezpieczeństwa informacji

Gdy administrator danych osobowych powoła ABI-ego i zgodnie z przepisami dokona jego rejestracji w GIODO (ustawowo w terminie 30 dni), administrator bezpieczeństwa informacji przyjmuje na siebie określone zadania. Wśród nich wyróżniamy:

  • obowiązek zapewniania przestrzegania przepisów o ochronie danych osobowych w firmie, w czym pomocne ma być:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

  • nadzorowanie opracowania i aktualizowania dokumentacji (m.in. polityka ochrony danych osobowych, instrukcja zarządzania systemem informatycznym), oraz przestrzegania zasad w niej określonych,

Możesz ocenić ten artykuł