OBOWIĄZKI ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI

abi

Zadania wynikające z przepisów prawa

Jeśli chodzi o zadania narzucone przez ustawodawcę są one uregulowane w art. 36a ust. 2 Ustawy o ochronie danych osobowych:

Art. 36a
(…)
2. Do zadań administratora bezpieczeństwa informacji należy:
1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7.

 

 

Z tego przepisu jednoznacznie wynika, iż Administrator Bezpieczeństwa Informacji jest zobowiązany do szeregu działań mających zapewnić właściwe i zgodne z prawem przetwarzanie danych w jednostce. Katalog zadań zapewniających przestrzeganie przepisów (wskazany w lit. a–c) ma charakter otwarty, czyli nie można go traktować jako zamkniętego ani kompletnego. Wskazane zadania trzeba rozumieć jako konieczne do realizacji, ale jednocześnie nie można zakładać, iż są wystarczające.

Podstawowe grupy zadań ABI obejmują:

  • regularne sprawdzanie stanu zabezpieczeń i realizacji wymogów w zakresie ochrony danych oraz przygotowywanie sprawozdań dla dyrektora w tym zakresie,
  • zadania dotyczące funkcjonującej w placówce dokumentacji związanej z ochroną danych osobowych,
  • zadania związane z kompetencjami pracowników,
  • prowadzenie rejestru zbiorów danych.

Rozporządzenia

Ustawowa regulacja dość ogólnie określa zadania ABI, zawierając jednocześnie w art. 36a ust. 9 delegację dla ministra administracji i cyfryzacji do wydania rozporządzenia dokładnie regulującego te kwestie:

Art. 36a
(…)
9. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia:
1) tryb i sposób realizacji zadań, o których mowa w ust. 2 pkt 1 lit. a i b,
2) sposób prowadzenia rejestru zbiorów danych, o którym mowa w ust. 2 pkt 2 – uwzględniając konieczność zapewnienia prawidłowości realizacji zadań administratora bezpieczeństwa informacji oraz niezależności i organizacyjnej odrębności w wykonywaniu przez niego zadań.

Rozporządzenia, o których mowa powyżej to:

  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 poz. 745),
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015 poz. 719).
  • Rozporządzenia te określają szczegółowe zasady i sposoby wykonywania zadań ABI wskazanych w ustawie. W naturalny sposób – ze względu na kształt delegacji ustawowej – nie wprowadzają nowych zadań. Zatem na gruncie formalnym i najwyższym poziomie ogólności katalog zadań Administratora Bezpieczeństwa Informacji określony został w ustawie i obejmuje:
    • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
    • nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36a ust. 2, oraz przestrzegania zasad w niej określonych,
    • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
    • prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów zawierających dane wrażliwe.

Sprawdzenia

Pierwszym zadaniem, które dla ABI przewiduje ustawa i akty wykonawcze, jest dokonywanie regularnych sprawdzeń oraz przedstawianie sprawozdania  z nich administratorowi danych. Przepisy aktu wykonawczego ustalają konkretne  ramy okresów, w jakich muszą się odbywać sprawdzenia (nie rzadziej niż raz w roku) oraz na okresy, w jakich należy planować sprawdzenia (plan obejmuje co najmniej kwartał, co najwyżej rok).Przepisy mówiące o okresach rocznych nie odnoszą się do sposobu liczenia roku. W większości przypadków  jak sądzę oczywistym odniesieniem będzie  rok kalendarzowy.

Dokumentacja ochrony danych osobowych

Drugim elementem zadań ABI wskazanych w art. 36a ust. 2 ustawy jest nadzór nad opracowaniem i aktualizowaniem dokumentacji oraz przestrzeganiem zasad w niej opisanych. Należy mieć na uwadze, iż  ustawa nie nakłada na ABI obowiązku opracowania dokumentacji, a jedynie nadzór nad tym procesem. Taka rozwiązanie wydaje się uzasadniona, jeśli brać pod uwagę, że w bardzo dużych organizacjach może to być zadanie, któremu jedna osoba nie jest w stanie podołać.

Opracowanie, w szczególności zupełnie od podstaw, dokumentacji przetwarzania danych osobowych ,Polityki bezpieczeństwa oraz Instrukcji zarządzania systemami informatycznymi , może być dla ABI zadaniem karkołomnym, zwłaszcza gdy dopiero zaczął pełnić tę funkcję.

Zaleca się korzystanie z usług firm specjalistycznych, które zawodowo zajmują się tworzeniem dokumentacji.

Szkolenie pracowników

Kolejnym zadaniem o których jest mowa w przepisach ustawy, jest zapoznanie pracowników z obowiązującymi przepisami o ochronie danych osobowych.

ABI  szkoli i sprawuje nadzór  nad tym, który z pracowników i w jaki sposób został przeszkolony. Kwestie realizacji szkoleń, ich częstotliwości, formy oraz innych okoliczności powinny chyba podlegać indywidualnym decyzjom administratora danych osobowych. Szkolenia mogą być organizowane przez firmy  zewnętrzne  lub w jakimś zakresie zapewniane przez ABI.

Upoważnienia do przetwarzania danych

Przepisy ustawy nakładają obowiązek dopuszczenia do przetwarzania danych jedynie tych osób, którym wcześniej nadano upoważnienie do przetwarzania danych osobowych. Zgodnie z ustawową regulacją nadawanie upoważnień jest zadaniem administratora danych oraz prowadzenia ewidencji osób upoważnionych.

Istnieje możliwość delegowania tych zadań dla administratora bezpieczeństwa informacji..

W związku z powyższym katalog zadań ABI uzupełnić o nadawanie i odbieranie upoważnień do przetwarzania danych osobowych oraz prowadzenie ich ewidencji. Trzeba mieć na uwadze,  że nie jest to zadanie ABI, będzie on formalnie potrzebował wystawionego przez administratora danych osobowych  pełnomocnictwa umożliwiającego nadawanie i odbieranie upoważnień do przetwarzania danych osobowych.

 

Bibliografia:

– Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz 966 z późn. zm.),

www.giodo.gov.pl.