WYKONYWANIE ZADAŃ ABI W PLACÓWCE OŚWIATOWEJ

Nowe zadania ABI:

Ustawowa regulacja dość ogólnie określa zadania ABI, zawierając jednocześnie w art. 36a ust. 9 delegację dla ministra administracji i cyfryzacji do wydania rozporządzenia dokładnie regulującego te kwestie:

Art. 36a
(…)
9. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia:
1) tryb i sposób realizacji zadań, o których mowa w ust. 2 pkt 1 lit. a i b,
2) sposób prowadzenia rejestru zbiorów danych, o którym mowa w ust. 2 pkt 2 – uwzględniając konieczność zapewnienia prawidłowości realizacji zadań administratora bezpieczeństwa informacji oraz niezależności i organizacyjnej odrębności w wykonywaniu przez niego zadań.

 

Rozporządzenia, o których mowa powyżej to:

  1. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 poz. 745),
  2. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015 poz. 719).
  3. Rozporządzenia te określają szczegółowe zasady i sposoby wykonywania zadań ABI wskazanych w ustawie. W naturalny sposób – ze względu na kształt delegacji ustawowej – nie wprowadzają nowych zadań.

Nowe zadania ABI-ego określone zostały w ustawie. Są to:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  • nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36a ust. 2, oraz przestrzegania zasad w niej określonych,
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
  • prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów zawierających dane wrażliwe.

Sprawdzenia

Pierwszym zadaniem jest dokonywanie cyklicznych sprawdzeń oraz przedstawianie sprawozdania z nich administratorowi danych. Przepisy aktu wykonawczego ustalają ramy okresów, w jakich muszą się odbywać sprawdzenia (nie rzadziej niż raz w roku) oraz na okresy, w jakich należy planować sprawdzenia (plan obejmuje co najmniej kwartał, co najwyżej rok).

Jak się wydaje, informacja, na jaki okres będzie przygotowywany plan sprawdzeń oraz ile ma ich być (przepisy wyznaczają tylko dolny limit), powinna znaleźć się w określeniu zakresu zadań ABI. Przepisy mówiące o okresach rocznych nie odnoszą się do sposobu liczenia roku. W większości przypadków oczywistym odniesieniem jest rok kalendarzowy, natomiast w wypadku szkoły dużo bardziej naturalny wydaje się rok szkolny. Przy wprowadzaniu do zadań ABI zapisów o wykonywaniu danych obowiązków w okresach rocznych warto rozważyć, czy rok będzie tożsamy z rokiem szkolnym, czy kalendarzowym.

Dokumentacja ochrony danych osobowych

Drugim zadaniem ABI wskazanych w art. 36a ust. 2 ustawy jest nadzór nad opracowaniem i aktualizowaniem dokumentacji oraz przestrzeganiem zasad w niej opisanych. Zadanie to określone jest bardzo szeroko i zdecydowanie rekomenduje się doprecyzowanie go w zakresie obowiązków lokalnego Administratora Bezpieczeństwa Informacji.

Należy podkreślić, iż ustawa nie nakłada na ABI obowiązku opracowania dokumentacji, a jedynie nadzór nad tym procesem. Prawdopodobnie większość dyrektorów będzie oczekiwała że to właśnie ich ABI będzie osobiście aktualizował, a być może nawet tworzył, tę dokumentację. Aby nie wzbudzało niepotrzebnych wątpliwości, kwestia ta powinna zostać uregulowana w zakresie obowiązków Administratora Bezpieczeństwa Informacji.

Przeszkolenie pracowników

Kolejnym zadaniem Administratora Bezpieczeństwa Informacji jest zapoznanie pracowników z obowiązującymi przepisami o ochronie danych osobowych

ABI musi sprawować nadzór nad tym, który z pracowników i w jaki sposób został przeszkolony. Z kolei kwestie realizacji szkoleń, ich częstotliwości, formy oraz innych okoliczności powinny chyba podlegać indywidualnym decyzjom dyrektora we współpracy z Administratorem Bezpieczeństwa Informacji. Zależnie od realnego zapotrzebowania i aktualnych możliwości finansowych szkolenia mogą być organizowane przez dostawców zewnętrznych lub w jakimś zakresie zapewniane przez ABI – to prawdopodobnie najlepsza opcja. Sztywne określenie przygotowania szkolenia jako obowiązku Administratora Bezpieczeństwa Informacji zdecydowanie nie jest rozwiązaniem godnym polecenia.