Zadania wynikające z przepisów prawa
Jeśli chodzi o zadania narzucone przez ustawodawcę są one uregulowane w art. 36a ust. 2 Ustawy o ochronie danych osobowych:
Art. 36a
(…)
2. Do zadań administratora bezpieczeństwa informacji należy:
1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7.
Z tego przepisu jednoznacznie wynika, iż Administrator Bezpieczeństwa Informacji jest zobowiązany do szeregu działań mających zapewnić właściwe i zgodne z prawem przetwarzanie danych w jednostce. Katalog zadań zapewniających przestrzeganie przepisów (wskazany w lit. a–c) ma charakter otwarty, czyli nie można go traktować jako zamkniętego ani kompletnego. Wskazane zadania trzeba rozumieć jako konieczne do realizacji, ale jednocześnie nie można zakładać, iż są wystarczające.
Podstawowe grupy zadań ABI obejmują:
Rozporządzenia
Ustawowa regulacja dość ogólnie określa zadania ABI, zawierając jednocześnie w art. 36a ust. 9 delegację dla ministra administracji i cyfryzacji do wydania rozporządzenia dokładnie regulującego te kwestie:
Art. 36a
(…)
9. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia:
1) tryb i sposób realizacji zadań, o których mowa w ust. 2 pkt 1 lit. a i b,
2) sposób prowadzenia rejestru zbiorów danych, o którym mowa w ust. 2 pkt 2 – uwzględniając konieczność zapewnienia prawidłowości realizacji zadań administratora bezpieczeństwa informacji oraz niezależności i organizacyjnej odrębności w wykonywaniu przez niego zadań.
Rozporządzenia, o których mowa powyżej to:
Sprawdzenia
Pierwszym zadaniem, które dla ABI przewiduje ustawa i akty wykonawcze, jest dokonywanie regularnych sprawdzeń oraz przedstawianie sprawozdania z nich administratorowi danych. Przepisy aktu wykonawczego ustalają konkretne ramy okresów, w jakich muszą się odbywać sprawdzenia (nie rzadziej niż raz w roku) oraz na okresy, w jakich należy planować sprawdzenia (plan obejmuje co najmniej kwartał, co najwyżej rok).Przepisy mówiące o okresach rocznych nie odnoszą się do sposobu liczenia roku. W większości przypadków jak sądzę oczywistym odniesieniem będzie rok kalendarzowy.
Dokumentacja ochrony danych osobowych
Drugim elementem zadań ABI wskazanych w art. 36a ust. 2 ustawy jest nadzór nad opracowaniem i aktualizowaniem dokumentacji oraz przestrzeganiem zasad w niej opisanych. Należy mieć na uwadze, iż ustawa nie nakłada na ABI obowiązku opracowania dokumentacji, a jedynie nadzór nad tym procesem. Taka rozwiązanie wydaje się uzasadniona, jeśli brać pod uwagę, że w bardzo dużych organizacjach może to być zadanie, któremu jedna osoba nie jest w stanie podołać.
Opracowanie, w szczególności zupełnie od podstaw, dokumentacji przetwarzania danych osobowych ,Polityki bezpieczeństwa oraz Instrukcji zarządzania systemami informatycznymi , może być dla ABI zadaniem karkołomnym, zwłaszcza gdy dopiero zaczął pełnić tę funkcję.
Zaleca się korzystanie z usług firm specjalistycznych, które zawodowo zajmują się tworzeniem dokumentacji.
Szkolenie pracowników
Kolejnym zadaniem o których jest mowa w przepisach ustawy, jest zapoznanie pracowników z obowiązującymi przepisami o ochronie danych osobowych.
ABI szkoli i sprawuje nadzór nad tym, który z pracowników i w jaki sposób został przeszkolony. Kwestie realizacji szkoleń, ich częstotliwości, formy oraz innych okoliczności powinny chyba podlegać indywidualnym decyzjom administratora danych osobowych. Szkolenia mogą być organizowane przez firmy zewnętrzne lub w jakimś zakresie zapewniane przez ABI.
Upoważnienia do przetwarzania danych
Przepisy ustawy nakładają obowiązek dopuszczenia do przetwarzania danych jedynie tych osób, którym wcześniej nadano upoważnienie do przetwarzania danych osobowych. Zgodnie z ustawową regulacją nadawanie upoważnień jest zadaniem administratora danych oraz prowadzenia ewidencji osób upoważnionych.
Istnieje możliwość delegowania tych zadań dla administratora bezpieczeństwa informacji..
W związku z powyższym katalog zadań ABI uzupełnić o nadawanie i odbieranie upoważnień do przetwarzania danych osobowych oraz prowadzenie ich ewidencji. Trzeba mieć na uwadze, że nie jest to zadanie ABI, będzie on formalnie potrzebował wystawionego przez administratora danych osobowych pełnomocnictwa umożliwiającego nadawanie i odbieranie upoważnień do przetwarzania danych osobowych.
Bibliografia:
– Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz 966 z późn. zm.),
Ułatwienia dostępu