Nowe zadania ABI:
Ustawowa regulacja dość ogólnie określa zadania ABI, zawierając jednocześnie w art. 36a ust. 9 delegację dla ministra administracji i cyfryzacji do wydania rozporządzenia dokładnie regulującego te kwestie:
Art. 36a
(…)
9. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia:
1) tryb i sposób realizacji zadań, o których mowa w ust. 2 pkt 1 lit. a i b,
2) sposób prowadzenia rejestru zbiorów danych, o którym mowa w ust. 2 pkt 2 – uwzględniając konieczność zapewnienia prawidłowości realizacji zadań administratora bezpieczeństwa informacji oraz niezależności i organizacyjnej odrębności w wykonywaniu przez niego zadań.
Rozporządzenia, o których mowa powyżej to:
Nowe zadania ABI-ego określone zostały w ustawie. Są to:
Sprawdzenia
Pierwszym zadaniem jest dokonywanie cyklicznych sprawdzeń oraz przedstawianie sprawozdania z nich administratorowi danych. Przepisy aktu wykonawczego ustalają ramy okresów, w jakich muszą się odbywać sprawdzenia (nie rzadziej niż raz w roku) oraz na okresy, w jakich należy planować sprawdzenia (plan obejmuje co najmniej kwartał, co najwyżej rok).
Jak się wydaje, informacja, na jaki okres będzie przygotowywany plan sprawdzeń oraz ile ma ich być (przepisy wyznaczają tylko dolny limit), powinna znaleźć się w określeniu zakresu zadań ABI. Przepisy mówiące o okresach rocznych nie odnoszą się do sposobu liczenia roku. W większości przypadków oczywistym odniesieniem jest rok kalendarzowy, natomiast w wypadku szkoły dużo bardziej naturalny wydaje się rok szkolny. Przy wprowadzaniu do zadań ABI zapisów o wykonywaniu danych obowiązków w okresach rocznych warto rozważyć, czy rok będzie tożsamy z rokiem szkolnym, czy kalendarzowym.
Dokumentacja ochrony danych osobowych
Drugim zadaniem ABI wskazanych w art. 36a ust. 2 ustawy jest nadzór nad opracowaniem i aktualizowaniem dokumentacji oraz przestrzeganiem zasad w niej opisanych. Zadanie to określone jest bardzo szeroko i zdecydowanie rekomenduje się doprecyzowanie go w zakresie obowiązków lokalnego Administratora Bezpieczeństwa Informacji.
Należy podkreślić, iż ustawa nie nakłada na ABI obowiązku opracowania dokumentacji, a jedynie nadzór nad tym procesem. Prawdopodobnie większość dyrektorów będzie oczekiwała że to właśnie ich ABI będzie osobiście aktualizował, a być może nawet tworzył, tę dokumentację. Aby nie wzbudzało niepotrzebnych wątpliwości, kwestia ta powinna zostać uregulowana w zakresie obowiązków Administratora Bezpieczeństwa Informacji.
Przeszkolenie pracowników
Kolejnym zadaniem Administratora Bezpieczeństwa Informacji jest zapoznanie pracowników z obowiązującymi przepisami o ochronie danych osobowych
ABI musi sprawować nadzór nad tym, który z pracowników i w jaki sposób został przeszkolony. Z kolei kwestie realizacji szkoleń, ich częstotliwości, formy oraz innych okoliczności powinny chyba podlegać indywidualnym decyzjom dyrektora we współpracy z Administratorem Bezpieczeństwa Informacji. Zależnie od realnego zapotrzebowania i aktualnych możliwości finansowych szkolenia mogą być organizowane przez dostawców zewnętrznych lub w jakimś zakresie zapewniane przez ABI – to prawdopodobnie najlepsza opcja. Sztywne określenie przygotowania szkolenia jako obowiązku Administratora Bezpieczeństwa Informacji zdecydowanie nie jest rozwiązaniem godnym polecenia.