Mimo, że od momentu wejście w życie nowych regulacji dotyczących Administratora Bezpieczeństwa Informacji (ABI) minęło już sporo czasu, w praktyce w dalszym ciągu administratorzy danych osobowych mają wiele wątpliwości w tym zakresie. Wychodząc naprzeciw ich potrzebom chciałbym wskazać kilka najważniejszych elementów, na jakie muszą zwrócić swoją uwagę wybierając sposób ochrony przetwarzanych danych osobowych.
Przede wszystkim należy wskazać, że powołanie ABI jest uprawnieniem, a nie obowiązkiem. Jednak te podmioty, które zdecydują się na powołanie administratora bezpieczeństwa informacji będę musiały zgłosić go do właściwego rejestru GIODO. Jednak w takim przypadku nie będzie konieczności prowadzenia dalszej rejestracji poszczególnych zbiorów danych osobowych, ponieważ to ABI będzie prowadził stosowną dokumentację. Powyższe nie dotyczy sytuacji, gdy administrator przetwarza dane wrażliwe tj. np. dotyczące poglądów politycznych, stanu zdrowia.
Powołany ABI ma szereg obowiązków. Przede wszystkim musi zapewnić przestrzeganie przepisów o ochronie danych osobowych. Czynności jakie podejmuje ABI to w szczególności:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych i środki techniczne oraz organizacyjne zapewniające jej ochronę i przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
Jak już wspomniałem powyżej, jednym z głównych obowiązków ABI jest prowadzenie rejestru zbioru danych przetwarzanych przez administratora danych. Natomiast jeśli dany podmiot nie powoła ABI, to zobligowany będzie do wykonywania jego zadań samodzielnie - z wyjątkiem obowiązku sporządzania sprawozdania i prowadzenia wewnętrznego rejestru zbiorów danych przetwarzanych przez administratora danych (bo w braku ABI takiego wewnętrznego rejestru w ogóle się nie prowadzi).
Kluczowe z praktycznego punktu widzenia jest pytanie kto może pełnić funkcję ABI. Funkcję ABI można powierzyć osobie, która łącznie spełnia następujące warunki:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
3) nie była karana za umyślne przestępstwo.
Jak widać, Ustawodawca nie określił jakiś szczególnych wymagań dla osoby pełniącej funkcję ABI, w szczególności w zakresie wiedzy na temat ochrony danych. Oznacza to, że nie ma potrzeby aby kompetencje ABI były udokumentowane egzaminami czy certyfikatami. Jak wyjaśnia GIODO, ustawa nie wymaga posiadania przez ABI jakichkolwiek certyfikatów czy zaświadczeń ukończenia szkoleń z zakresu danych osobowych. To administrator danych, który powołuje ABI, powinien ocenić, czy powierza tę funkcję kompetentnej osobie.
Co bardzo ważne, ABI musi zajmować określone miejsce w hierarchii administratora danych tj. podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych, oraz musi mieć zapewnione środki i organizacyjną odrębność niezbędne do niezależnego wykonywania przez niego zadań z zakresu ochrony danych osobowych. Jest to obowiązek ustawowy, który musi być spełniony.
Dla przykładu można wskazać, że błędne jest powołanie na ABI np. członka zarządu spółki, ponieważ prowadziłoby to do sytuacji, w której administrator danych sam sobie będzie nadzorował przestrzeganie przepisów dotyczących ochrony danych osobowych.
Od momentu powołania ABI, administrator danych ma 30 dni na zgłoszenie go do GIODO na urzędowym formularzu.
