Administrator Bezpieczeństwa Informacji – czy trzeba go powołać?

Administratora Bezpieczeństwa Informacji (ABI) nie trzeba powołać, lecz jest taka możliwość.

Administrator Danych Osobowych (ADO), „właściciel danych” może podjąć jedną z dwóch decyzji:

  1. Powołać ABI (w razie potrzeby jego zastępców)

Jeżeli Organizacja wybierze tę drogę, to musi zapewnić środki i organizacyjną odrębność ABI, co jest niezbędne do niezależnego wykonywania przypisanych mu zadań. Można powierzyć ABI realizowanie innych obowiązków,  jedynie w przypadku gdy  nie naruszy to prawidłowego wykonywania jego podstawowych obowiązków. Osoba ta  może być zatrudniona w Organizacji lub funkcja ABI może być zlecana na zewnątrz.

Zgodnie z wymaganiami ustawy ABI:

  • musi posiadać pełną zdolność do czynności prawnych
  • nie może być karany za umyślne przestępstwo
  • ma podlegać bezpośrednio pod kierownictwo
  • musi posiadać odpowiednią wiedzę z zakresu ochrony danych osobowych.

Do jego obowiązków należą m.in.:

  • zapewnienie przestrzegania przepisów o ochronie danych osobowych
  • prowadzenie rejestru zbiorów danych przetwarzanych przez ADO;
  • nadzór nad opracowaniem, wdrożeniem i stosowaniem dokumentacji wymaganej ustawą;
  • zapewnienie szkoleń dla personelu z zakresu ODO;
  • przygotowanie sprawozdań dla ADO;
  • wykonywanie innych obowiązków – o ile nie naruszają one prawidłowego wykonywania wyżej wymienionych zadań.

Rejestracja w GIODO

Zgodnie z ustawą należy zgłosić powołanie ABI do GIODO, który prowadzi  jawny rejestr administratorów bezpieczeństwa informacji, zawierający : oznaczenie ADO  i adres  siedziby (w tym REGON, jeżeli został mu nadany) oraz dane ABI – imię i nazwisko, adres do korespondencji. Wzór zgłoszenia powołania i odwołania ABI określa Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10.12.2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji. W przypadku zmian objętych zgłoszeniem również należy je zgłosić do GIODO (np. zmiana adresu, numeru dokumentu).

Gdy Organizacja posiada w swojej strukturze zarejestrowanego ABI, ma obowiązek zgłaszać zbiory danych obejmujące jedynie dane wrażliwe.

Powołując ABI, Organizacja przenosi na niego większość ustawowych obowiązków związanych z ochroną danych osobowych.

  1. Nie powołać ABI

Jeżeli ADO nie zdecyduje się powołać ABI, to sam jest zobowiązany do spełnienia wymagań  ustawy, w tym opracowania i skutecznego wdrożenie dokumentacji (polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym, upoważnienia do przetwarzania danych osobowych, odwołania upoważnień, ewidencji osób upoważnionych do przetwarzania danych i inne).

Rejestracja w GIODO

W tym rozwiązaniu ADO ma obowiązek zgłosić do rejestracji GIODO wszystkie zbiory danych, które obejmują:

  • zwykłe dane osobowe – z wyjątkiem zbiorów ustawowo zwolnionych z rejestracji (art. 43 ust. 1 pkt 1-12 ustawy o ochronie danych osobowych);
  • dane wrażliwe

Powołanie ABI ma wiele korzyści, zwłaszcza dla ADO.  Rozwiązanie to sprawdzi się przede wszystkim w dużych organizacjach, prowadzących kilka zbiorów danych osobowych, które często się zmieniają. Wtedy nie trzeba zgłaszać do GIODO zbiorów danych zwykłych przetwarzanych w systemach informatycznych.

Jeżeli są Państwo zainteresowani zleceniem na zewnątrz funkcji Administratora Bezpieczeństwa Informacji profesjonalistom, prosimy o kontakt telefoniczny: tel. 12 346 54 73, kom. 509 628 232 lub wypełnienie formularza kontaktowego.