Page 8 - DN 4
P. 8
ODO@WIP.PL
ABI powinien podlegać
Jak już kilkakrotnie wspomniano powyżej, jednym z pod-
stawowych celów nowelizacji było zwiększenie znaczenia bezpośrednio kierownikowi
kontroli funkcjonalnej, realizowanej przez Administrato-
rów Bezpieczeństwa Informacji (m.in. zadania ustawowe jednostki organizacyjnej lub
dotyczące uproszczonej kontroli oraz uproszczonej reje-
stracji). osobie fi zycznej będącej
Z tych przyczyn w ustawie wprowadzono szczególne in-
strumenty, które mają umożliwić ABI-im prawidłowe wy- administratorem danych
konywanie tych zadań.
W pierwszej kolejności wymienić należy obowiązek ad-
ministratora danych zapewnienia ABI-emu odpowiednich Należy w związku z tym przyjąć, że Generalny Inspektor
środków, jak też organizacyjnej odrębności pozwalającej na może wydawać, na podstawie art. 18 uodo, decyzje naka-
niezależne wykonywanie przez niego określonych w usta- zujące przywrócenie stanu zgodnego z prawem. Może to
wie zadań (art. 36a ust. 8). zrobić między innymi poprzez wskazanie, jakiego rodza-
ju działania powinny zostać podjęte przez administratora
PRZYKŁAD
danych.
Poprzez odpowiednie środki należy rozumieć personel, pomieszcze- Z taką sytuacją mielibyśmy do czynienia właśnie np. w przy-
nia, sprzęt, a także inne zasoby niezbędne do wykonywania zadań padku naruszenia obowiązków określonych w art. 36a ust. 8.
przez ABI. W pojęciu tym mieści się również zapewnienie utrzymania Po drugie, należy przyjąć, że ustawa dopuszcza pełnienie
odpowiedniego poziomu wiedzy zawodowej ABI. funkcji ABI w różnych wariantach. W szczególności osobie
takiej może być powierzone określone stanowisko pracy,
Z powyższym obowiązkiem ściśle związany jest wymóg, dodatkowe zadanie, czy też wyznaczona funkcja (niezależ-
aby Administrator Bezpieczeństwa Informacji podlegał na od ewentualnego pozostawania w stosunku pracy z ad-
bezpośrednio kierownikowi jednostki organizacyjnej lub ministratorem danych).
osobie f zycznej będącej administratorem danych (art. 36a Za dopuszczalne należy również przyjąć pełnienie roli
ust. 7). Administratora Bezpieczeństwa Informacji w różnych
Jak się przyjmuje, takie usytuowanie ABI-ego pozwala mu jednostkach organizacyjnych. Należy jednak pamiętać,
na efektywniejszą realizację zadań w zakresie ochrony da- że w każdym z tych przypadków koniecznie jest spełnie-
nych osobowych, między innymi z uwagi na możliwość po- nie wyżej wymienionych wymogów.
dejmowania działań władczych w stosunku do osób, które Wydaje się w związku z tym, że w pewnych sytuacjach trud-
znajdują się niżej w strukturze danego podmiotu. ne mogłoby być łączenie roli ABI z zajmowaniem stano-
Chodzi również o to, aby Administrator Bezpieczeństwa wisk, które – w ramach wykonywania przez niego zadań
Informacji wykonywał swoje zadania niezależnie i nie jako Administratora Bezpieczeństwa Informacji – miałyby
otrzymywał żadnych poleceń dotyczących pełnienia swo- podlegać jego kontroli, np. z uwagi na konfl ikt interesów.
jej funkcji.
Gwarancją należytego wykonywania zadań przez ABI jest WAŻNE
również wymóg, aby administrator danych mógł mu po- Nowe przepisy niewątpliwie będą wymagać zweryfikowania zasad
wierzyć wykonywanie innych jeszcze – niż zadania z za- dopuszczalnego outsourcingu ABI, szczególnie mając na względzie
kresu ochrony danych osobowych – obowiązków tylko konieczność spełnienia warunku „bezpośredniej podległości kierow-
wówczas, jeżeli nie naruszy to prawidłowego wykonywa- nikowi jednostki organizacyjnej lub osobie fizycznej będącej admi-
nia tych zadań (art. 36a ust. 4). nistratorem danych”.
UWAGA
Wymóg ten należy rozumieć w ten sposób, że administrator danych Nowe zadania ABI-ego
powinien zagwarantować, że inne obowiązki (zawodowe) ABI-ego po nowelizacji ustawy
będą zgodne z zadaniami tej osoby jako Administratora Bezpieczeń-
stwa Informacji i nie będą skutkowały konfliktem interesów. Nowe zadania Administratorów Bezpieczeństwa Infor-
macji określone zostały w art. 19b ust. 1 (działania ze-
Odpowiedzialność wnętrzne) oraz 36a ust. 2 pkt 1 (działania wewnętrzne)
znowelizowanej ustawy.
administratora danych W pierwszym przypadku chodzi o dokonywanie przez ABI,
na żądanie Generalnego Inspektora Ochrony Danych Osobo-
W świetle powyższych przepisów warto poczynić kilka wych, sprawdzenia u administratora danych zgodności prze-
uwag o charakterze ogólnym. twarzania danych osobowych z przepisami o ochronie danych
Po pierwsze, że sposób sformułowania powyższych obo- osobowych (uproszczona kontrola).
wiązków ustawowych pozwala na przyjęcie, że niewy- Po dokonaniu sprawdzenia Administrator Bezpieczeństwa
konanie przez administratora danych jego obowiązków Informacji przedstawia, za pośrednictwem administratora
zapewnienia odpowiednich warunków wykonywania za- danych, sprawozdanie obejmujące badanie zgodności prze-
dań przez ABI rodzić może jego odpowiedzialność admi- twarzania danych z przepisami o ochronie danych osobowych.
nistracyjną. Elementy sprawozdania wskazane są w art. 36c znowelizowa-
OCHRONA DANYCH OSOBOWYCH 146 STYCZEŃ 2015