Stowarzyszenie Administratorów Bezpieczeństwa Informacji
Stowarzyszenie ABI
Władze Stowarzyszenia
Statut
Kodeks Etyki
Materiały z debaty, konferencji
Działalność SABI
Aktualności
Kalendarium nowelizacji ustawy o ochronie danych osobowych - ustawa deregulacyjna
Akty prawne
Członkostwo
Przydatne linki
Kontakt
The Association of Information Security Administrators
WNIOSEK O PATRONAT SABI
FACEBOOK
Studium podyplomowe PAN
Aktualności

17 grudnia 2015 r. - w grudniowym numerze czasopisma „Ochrona danych osobowych” (Wydawnictwo WiP) ukazał się artykuł „Powołanie zastępców ABI” autorstwa Prezesa SABI Macieja Byczkowskiego, prezentowany w ramach stałej rubryki „Eksperci SABI radzą”. Prezes Maciej Byczkowski zwrócił uwagę w swoim artykule, na fakt, że zgodnie z przepisami administrator danych może powołać zastępców ABI. Wyjaśnił także w treści artykułu, kogo można powołać na to stanowisko i jakie zadania można powierzyć takiej osobie. 

Prezes Byczkowski przypomniał, że od samego początku obowiązywania przepisów o ochronie danych osobowych pojawiał się problem kto ma zastępować ABI podczas jego nieobecności. W zasadzie przepisy nie zabraniały ADO wyznaczyć więcej osób do nadzoru zasad przetwarzania danych niż tylko jedną osobę. Takie struktury pojawiały się w dużych firmach, gdzie był wyznaczany ABI w centrali oraz lokalni ABI w oddziałach danego podmiotu. Ostatnia nowelizacja uodo w zakresie statusu funkcji ABI uregulowała również kwestie powoływania jego zastępców.

Prezes Byczkowski zaznaczył, że zgodnie z art. 36a ust. 6 uodo ADO może powołać zastępców ABI. Może to być jedna lub kilka osób. Osoby te, podobnie jak ABI, muszą spełniać kryteria określone w art. 36a ust. 5 uodo czyli muszą mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych, posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych oraz nie być karane za umyślne przestępstwo. Podkreślił, że celem powołania zastępców ABI jest zapewnienie, że osoby te będą zastępować ABI w przypadku jego nieobecności przy wykonywaniu zadań określonych w art. 36a ust. 2 uodo, w tym w przeprowadzaniu sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowywaniu w tym zakresie sprawozdania dla administratora danych, nadzorowaniu opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 uodo oraz przestrzeganiu zasad w niej określonych, zapewnianiu zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz prowadzeniu rejestru zbiorów danych przetwarzanych przez ADO. Prezes Byczkowski zaakcentował, że nie ma w ustawie zapisanych innych wymogów, które wprost odnoszą się do zastępców ABI oraz, że ich powołania nie trzeba zgłaszać do rejestracji GIODO a także że GIODO nie będzie mógł zlecać sprawdzenia w trybie art. 19b uodo zastępcom ABI.

Prezes SABI zaznaczył, że decyzja w kwestii kogo powołać zależy wyłącznie od ADO. Może być to np. pracownik zatrudniony na innym stanowisku, który w razie konieczności przejmie wykonywanie obowiązków powołanego ABI. Można również wyznaczyć na zastępców kilka osób, które będą zastępować ABI przy wykonywaniu konkretnych zadań określonych w art. 36a ust. 2 uodo i np. jeden zastępca będzie wykonywał sprawdzenia (jeżeli ich termin został zaplanowany lub w sytuacji wystąpienia incydentu związanego z naruszeniem bezpieczeństwa danych), inny będzie sprawował nadzór nad dokumentacją przetwarzania danych, a jeszcze inny zapewniał zapoznanie osób upoważnionych z przepisami itp. Podkreślił, że w takim wypadku należy ustalić konkretny zakres zadań dla takich osób oraz zweryfikować czy powołani zastępcy ABI, którzy są zatrudnieni na innych stanowiskach, będą mogli prawidłowo realizować powierzone zadania, tak jak jest to zapisane w art. 36a ust. 4 uodo w przypadku ABI. Zaznaczył również, że w zakresie wykonywania swoich zadań zastępcy ABI będą podlegać, tak samo jak ABI kierownikowi jednostki organizacyjnej oraz, że  ADO powinien zapewnić możliwość wykonywania zadań przez zastępców, w odniesieniu do art. 36a ust. 8 uodo.

Prezes Byczkowski zwrócił  uwagę na to, że w wielu podmiotach w opracowanej dokumentacji polityki bezpieczeństwa danych osobowych, przyjęto rozwiązanie organizacyjne podziału obowiązków nadzoru nad przetwarzaniem danych pomiędzy ABI oraz administratora bezpieczeństwa systemu informatycznego (ABSI lub ASI albo IT Security Officer itp.). Podkreślił, że zadaniem ABI jest nadzór nad wszystkimi procesami przetwarzania danych, natomiast ABSI nadzór nad bezpieczeństwem przetwarzania danych w systemie informatycznym. Podział wynikał z posiadanych kompetencji, a obie funkcje uzupełniały się w zapewnianiu bezpieczeństwa przetwarzanych danych. Zaakcentował, że po ostatniej nowelizacji uodo z 7 listopada 2014 r. podmioty, które przyjęły taki podział zadań, chciały powierzyć nowe obowiązki ABI osobie, która wcześniej była wyznaczona na ABI, a osobie wyznaczonej na ABSI obowiązki zastępcy ABI. Prezes Byczkowski wskazał na fakt, że  zgodnie z obowiązującymi przepisami nie można w ten sposób powołać zastępcy ABI, ponieważ w tym przypadku osoba ta nie będzie zastępować ABI w wykonywaniu jego obowiązków, tylko wykonywać zadania uzupełniające wynikające z przyjętej polityki. Podkreślił, że jeżeli zakres zadań ABSI pozostanie bez zmian to dalej może on wykonywać swoje zadania określone w polityce, ale nie może być on powołany na zastępcę ABI.

Źródło: „Ochrona danych osobowych” (Wydawnictwo WiP)