Administrator Bezpieczeństwa Informacji
Nowelizacja ustawy o ochronie danych osobowych, która weszła w życie 1 stycznia 2015 roku, w znaczący sposób doprecyzowała rolę administratora bezpieczeństwa informacji w ramach struktury organizacyjnej firmy. W poprzednim stanie prawnym jego działanie opierało się w głównej mierze na praktykach i standardach rynkowych.
- Rafał Stępniewski
- /
- 9 maja 2016
Wprowadzenie
Powołanie administratora bezpieczeństwa informacji leży w wyłącznej gestii administratora danych. Przepisy nie nakładają obowiązku powołania osoby na tę funkcję. Nie ma w tym kontekście znaczenia jak duża jest firma, ani jak dużo danych osobowych przetwarza.
Decyzja o powołaniu administratora bezpieczeństwa informacji zależy od struktury organizacyjnej firmy i analizy czy w przypadku danej firmy zalety powołania przysłonią wady. Niewątpliwą zaletą powołania administratora bezpieczeństwa informacji w firmie jest brak konieczności rejestracji zbiorów danych osobowych w GIODO i każdorazowej ich aktualizacji (z pewnymi wyjątkami). Z drugiej strony na administratorze bezpieczeństwa informacji ciąży więcej obowiązków formalnych, związanych np. z koniecznością przygotowywania sprawozdań dla administratora danych, których przypadku braku powołania administrator danych nie musi sporządzać.
Ustawa określa, iż do zadań administratora bezpieczeństwa informacji należy:
1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
- sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
- nadzorowanie opracowania i aktualizowania dokumentacji (polityka bezpieczeństwa) oraz przestrzegania zasad w niej określonych,
- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
2. prowadzenie (jawnego) rejestru zbiorów danych przetwarzanych przez administratora danych.
W przypadku niepowołania administratora bezpieczeństwa informacji powyższe zadania wykonuje administrator danych, z wyjątkiem konieczności opracowywania sprawozdań.
Tryb oraz sposób wykonywania zadań przez administratora bezpieczeństwa informacji określone są dodatkowo w rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Wymogi formalne
Znowelizowane przepisy ustawy określają wymogi formalne jakie musi spełniać osoba, którą administrator danych zamierza powołać na stanowisko administratora bezpieczeństwa informacji. Wymogi możemy podzielić na dwie kategorie.
Pierwsza kategoria to wymogi dotyczące bezpośrednio danej osoby, która ma zostać powołana. Administratorem bezpieczeństwa informacji może być tylko osoba, która:
- ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
- posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
- nie była karana za umyślne przestępstwo.
Możliwe jest powołanie przez administratora danych zastępców administratora bezpieczeństwa informacji, do których również stosuje się powyższe wymogi.
Druga kategoria wymogów dotyczy kwestii organizacyjnych w firmie. Zgodne z przepisami działanie administratora bezpieczeństwa informacji jest dopuszczalne tylko jeżeli:
- podlega on bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych,
- administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań,
- administrator danych nie nakłada na administratora bezpieczeństwa informacji innych obowiązków, które mogą naruszać prawidłowe wykonywanie zadań określonych w ustawie o ochronie danych osobowych.
Celem ustawy nie było tworzenie z administratorów danych osobowych nowej grupy zawodowej, w związku z czym do pełnienia tej funkcji nie potrzebne są żadne certyfikaty czy dyplomy ukończenia studiów podyplomowych. Dlatego właśnie ustawa mówi o “odpowiedniej wiedzy z zakresu ochrony danych osobowych” jaką musi dysponować osoba będąca administratorem bezpieczeństwa informacji, ale nie wskazuje na konieczność formalnego potwierdzenia poziomu wiedzy.
W praktyce, nierzadko administratorami bezpieczeństwa w firmie zostają mianowani pracujące już w firmach osoby, na których nakładany jest większy zakres obowiązków. Warto jednak pamiętać, że administrator bezpieczeństwa informacji może wykonywać inne obowiązki jeśli nie zakłóca to wykonywania obowiązków wynikających z ustawy o ochronie danych osobowych.
Rejestracja
Nowelizacja przepisów ustawy o ochronie danych osobowych wprowadziła konieczność rejestracji administratora bezpieczeństwa informacji, jeśli został powołany przez administratora danych. Zgłoszenia można dokonać samodzielnie lub wykorzystać wzór formularza, który określony jest w rozporządzeniu.
Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji powinno zawierać:
- oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
- dane administratora bezpieczeństwa informacji:
- imię i nazwisko,
- numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość,
- adres do korespondencji, jeżeli jest inny niż adres administratora danych,
- datę powołania,
- oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków formalnych dotyczących zarówno osoby administratora, jak również wymogów organizacyjnych w firmie.
Wniosek rejestracyjny można złożyć w formie papierowej lub wykorzystując platformę elektroniczną, dostępną na stronie internetowej GIODO. Warto mieć na uwadze, iż jeśli choćby jeden z wymogów formalnych dotyczących osoby administratora bezpieczeństwa informacji lub organizacyjnych firmy, o których mówi ustawa, nie zostanie zaznaczony we wniosku GIODO odmówi rejestracji.
Zgłoszeniu podlega również fakt odwołania administratora bezpieczeństwa informacji z pełnionej funkcji. Tego rodzaju zgłoszenie powinno zawierać:
- oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
- dane administratora bezpieczeństwa informacji:
- imię i nazwisko,
- numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość,
- datę i przyczynę odwołania.
GIODO prowadzi ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji zawierający następujące informacje o administratorze bezpieczeństwa informacji:
- oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany,
- dane administratora bezpieczeństwa informacji:
- imię i nazwisko,
- adres do korespondencji, jeżeli jest inny niż adres administratora danych.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?