Administrator Bezpieczeństwa Informacji

Nowelizacja ustawy o ochronie danych osobowych, która weszła w życie 1 stycznia 2015 roku, w znaczący sposób doprecyzowała rolę administratora bezpieczeństwa informacji w ramach struktury organizacyjnej firmy. W poprzednim stanie prawnym jego działanie opierało się w głównej mierze na praktykach i standardach rynkowych.

  • Rafał Stępniewski
  • /
  • 9 maja 2016

Wprowadzenie

Powołanie administratora bezpieczeństwa informacji leży w wyłącznej gestii administratora danych. Przepisy nie nakładają obowiązku powołania osoby na tę funkcję. Nie ma w tym kontekście znaczenia jak duża jest firma, ani jak dużo danych osobowych przetwarza.

Decyzja o powołaniu administratora bezpieczeństwa informacji zależy od struktury organizacyjnej firmy i analizy czy w przypadku danej firmy zalety powołania przysłonią wady. Niewątpliwą zaletą powołania administratora bezpieczeństwa informacji w firmie jest brak konieczności rejestracji zbiorów danych osobowych w GIODO i każdorazowej ich aktualizacji (z pewnymi wyjątkami). Z drugiej strony na administratorze bezpieczeństwa informacji ciąży więcej obowiązków formalnych, związanych np. z koniecznością przygotowywania sprawozdań dla administratora danych, których przypadku braku powołania administrator danych nie musi sporządzać.

Ustawa określa, iż do zadań administratora bezpieczeństwa informacji należy:

1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  • nadzorowanie opracowania i aktualizowania dokumentacji (polityka bezpieczeństwa) oraz przestrzegania zasad w niej określonych,
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

2. prowadzenie (jawnego) rejestru zbiorów danych przetwarzanych przez administratora danych.

W przypadku niepowołania administratora bezpieczeństwa informacji powyższe zadania wykonuje administrator danych, z wyjątkiem konieczności opracowywania sprawozdań.

Tryb oraz sposób wykonywania zadań przez administratora bezpieczeństwa informacji określone są dodatkowo w rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Wymogi formalne

Znowelizowane przepisy ustawy określają wymogi formalne jakie musi spełniać osoba, którą administrator danych zamierza powołać na stanowisko administratora bezpieczeństwa informacji. Wymogi możemy podzielić na dwie kategorie.

Pierwsza kategoria to wymogi dotyczące bezpośrednio danej osoby, która ma zostać powołana. Administratorem bezpieczeństwa informacji może być tylko osoba, która:

  1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
  2. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
  3. nie była karana za umyślne przestępstwo.

Możliwe jest powołanie przez administratora danych zastępców administratora bezpieczeństwa informacji, do których również stosuje się powyższe wymogi.

Druga kategoria wymogów dotyczy kwestii organizacyjnych w firmie. Zgodne z przepisami działanie administratora bezpieczeństwa informacji jest dopuszczalne tylko jeżeli:

  1. podlega on bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych,
  2. administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań,
  3. administrator danych nie nakłada na administratora bezpieczeństwa informacji innych obowiązków, które mogą naruszać prawidłowe wykonywanie zadań określonych w ustawie o ochronie danych osobowych.

Celem ustawy nie było tworzenie z administratorów danych osobowych nowej grupy zawodowej, w związku z czym do pełnienia tej funkcji nie potrzebne są żadne certyfikaty czy dyplomy ukończenia studiów podyplomowych. Dlatego właśnie ustawa mówi o “odpowiedniej wiedzy z zakresu ochrony danych osobowych” jaką musi dysponować osoba będąca administratorem bezpieczeństwa informacji, ale nie wskazuje na konieczność formalnego potwierdzenia poziomu wiedzy.

W praktyce, nierzadko administratorami bezpieczeństwa w firmie zostają mianowani pracujące już w firmach osoby, na których nakładany jest większy zakres obowiązków. Warto jednak pamiętać, że administrator bezpieczeństwa informacji może wykonywać inne obowiązki jeśli nie zakłóca to wykonywania obowiązków wynikających z ustawy o ochronie danych osobowych.

Rejestracja

Nowelizacja przepisów ustawy o ochronie danych osobowych wprowadziła konieczność rejestracji administratora bezpieczeństwa informacji, jeśli został powołany przez administratora danych. Zgłoszenia można dokonać samodzielnie lub wykorzystać wzór formularza, który określony jest w rozporządzeniu.

Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji powinno zawierać:

  1. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
  2. dane administratora bezpieczeństwa informacji:
    1. imię i nazwisko,
    2. numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość,
    3. adres do korespondencji, jeżeli jest inny niż adres administratora danych,
    4. datę powołania,
    5. oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków formalnych dotyczących zarówno osoby administratora, jak również wymogów organizacyjnych w firmie.

Wniosek rejestracyjny można złożyć w formie papierowej lub wykorzystując platformę elektroniczną, dostępną na stronie internetowej GIODO. Warto mieć na uwadze, iż jeśli choćby jeden z wymogów formalnych dotyczących osoby administratora bezpieczeństwa informacji lub organizacyjnych firmy, o których mówi ustawa, nie zostanie zaznaczony we wniosku GIODO odmówi rejestracji.

Zgłoszeniu podlega również fakt odwołania administratora bezpieczeństwa informacji z pełnionej funkcji. Tego rodzaju zgłoszenie powinno zawierać:

  1. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
  2. dane administratora bezpieczeństwa informacji:
    1. imię i nazwisko,
    2. numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość,
  3. datę i przyczynę odwołania.

GIODO prowadzi ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji zawierający następujące informacje o administratorze bezpieczeństwa informacji:

  1. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany,
  2. dane administratora bezpieczeństwa informacji:
  1. imię i nazwisko,
  2. adres do korespondencji, jeżeli jest inny niż adres administratora danych.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: RODO w firmie
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!