Kim jest administrator bezpieczeństwa informacji? Jakie są jego obowiązki? I czy w ogóle warto go powołać? O nowych przepisach dot. ochrony danych osobowych pisze Krzysztof M. Król:

Administrator bezpieczeństwa informacji a administrator danych osobowych

W pierwszym z moich wpisów na stronie mogliście dowiedzieć się, kim jest i za co odpowiada administrator danych osobowych. Tytułem przypomnienia jest to osoba, która decyduje o celach i środkach przetwarzania danych – innymi słowy określa sposoby ich wykorzystania w działalności profesjonalnej. Zakres odpowiedzialności administratora danych osobowych obejmuje całokształt operacji na danych – administrator ustala, po co je zbiera, jak długo je przechowuje, komu je udostępnia i jak je zabezpiecza. Jeżeli mają miejsce nieprawidłowości, to on zazwyczaj za nie odpowiada.

Administrator danych może być wspierany w przestrzeganiu zasad ochrony danych przez administratora bezpieczeństwa informacji (ABI). Trzeba podkreślić, że powołanie takiego funkcjonariusza nie jest obowiązkiem, tylko uprawnieniem administratora. Zgodnie z treścią art. 36 ust. 3 ustawy o ochronie danych osobowych, jeżeli administrator danych nie powołał ABI, to musi on sam wykonywać te zadania. I to już wszystko co stanowi prawo… W żadnym innym przepisie ustawy nie doprecyzowano roli ABI. Jest jasnym, że jego kompetencje nie obejmują podstawowej funkcji administratora – decydowania o celach i środkach przetwarzania danych osobowych. W pozostałym zakresie to właśnie administrator danych może decydować o zakresie zadań i odpowiedzialności ABI. Taki niedoskonały stan nie mógł jednak trwać wiecznie.

Sytuacja ulegnie wkrótce zmianie w związku z uchwaleniem ustawy o ułatwieniu wykonywania działalności gospodarczej. Jest to tzw. ustawa deregulacyjna, którą zmieniono przepisy wielu ustaw, dotyczących m.in. kwestii podatkowych, bezpieczeństwa produktów czy rynku pracy. W zakresie ochrony danych osobowych, w artykule 9 dodano przepisy o ABI oraz zasady przekazywania danych osobowych do państw trzecich (o tym temacie być może szerzej w przyszłości). Ustawa wejdzie w życie 1 stycznia 2015 r. Celem, który przyświecał ustawodawcy było zmniejszenie obciążeń administratora danych przez zniesienie obowiązku rejestrowania większości zbiorów danych. Możliwość taką przewidują przepisy dyrektywy o ochronie danych osobowych, na których wzorowana jest wprowadzana regulacja.

Administrator bezpieczeństwa informacji – co się zmienia?

Powołanie ABI nadal zależeć będzie od woli administratora danych. Może to się wiązać z pewnymi korzyściami dla administratora, o których mowa poniżej. W ustawie (art. 9 p. 4) doprecyzowano zakres zadań administratora bezpieczeństwa informacji. Jego obowiązkami są:

1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w tym:

– sprawdzanie zgodności przetwarzania danych z przepisami i przedstawianie sprawozdania w tym zakresie administratorowi danych,

– nadzorowanie opracowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę danych,

– szkolenie pracowników i innych osób upoważnionych do przetwarzania danych w zakresie ich obowiązków;

2. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych (z wyłączeniem zbiorów danych wrażliwych, które nadal muszą być rejestrowane u GIODO).

Administrator bezpieczeństwa informacji został pomyślany jako doradca i jednocześnie strażnik w procesie przetwarzania danych. Niektórzy postrzegają ABI jako wewnętrznego informatora donoszącego na administratora danych do Generalnego Inspektora Ochrony Danych Osobowych. Faktycznie może on przekazywać informacje GIODO, gdy otrzyma od tego ostatniego takie polecenie. Przede wszystkim jednak administrator bezpieczeństwa informacji będzie informować administratora o nieprawidłowościach, zanim inspektorzy GIODO zaangażują się w sprawę. A kiedy już do tego dojdzie, ma on być punktem kontaktowym pomiędzy inspektorami GIODO a administratorem danych.

Błędne postrzeganie roli administratora danych osobowych może wynikać z tego, że wielu przedsiębiorców ma niską świadomość w zakresie prywatności swoich klientów i potrzeby ochrony danych firmy. Korzystanie ze wsparcia profesjonalisty rozumiejącego zasady przetwarzania danych może zapobiegać takim sytuacjom i niesie za sobą więcej korzyści niż strat. Jako negatywny aspekt jego powołania, niektórzy mogą postrzegać wzrost kosztów działalności czy brak swobody w przetwarzaniu danych, ale czy takie ograniczenia rzeczywiście będą negatywnie wpływały na biznes? Warto przypomnieć to, co napisałem na początku. Administrator bezpieczeństwa informacji ma wspierać administratora danych w dostosowaniu do wymogów ujętych w ustawie o ochronie danych osobowych. Jeżeli nie dojdzie do powołania ABI, administrator i tak musi wypełnić obowiązki zabezpieczenia swoich baz danych. Stosowanie dobrych procedur przetwarzania i szkolenie pracowników podnosi poziom bezpieczeństwa firmy, co może stanowić element przewagi nad konkurencją. Jeżeli administrator bezpieczeństwa informacji zostanie powołany i zarejestrowany u GIODO, to nie trzeba będzie także zgłaszać zbiorów przetwarzanych danych do GIODO (nie dotyczy to tzw. danych wrażliwych), tak jak dotychczas. To administrator bezpieczeństwa informacji będzie prowadzić wewnętrzny, ale jednocześnie dostępny, rejestr zbiorów danych.

Kto będzie mógł zostać administratorem bezpieczeństwa informacji?

Wymagania stawiane przed osobami pełniącymi tę funkcję nie są wygórowane, tak by nie utrudniać działalności przedsiębiorców. Przede wszystkim muszą to być osoby korzystające z pełni praw, niekarane za przestępstwa umyślne. Najważniejszym wymogiem jest posiadanie odpowiedniej wiedzy w zakresie ochrony danych osobowych. To w gestii administratora pozostanie decyzja, czy uważa on danego kandydata za spełniającego oczekiwania. Osoby te mogą podnosić swoje kompetencje poprzez szkolenia i certyfikaty. Istnieje już rozwijający się rynek takich usług.

Aby wykonywać swoje obowiązki właściwie, administrator bezpieczeństwa informacji będzie musiał podlegać bezpośrednio kierownictwu administratora danych (zarządowi spółki, właścicielowi przedsiębiorstwa itp.) i jednocześnie powinien mieć zagwarantowaną niezależność w wykonywaniu czynności. Tylko wtedy będzie on mógł skutecznie doradzać i wspierać administratora w zgodnym z prawem przetwarzaniu danych. Oczywiście nie będzie to osoba nieusuwalna, prawie jak przedstawiciele związków zawodowych. Niewykonywanie obowiązków może oznaczać zakończenie współpracy, czy nałożenie kar zgodnie z umową łączącą strony. Administrator bezpieczeństwa informacji może być pracownikiem albo współpracownikiem administratora – tutaj ustawodawca pozostawił przedsiębiorcom szeroką swobodę.

Administrator bezpieczeństwa informacji może okazać się bardziej potrzebny w większych organizacjach przetwarzających dużą ilość danych osobowych, przy udziale wielu pracowników. Mniejsze podmioty mogą zdecydować się na wykonywanie tych obowiązków przez samego administratora danych. Niezależnie od obranego kierunku trzeba pamiętać, iż informacje przetwarzane przez firmy są wystawione na zagrożenia, którym przeciwdziałać będą musieli wszyscy uczestnicy rynku.

***

Fot.: unsplash.com