Blog o ochronie danych osobowych

Powołanie administratora bezpieczeństwa Informacji

Aktualnie obowiązujące przepisy ustawy o ochronie danych osobowych przewidują, że administrator danych może powołać administratora bezpieczeństwa informacji. Na stanowisko to może zostać powołana jedynie osoba fizyczna. Ustawa wskazuje warunki, jakie łącznie musi spełnić dana osoba, aby mogła zostać powołana na administratora bezpieczeństwa informacji, przy czym do warunków tych należą pełna zdolność do czynności prawnych, pełnia praw publicznych, posiadanie odpowiedniej wiedzy w zakresie ochrony danych osobowych oraz niekaralność za umyślne przestępstwo.


Administratora bezpieczeństwa informacji powołuje bezpośrednio administrator danych i to on samodzielnie ocenia, czy wybrana przez niego osoba posiada odpowiednią wiedzę z zakresu ochrony danych osobowych. W przypadku, gdy na administratora bezpieczeństwa informacji powołana ma zostać osoba zatrudniona na podstawie umowy o pracę, to pracodawca może skorzystać z uprawnienia pozwalającego mu na uzyskanie informacji o takiej osobie z Krajowego Rejestru Karnego i w ten sposób ustalić, czy osoba spełnia wymóg niekaralności. W sytuacji, gdy stosunek pracy nie występuje, przepisy nie przewidują takich uprawnień.


Administrator bezpieczeństwa informacji ma szereg obowiązków związanych z pełnioną funkcją. Do obowiązków tych należy przede wszystkim szeroko pojmowane zapewnianie przestrzegania przepisów o ochronie danych osobowych, a także prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych (z wyjątkiem tych zbiorów, co do których administrator danych jest zwolniony z obowiązku ich rejestracji). Obowiązek zapewnienia przestrzegania przepisów o ochronie danych osobowych wyrażać się może w różnych czynnościach, przy czym najważniejszymi są dokonywanie sprawdzeń prawidłowości działań administratora danych co do przestrzegania przepisów (oraz opracowywanie odpowiednich sprawozdań), nadzorowanie opracowania i aktualizowania dokumentacji (tj. polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych) oraz przestrzegania określonych w niej zasad, jak również zapewnianie, aby osoby upoważnione do przetwarzania danych były zapoznane z przepisami o ochronie danych osobowych.


Prawidłowa realizacja tych obowiązków, ze względu na ich szeroki zakres, wymagać może delegowania danej osoby do zajmowania wyłącznie stanowiska administratora bezpieczeństwa informacji, aby osoba taka mogła się skupić na pełnieniu wyznaczonej jej funkcji i nie była rozpraszana obowiązkami niezwiązanymi z ochroną danych osobowych. Potwierdza to fakt, że administratorowi bezpieczeństwa informacji można powierzyć również inne obowiązki pod warunkiem, że nie naruszy to prawidłowego wykonywania powyżej wymienionych zadań.

Fakt powołania administratora bezpieczeństwa informacji należy zgłosić do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Powołanie osoby na takie stanowisko jest przy tym jedynie uprawnieniem, a nie obowiązkiem administratora danych – w przypadku, gdy administrator danych nie zdecyduje się na jego powołanie, to bezpośrednio na administratorze danych spoczywają obowiązki administratora bezpieczeństwa informacji (z wyłączeniem obowiązku sporządzania sprawozdania). Powołanie administratora bezpieczeństwa informacji zmniejsza przy tym obowiązki administratora danych, bowiem administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił Generalnemu Inspektorowi do rejestracji, nie ma obowiązku rejestracji zbiorów danych osobowych (z wyjątkiem zbiorów zawierających dane wrażliwe).


Działania administratora bezpieczeństwa informacji mają charakter ciągły i powtarzalny i nie są ograniczone do jednorazowej weryfikacji sposobu przetwarzania danych osobowych u administratora danych. W sytuacji, w której podmiot w swojej działalności przetwarza dane osobowe, warto zastanowić się nad powierzeniem obowiązków związanych z ochroną danych osobowych konkretnej, wykwalifikowanej osobie. Pozwala to skupić się na prowadzonej działalności, bez konieczności stałego monitorowania sposobu wywiązywania się z tych obowiązków.


Zbieranie danych osobowych w procesie rekrutacji

Jakie są konsekwencje nieprzestrzegania przepisów o ochronie danych osobowych