ABI, czyli administrator bezpieczeństwa informacji
Administrator danych osobowych (w skrócie ADO) i administrator bezpieczeństwa informacji (w skrócie ABI) to dwie najważniejsze funkcje, jeżeli chodzi o ochronę danych osobowych w każdej firmie. Rolę ADO przedstawiłem w artykule pt. „ADO, czyli Administrator Ochrony Danych Osobowych”. Dzisiaj natomiast koncentruję się na podstawowych zadaniach i obowiązkach ABI.
Powołanie ABI – uprawnienie, a nie obowiązek
Zanim przejdę do głównego tematu tego artykułu, chciałbym podkreślić, że powołanie ABI nie jest obowiązkowe. Zgodnie z art. 36a ustawy o ochronie danych osobowych, „administrator danych może powołać administratora bezpieczeństwa informacji”. Może, ale nie musi. Nic w tym zakresie nie zmieniła zmiana ustawy, zwiększająca znaczenie ABI, która weszła w życie 1 stycznia 2015 r. Powołanie ABI nadal jest uprawnieniem administratora danych osobowych, a nie obowiązkiem. Wszelkie komunikaty różnych firm świadczących usługi ABI, sugerujące, że administrator bezpieczeństwa informacji powinien zostać powołany, są próbą wyłudzenia pieniędzy.
W jaki sposób powołać ABI?
Przepisy milczą na temat sposobu, w jaki ADO powinien powołać administratora bezpieczeństwa informacji. W takiej sytuacji należy uznać, że każda forma będzie odpowiednia. Istotne jest jednak to, żeby z czynności powołania wynikało, która konkretnie osoba będzie pełnić funkcję ABI.
Zadania administratora bezpieczeństwa informacji
Ustawa o ochronie danych osobowych, w art. 36a ust. 2, określa konkretne zadania ABI. Są to:
- zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
- sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
- nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne określone w ustawie, które należy zastosować przy przetwarzaniu danych osobowych;
- nadzorowanie przestrzegania zasad określonych w dokumentacji, o której mowa powyżej,
- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
- prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych (z wyjątkiem zbiorów wyłączonych spod rejestracji na podstawie art. 43 ust. 1 ustawy o ochronie danych osobowych oraz zbiorów zawierających tzw. dane wrażliwe, które muszą być w dalszym ciągu zgłaszane do Generalnego Inspektora Ochrony Danych Osobowych).
Podstawowymi obowiązkami ABI są zapewnienie przestrzegania przepisów ustawy o ochronie danych osobowych i prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych. Jest to katalog zamknięty i jeżeli administrator danych osobowych nie powierzy administratorowi bezpieczeństwa informacji innych obowiązków (na podstawie art. 36a ust. 4 ustawy ma taką możliwość, o ile większy zakres obowiązków ABI nie zakłóci prawidłowego wykonywania zadań wskazanych powyżej), na administratorze bezpieczeństwa informacji ciążyć będą jedynie te dwa zadania (z zastrzeżeniem uwagi zawartej w poniższym akapicie).
Zadania określone powyżej w pkt 1 lit. a – d stanowią jedynie konkretyzację podstawowego obowiązku zapewnienia przestrzegania przepisów ustawy. Wskazuje na to wykorzystany w ustawie zwrot „w szczególności przez”. Oznacza to, że zadania te muszą być wykonywane przez ABI, ale nie jest to katalog zamknięty i ABI powinien podjąć wszystkie inne czynności, które będą niezbędne w celu zapewnienia przestrzegania przepisów ustawy o ochronie danych osobowych.
Jeżeli chodzi o obowiązki ABI, możliwe są zatem dwie konfiguracje:
- administrator bezpieczeństwa informacji wykonuje jedynie zadania określone w ustawie (w art. 36a ust. 2);
- administrator bezpieczeństwa informacji wykonuje zadania określone w ustawie (w art. 36a ust. 2) oraz inne obowiązki powierzone mu przez administratora danych (na podstawie art. 36 ust. 4).
Szczegółowe omówienie poszczególnych obowiązków administratora bezpieczeństwa informacji wymaga poświęcenia znacznie więcej miejsca, tym bardziej, że minister właściwy do spraw administracji publicznej określił, w drodze rozporządzenia, tryb i sposób realizacji tych zadań, a także sposób prowadzenia przez ABI rejestru zbiorów danych osobowych. W kolejnych artykułach omówię szczegółowo zadania administratora bezpieczeństwa informacji i wskażę praktyczne rozwiązania, ułatwiające ich realizację.
Kto może zostać ABI?
Pod względem formalnym, wymagania dla administratora bezpieczeństwa informacji nie są zbyt wygórowane. Zgodnie z art. 36a ust. 5 ustawy o ochronie danych osobowych, administratorem bezpieczeństwa informacji może być osoba, która:
- ma pełną zdolność do czynności prawnych;
- posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
- nie była karana za umyślne przestępstwo.
Wymogi określone w pkt 1 i 3 spełnia prawie każda pełnoletnia osoba. Natomiast pkt 2 jest tak ogólny, że również bardzo łatwo go spełnić. Nie ma obowiązku ukończenia żadnego kursu, czy uzyskania certyfikatu. Wystarczy „odpowiednia wiedza w zakresie ochrony danych osobowych”. Wybierając kandydata na ABI warto jednak nad tym punktem pochylić się nieco dłużej. Aby uniknąć ryzyka związanego z nieprawidłowym realizowaniem zasad określonych w ustawie o ochronie danych osobowych, dobrze wybrać osobę odpowiednio przygotowaną do pełnienia funkcji administratora bezpieczeństwa informacji. Nie zawsze osoba obeznana z systemami informatycznymi zapewni poprawne wykonywanie zadań. Ustawa o ochronie danych osobowych jest bowiem w wielu miejscach napisana w sposób niejasny i niejednoznaczny. Często konieczna jest interpretacja jej przepisów przez prawnika zajmującego się ochroną danych osobowych.
Administratorem bezpieczeństwa informacji nie może być osoba prawna lub inna jednostka organizacyjna. Może nim zostać wyłącznie osoba fizyczna. Wskazują na to przede wszystkim wymienione powyżej wymagania. Pełną zdolność do czynności prawnych oraz odpowiednią wiedzę w zakresie ochrony danych osobowych może posiadać tylko osoba fizyczna. Podobnie jest z trzecim kryterium – odpowiedzialność karną za przestępstwa ponoszą osoby fizyczne.
Czy można powołać więcej niż jednego ABI?
W ustawie nie ma przepisu, który by wprost tego zakazywał. Treść art. 36a ust. 1 wskazuje jednak, że każdy administrator danych osobowych może powołać tylko jednego ABI (użycie liczby pojedynczej – („[…] administrator danych może powołać administratora bezpieczeństwa informacji.”). Co więcej, możliwość istnienia wyłącznie jednego ABI w firmie potwierdza art. 36a ust. 6 ustawy, który stanowi, że administrator danych osobowych może powołać zastępców administratora bezpieczeństwa informacji. Jeżeli w twojej firmie jest przetwarzanych tyle danych osobowych, że jeden ABI nie da rady, możesz powołać jego zastępców. Ale nigdy dwóch ABI.
Zastępca administratora bezpieczeństwa informacji
Art. 36a ust. 6 ustawy o ochronie danych osobowych przyznaje administratorowi danych prawo powołania zastępców administratora bezpieczeństwa informacji. Co taki zastępca ABI miałby robić? Przede wszystkim wspomagać ABI w realizacji zadań, które wymieniłem powyżej. Rozwiązanie to należy ocenić bardzo pozytywnie – w przypadku dużych firm, z uwagi na ilość zbiorów danych osobowych, powołanie zastępcy ABI może być wręcz konieczne.
Zastępca administratora bezpieczeństwa informacji powinien spełniać takie same wymagania, jak administrator bezpieczeństwa informacji, czyli:
- mieć pełną zdolność do czynności prawnych;
- posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych;
- nie być karanym za umyślne przestępstwo.
W przeciwieństwie do administratora bezpieczeństwa informacji, nie ma ograniczeń ilościowych w odniesieniu do jego zastępcy. Można zatem powołać więcej niż jednego zastępcę ABI.
ABI w strukturze organizacyjnej firmy
W przepisach ustawy o ochronie danych osobowych określono także warunki pracy, jakie powinny być zapewnione administratorowi bezpieczeństwa informacji. Stanowią o tym art. 36a ust. 7 i 8, zgodnie z którymi:
- ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych;
- ADO zapewnia środki i organizacyjną odrębność ABI niezbędne do niezależnego wykonywania przez niego zadań.
Trochę inaczej wygląda sytuacja zastępcy ABI. Z racji tego, że jego pozycja jest niższa niż samego ABI, pomiędzy administratorem danych (osobą fizyczną lub kierownikiem jednostki organizacyjnej) może być jeszcze ABI. Zastępca ABI nie powinien jednak podlegać innym osobom niż administrator danych lub ABI.
Czy ta sama osoba może pełnić funkcję ABI u różnych administratorów danych osobowych jednocześnie?
Ustawa o ochronie danych osobowych nie wprowadza takiego zakazu. Oznacza to, że ta sama osoba fizyczna może być administratorem bezpieczeństwa informacji w więcej niż jednej firmie. Tak może się dziać w przypadku tzw. outsorcingu. Trzeba jednak pamiętać o tym, że takie łączenie funkcji ABI u różnych administratorów danych osobowych nie może zakłócić prawidłowego wykonywania obowiązków przez ABI u żadnego z tych administratorów danych.
Rejestr administratorów bezpieczeństwa informacji
Powołanie ABI, pomimo niewątpliwych ułatwień dla administratora danych, wiąże się z obowiązkami rejestracyjnymi. Każdy administrator danych osobowych, który zdecydował się powołać ABI, jest obowiązany zgłaszać do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania (art. 46b ustawy o ochronie danych osobowych).
Tematem rejestru ABI oraz obowiązku zgłaszania ABI do GIODO, zajmę się szczegółowo w jednym z kolejnych artykułów.
Co się zmieniło po 1 stycznia 2015 r.?
Zmiana ustawy o ochronie danych osobowych, która weszła w życie 1 stycznia 2015 r., w głównej mierze dotyczyła administratora bezpieczeństwa informacji. Dodano kilka artykułów w całości poświęconych obowiązkom administratora bezpieczeństwa informacji (art. 36a – 36c), które opisałem w niniejszym artykule, a także konieczności zgłoszenia powołania i odwołania ABI Generalnemu Administratorowi Ochrony Danych Osobowych, który prowadzi ogólnokrajowy, jawny rejestr ABI (art. 46b – 46c ustawy o ochronie danych osobowych). Ponadto, na mocy art. 19b ustawy, GIODO uzyskał nową kompetencję – może zwrócić się do ABI z poleceniem wykonania sprawdzenia zgodności przetwarzania danych osobowych z ustawą, u administratora danych osobowych, który powołał ABI. Wcześniej, administratorowi bezpieczeństwa informacji poświęcony był tylko jeden ogólny przepis (art. 36 ust. 3, mówiący że administrator danych wyznacza ABI, który nadzoruje przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności). W obecnym stanie prawnym, przepis ten już nie obowiązuje.
Nie zmieniło się natomiast to, że powołanie ABI jest w dalszym ciągu nieobowiązkowe1. Administrator danych osobowych może w dalszym ciągu w swojej firmie zrezygnować z funkcji ABI i samodzielnie wykonywać wszystkie czynności określone w ustawie o ochronie danych osobowych.
Korzyści z powołania ABI
Powołanie administratora bezpieczeństwa informacji niesie dla administratora danych osobowych dużo konkretnych korzyści. Polegają one przede wszystkim na przeniesieniu obowiązku wykonywania niektórych czynności związanych z przetwarzaniem danych osobowych z administratora danych osobowych na ABI. Podsumujmy zatem czego nie musi robić administrator danych, który powołał ABI:
- zapewniać przestrzegania przepisów o ochronie danych osobowych (bo to należy do zadań ABI);
- wykonywać innych obowiązków, które powierzy ABI (oprócz zadania wskazanego w pkt 1 powyżej);
- zgłaszać większości zbiorów danych osobowych GIODO do rejestracji (ponieważ ABI sam prowadzi rejestr zbiorów danych osobowych przetwarzanych przez administratora danych osobowych).
Kolejną korzyścią związaną z powołaniem ABI jest możliwość zwrócenia się przez GIODO do ABI z poleceniem wykonania sprawdzenia zgodności przetwarzania danych z przepisami ustawy o ochronie danych osobowych u administratora danych, który tego ABI powołał. Wydaje się, że GIODO może często korzystać z takiej możliwości, zamiast samodzielnie przeprowadzać kontrolę (wykonanie sprawdzenia przez administratora bezpieczeństwa inforamcji nie pozbawia GIODO prawa do przeprowadzenia kontroli na zasadach ogólnych). A sprawdzenie wykonane przez ABI na pewno będzie mniej kłopotliwe dla administratora danych osobowych niż kontrola GIODO.
Nie można jednak zapominać, że tylko część obowiązków można przenieść na administratora bezpieczeństwa informacji. W ustawie jest cały szereg zadań ciążących w dalszym ciągu na administratorze danych, które powinny być przez niego wykonywane i za których prawidłowe wykonywanie ponosi odpowiedzialność. Należy także pamiętać o dodatkowych obowiązkach rejestracyjnych związanych z powołaniem ABI.
W poprzednim stanie prawnym przedstawiciele nauki prawa, a także sądy, stali na stanowisku, że zwolnionym z obowiązku powołania ABI byli jedynie administratorzy danych będący osobami fizycznymi (por. wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie, sygn. II SA/Wa 630/12). Po nowelizacji ustawy o ochronie danych osobowych na szczęście nie ma już takich trudności interpretacyjnych.↩