Czy w związku z nowelizacją ustawy o ochronie danych osobowych dyrektor publicznej szkoły ponadgimnazjalnej powinien powołać Administratora Bezpieczeństwa Informacji?
Jeżeli tak, to jaki jest termin na powołanie Administratora, kto może być powołany na to stanowisko i gdzie należy zgłosić powołanie ABI?

Administrator danych osobowych nie jest obowiązany powoływać administratora bezpieczeństwa informacji (ABI). Przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - dalej u.o.d.o. – tak jak dotychczas – rozstrzygnięcie dotyczące powołania ABI pozostawiają w gestii administratora danych osobowych.
Warto jednak zwrócić uwagę, iż w przypadku niepowołania ABI, jego zadania obowiązany jest wykonywać administrator danych osobowych. Chodzi tu o zadania wyszczególnione w art. 36a ust. 2 pkt 1 lit. b i c u.o.d.o. Ponadto, powołanie ABI i zgłoszenie go Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) do rejestracji, ma wpływ na zakres obowiązków dotyczących rejestracji zbiorów danych osobowych.
Uwzględniając obowiązujące od 1 stycznia 2015 r. przepisy u.o.d.o., z obowiązku zgłoszenia zbioru danych do rejestracji GIODO zwolnieni są bowiem nie tylko – jak dotychczas – administratorzy danych osobowych wymienionych w art. 43 ust. 1 u.o.d.o., ale także ci administratorzy danych, u których został powołany i zgłoszony do GIODO administrator bezpieczeństwa informacji.

GIODO wyda zaświadczenie o rejestracji administratora bezpieczeństwa informacji>>

W przypadku powołania ABI, to on prowadził będzie rejestr zbiorów danych osobowych (z wyjątkiem zbiorów danych wyłączonych z obowiązku zgłoszenia do rejestracji GIODO na podstawie art. 43 ust. 1 u.o.d.o.). Podkreślić jednak należy, iż nawet w przypadku powołania administratora bezpieczeństwa informacji obowiązkowi rejestracji będą podlegały zbiory, jeżeli będą w nich przetwarzane dane szczególnie chronione, określone w art. 27 ust. 1 u.o.d.o.
Dodać jeszcze warto, iż w katalog zwolnień zawarty w art. 43 ust. 1 u.o.d.o. został rozszerzony – dodany został do tego przepisu pkt 12, na podstawie którego z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych (przy czym zwolnienie to nie odnosi się do zbiorów zawierających dane szczególnie chronione, o których mowa w art. 27 ust. 1 u.o.d.o.).
W przypadku powołania ABI – administrator danych jest obowiązany zgłosić do rejestracji GIODO powołanie ABI w terminie 30 dni od dnia jego powołania, zgodnie z art. 46b u.o.d.o. Wzór zgłoszenia określony został w rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji. Administratorzy bezpieczeństwa informacji wpisywani będą do ogólnokrajowego, jawnego rejestru prowadzonego przez GIODO.

Kwalifikacje ABI: wykształcenie nie ma znaczenia>>

Osoba powołana na stanowisko ABI powinna spełniać wymagania określone w art. 36a ust. 5 u.o.d.o., tj. mieć pełną zdolność do czynności prawnych, korzystać z pełni praw publicznych, posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych, a także być niekarana za umyślne przestępstwo. W strukturze organizacyjnej ABI podlegać powinien bezpośrednio kierownikowi jednostki organizacyjnej.
 

Ochrona danych osobowych w szkole i przedszkolu. Prawo oświatowe w pytaniach i odpowiedziach>>