Wprowadzeniem do tej części obrad będzie wystąpienie ministra Andrzeja Lewińskiego, zastępcy Generalnego Inspektora Ochrony Danych Osobowych (GIODO), poświęcone roli administratora bezpieczeństwa informacji (ABI) od strony prawnej i dobrych praktyk.
Jak informuje Biuro GIODO, wśród poruszanych zagadnień nie zabraknie m.in. wyjaśnień związanych z możliwością wykonywania przez ABI także innych czynności powierzonych przez administratora danych, która rodzi wiele praktycznych problemów.
Przepisy ustawy o ochronie danych osobowych (art. 36a ust. 4) dopuszczają wprawdzie taką możliwość, jednak podkreślić należy, że nie może to prowadzić do naruszenia prawidłowego wykonywania zadań ABI określonych w art. 36a ust. 2 ustawy o ochronie danych osobowych. W opinii organu ds. ochrony danych osobowych, administrator danych nie powinien więc obarczać osoby pełniącej funkcję ABI obowiązkami, które utrudniałyby właściwe wykonywanie zapewniania przestrzegania przepisów o ochronie danych osobowych. Oznacza to konieczność dostosowania zakresu obowiązków do skutecznego wykonywania funkcji ABI. Uwzględniać przy tym trzeba co najmniej trzy kryteria: organizacyjne, merytoryczne i czasowe.
Według pierwszego z nich usytuowanie organizacyjne w zakresie innych obowiązków nie może negatywnie wpływać na niezależne wykonywanie zadań ABI. Jeżeli w zakresie innych obowiązków ABI podlega osobie, którą będzie sprawdzał lub nadzorował, realizując swoje obowiązki wyznaczone przepisami o ochronie danych osobowych, może to mieć ujemne konsekwencje dla niezależnego wykonywania funkcji ABI. W kryterium merytorycznym ważne jest ustalenie, czy inne obowiązki nie będą skutkowały konfliktem interesów.
W tym kontekście warto wspomnieć o kolejnym, obserwowanym przez organ ds. ochrony danych osobowych, problemie, jakim jest jednoczesne powoływanie na ABI tej samej osoby przez kilkanaście, a niekiedy nawet kilkadziesiąt podmiotów.
Jak wskazuje minister Andrzej Lewiński, „choć formalnie jest to możliwe, to trudno mi wyobrazić sobie, by jedna osoba mogła należycie wykonywać obowiązki ABI w kilkudziesięciu różnych instytucjach czy firmach”. Dodaje przy tym, że spotyka się także ze skargami osób, którym przydzielono zadania ABI, ale mają je wykonywać dodatkowo i przez np. jedną piątą czasu pracy. - Uważam, że przy codziennym przetwarzaniu danych w zasadzie powinno to być oddzielne stanowisko, dedykowane tylko zadaniom ABI – mówi zastępca GIODO.
Przy okazji Biuro Generalnego Inspektora Ochrony Danych Osobowych przypomina, że na jego stronie internetowej dostępny jest specjalny serwis dotyczący administratorów bezpieczeństwa informacji — „ABI-informator”. Zawiera on informacje m.in. o statusie ABI i jego zadaniach, ale także szczegółowe wskazówki co do zasad powoływania takich osób w firmach oraz ich rejestrowania. W osobnych częściach zawarte są wyjaśnienia dotyczące wykonywania przez ABI sprawdzeń na zlecenie GIODO oraz odpowiedzi na najczęściej zadawane pytania. „ABI-informator” jest dostępny pod adresem: https://abi.giodo.gov.pl>>>
Obowiązki pracodawcy związane z ochroną danych osobowych pracownik>>