Pozostajemy w tematyce Administratora Bezpieczeństwa Informacji (ABI). Poprzednio pisaliśmy o wymaganiach, jakie musi spełniać osoba fizyczna aplikująca na to stanowisko (https://blog-daneosobowe.pl/abi-po-nowelizacji-ustawy-o-ochronie-danych-osobowych-cz-ii-abi-agentem-giodo/). Z praktycznego punktu widzenia istotny jest również ustawowy wymóg dotyczący usytuowania ABI w strukturze organizacyjnej Administratora Danych (ADO). Mowa o bezpośredniej podległości ABI-ego kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej Administratorem Danych (art. 36a ust. 7 u.o.d.o.).
Czy powołanie ABI jest obligatoryjne?
Przypomnijmy, Administrator Danych powołuje ABIego i dokonuje jego zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) w terminie 30 dni od dnia jego powołania. Jedyną formą, w jakiej ADO może zgłosić powołanie ABIego, jest formularz, który zawiera oświadczenie o spełnieniu przez Administratora Bezpieczeństwa Informacji warunków określonych w u.o.d.o., m.in. również tego, że podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej Administratorem Danych. Niespełnienie któregokolwiek z wymogów ustawowych powoduje, że ABI nie może zostać wpisany do rejestru GIODO. Warunek bezpośredniej podległości jest zatem obligatoryjny.
Co zatem z niezależnością ABI?
Jak podkreślaliśmy wielokrotnie, instytucja ABI ma kluczowe znaczenie dla zapewniania przestrzegania w jednostce organizacyjnej przepisów o ochronie danych osobowych. Trudno, zatem wyobrazić sobie prawidłowe wypełnianie przez ABI obowiązków w sytuacji, gdyby był on związany w zakresie wykonywanych zadań np. poleceniami przełożonego. Nie zapominajmy, że ABI kontroluje w zakresie przestrzegania przepisów również działania swojego przełożonego i jednocześnie raportuje o tym do kierownika danej jednostki. Uregulowania ustawowe wykluczają, zatem możliwość wpływania przez takiego przełożonego, gdy konieczne jest powzięcie przez ABI-ego odpowiednich kroków celem usunięcia stanu naruszeń przepisów o ochronie danych osobowych.
Co więcej, ustawodawca nałożył na ADO obowiązek zapewnienia środków i organizacyjnej odrębności ABI-ego niezbędnej do niezależnego wykonywania przez niego zadań. Ustawodawca nie sprecyzował, jakie środki i jaki stopień organizacyjnej odrębności powinien zostać zapewniony. Przyjmuje się jednak, że realizacja tego wymogu następuje w szczególności przez dostarczenie odpowiednich środków technicznych oraz nadanie ABI-emu odpowiednich kompetencji. Towarzyszy temu umieszczenie ABI-ego w odpowiedniej pozycji w strukturze organizacyjnej, co umożliwi mu m. in. wydawanie poleceń dotyczących przestrzegania zasad określonych w dokumentacji innym pracownikom oraz faktyczne kontrolowanie działalności ADO pod kątem zgodności przetwarzania danych osobowych.
Większe kompetencje – większa odpowiedzialność?
Obecne regulacje nie tylko wzmacniają pozycję ABI-ego względem wszystkich osób biorących udział w przetwarzaniu danych osobowych, ale przede wszystkim zabezpieczają ADO przed konsekwencjami związanymi z nieprzestrzeganiem w danej jednostce przepisów z zakresu ochrony danych osobowych. ABI może być pociągnięty nie tylko do odpowiedzialności pracowniczej wobec ADO, ale także odpowiedzialności administracyjnej i karnej. W zakresie odpowiedzialności administracyjnej ABI może być adresatem decyzji wydawanych przez GIODO w związku z naruszeniem przepisów o ochronie danych osobowych, np. z tytułu niewykonywania swoich obowiązków. W zakresie odpowiedzialności karnej ABI może odpowiadać z tytułu nieumyślnego naruszenia zasad ochrony danych osobowych poprzez udostępnienie danych osobowych osobom nieupoważnionym. Tego rodzaju przestępstwo może popełnić, bowiem „osoba obowiązana do ochrony danych osobowych”, a niewątpliwie na ABI-m ciąży prawny obowiązek zapewnienia przestrzegania przepisów o ochronie danych osobowych. Niezależnie od powyższego, ABI może zostać pociągnięty do odpowiedzialności pracowniczej z tytułu naruszenia obowiązków pracowniczych w zakresie związanym z ochroną danych osobowych, przy czym obowiązki te powinny wynikać z umowy o pracę.
Podsumowanie
Realizacja ustawowego wymogu zapewnienia ABI-emu niezależności poprzez umieszczenie go w odpowiednim miejscu w strukturze organizacyjnej, nie tylko zwiększa prawdopodobieństwo przestrzegania w danej jednostce przepisów o ochronie danych osobowych, ale również może powodować scedowanie na ABI-ego odpowiedzialności za nieprzestrzeganie przepisów w tym zakresie. Niezależność stanowiska ABI może polegać, zatem na faktycznym wydzieleniu rzeczonego stanowiska wewnątrz organizacji i poddaniu nadzoru nad osobą zatrudnioną na tym stanowisku kierownikowi danej jednostki, co może być postrzegane, jako awans. Czy jest jakieś inne rozwiązanie? Oczywiście, outsourcing tej funkcji na zewnątrz organizacji.
Autor: Ewelina Zdzienicka
4 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
To jest to awans czy nie?
Odpowiem po prawniczemu – to zależy;) Ustawa o ochronie danych od 2015 r. wymusza, żeby ABI podlegał pod Kierownika Jednostki Organizacyjnej bezpośrednio. Także jeśli wcześniej nie podlegał Pan bezpośrednio pod Kierownika (Dyrektora/Prezesa, itd.), to na 100% musi Pan dostać awans. Jeśli podlegał Pan bezpośrednio pod ADO, to w świetle struktury organizacyjnej, zmieni się nazwa Pańskiego stanowiska, natomiast ciężko będzie to nazwać awansem.
Czy nowe rozporządzenie weszło już w zycie? Czy jeśli jestem ABI to teraz powinnam zostac Inspektorem Danych osobowych??
Rozporządzenie weszło w życie w maju 2016, ale UWAGA – zacznie obowiązywać dopiero od maja 2018 roku! Także mamy jeszcze półtora roku na przygotowanie się do wprowadzanych zmian. Dopiero w maju 2018 r. stanowisko ABI powinno się zmienić na stanowisko IOD. Chyba, że wcześniej wejdą w życie krajowe przepisy przejściowe nakazujące przemianowanie ABI na IOD już wcześniej. Na chwilę obecną na to się nie zanosi.