Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Zostałem ABI – dostałem awans?

Pozostajemy w tematyce Administratora Bezpieczeństwa Informacji (ABI). Poprzednio pisaliśmy o wymaganiach, jakie musi spełniać osoba fizyczna aplikująca na to stanowisko (https://blog-daneosobowe.pl/abi-po-nowelizacji-ustawy-o-ochronie-danych-osobowych-cz-ii-abi-agentem-giodo/). Z praktycznego punktu widzenia istotny jest również ustawowy wymóg dotyczący usytuowania ABI w strukturze organizacyjnej Administratora Danych (ADO). Mowa o bezpośredniej podległości ABI-ego kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej Administratorem Danych (art. 36a ust. 7 u.o.d.o.).

Czy powołanie ABI jest obligatoryjne?                                                                      

Przypomnijmy, Administrator Danych powołuje ABIego i dokonuje jego zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) w terminie 30 dni od dnia jego powołania. Jedyną formą, w jakiej ADO może zgłosić powołanie ABIego, jest formularz, który zawiera oświadczenie o spełnieniu przez Administratora Bezpieczeństwa Informacji warunków określonych w u.o.d.o., m.in. również tego, że podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej Administratorem Danych. Niespełnienie któregokolwiek z wymogów ustawowych powoduje, że ABI nie może zostać wpisany do rejestru GIODO. Warunek bezpośredniej podległości jest zatem obligatoryjny.

Co zatem z niezależnością ABI?

Jak podkreślaliśmy wielokrotnie, instytucja ABI ma kluczowe znaczenie dla zapewniania przestrzegania w jednostce organizacyjnej przepisów o ochronie danych osobowych. Trudno, zatem wyobrazić sobie prawidłowe wypełnianie przez ABI obowiązków w sytuacji, gdyby był on związany w zakresie wykonywanych zadań np. poleceniami przełożonego. Nie zapominajmy, że ABI kontroluje w zakresie przestrzegania przepisów również działania swojego przełożonego i jednocześnie raportuje o tym do kierownika danej jednostki. Uregulowania ustawowe wykluczają, zatem możliwość wpływania przez takiego przełożonego, gdy konieczne jest powzięcie przez ABI-ego odpowiednich kroków celem usunięcia stanu naruszeń przepisów o ochronie danych osobowych.

Co więcej, ustawodawca nałożył na ADO obowiązek zapewnienia środków i organizacyjnej odrębności ABI-ego niezbędnej do niezależnego wykonywania przez niego zadań. Ustawodawca nie sprecyzował, jakie środki i jaki stopień organizacyjnej odrębności powinien zostać zapewniony. Przyjmuje się jednak, że realizacja tego wymogu następuje w szczególności przez dostarczenie odpowiednich środków technicznych oraz nadanie ABI-emu odpowiednich kompetencji. Towarzyszy temu umieszczenie ABI-ego w odpowiedniej pozycji w strukturze organizacyjnej, co umożliwi mu m. in. wydawanie poleceń dotyczących przestrzegania zasad określonych w dokumentacji innym pracownikom oraz faktyczne kontrolowanie działalności ADO pod kątem zgodności przetwarzania danych osobowych.

Większe kompetencje – większa odpowiedzialność?

Obecne regulacje nie tylko wzmacniają pozycję ABI-ego względem wszystkich osób biorących udział w przetwarzaniu danych osobowych, ale przede wszystkim zabezpieczają ADO przed konsekwencjami związanymi z nieprzestrzeganiem w danej jednostce przepisów z zakresu ochrony danych osobowych. ABI może być pociągnięty nie tylko do odpowiedzialności pracowniczej wobec ADO, ale także odpowiedzialności administracyjnej i karnej. W zakresie odpowiedzialności administracyjnej ABI może być adresatem decyzji wydawanych przez GIODO w związku z naruszeniem przepisów o ochronie danych osobowych, np. z tytułu niewykonywania swoich obowiązków. W zakresie odpowiedzialności karnej ABI może odpowiadać z tytułu nieumyślnego naruszenia zasad ochrony danych osobowych poprzez udostępnienie danych osobowych osobom nieupoważnionym. Tego rodzaju przestępstwo może popełnić, bowiem „osoba obowiązana do ochrony danych osobowych”, a niewątpliwie na ABI-m ciąży prawny obowiązek zapewnienia przestrzegania przepisów o ochronie danych osobowych. Niezależnie od powyższego, ABI może zostać pociągnięty do odpowiedzialności pracowniczej z tytułu naruszenia obowiązków pracowniczych w zakresie związanym z ochroną danych osobowych, przy czym obowiązki te powinny wynikać z umowy o pracę.

Podsumowanie

Realizacja ustawowego wymogu zapewnienia ABI-emu niezależności poprzez umieszczenie go w odpowiednim miejscu w strukturze organizacyjnej, nie tylko zwiększa prawdopodobieństwo przestrzegania w danej jednostce przepisów o ochronie danych osobowych, ale również może powodować scedowanie na ABI-ego odpowiedzialności za nieprzestrzeganie przepisów w tym zakresie. Niezależność stanowiska ABI może polegać, zatem na faktycznym wydzieleniu rzeczonego stanowiska wewnątrz organizacji i poddaniu nadzoru nad osobą zatrudnioną na tym stanowisku kierownikowi danej jednostki, co może być postrzegane, jako awans. Czy jest jakieś inne rozwiązanie? Oczywiście, outsourcing tej funkcji na zewnątrz organizacji.

 

Autor: Ewelina Zdzienicka

Powiązane artykuły

Jak skutecznie szkolić z ochrony danych osobowych?
Jak nadawać upoważnienia do przetwarzania danych osobowych. Wzory dokumentów i dobre praktyki
Odpowiedzialność za bezprawne wysyłanie informacji handlowych

4 Odpowiedzi

    1. Łukasz Zegarek

      Odpowiem po prawniczemu – to zależy;) Ustawa o ochronie danych od 2015 r. wymusza, żeby ABI podlegał pod Kierownika Jednostki Organizacyjnej bezpośrednio. Także jeśli wcześniej nie podlegał Pan bezpośrednio pod Kierownika (Dyrektora/Prezesa, itd.), to na 100% musi Pan dostać awans. Jeśli podlegał Pan bezpośrednio pod ADO, to w świetle struktury organizacyjnej, zmieni się nazwa Pańskiego stanowiska, natomiast ciężko będzie to nazwać awansem.

    1. Łukasz Zegarek

      Rozporządzenie weszło w życie w maju 2016, ale UWAGA – zacznie obowiązywać dopiero od maja 2018 roku! Także mamy jeszcze półtora roku na przygotowanie się do wprowadzanych zmian. Dopiero w maju 2018 r. stanowisko ABI powinno się zmienić na stanowisko IOD. Chyba, że wcześniej wejdą w życie krajowe przepisy przejściowe nakazujące przemianowanie ABI na IOD już wcześniej. Na chwilę obecną na to się nie zanosi.

Zostaw odpowiedź