Powołanie i status ABI

Czy niezależność ABI oznacza, iż jego praca nie może być poddawana kontroli audytorów (zarówno wewnętrznych, jak i zewnętrznych) działających u administratora danych?

Niezależność administratora bezpieczeństwa informacji jest jedną z najważniejszych gwarancji skutecznego i prawidłowego wykonywania jego zadań, a tym samym realnego zapewnienia zgodności przetwarzania danych osobowych z przepisami prawa. Na niezależność administratora bezpieczeństwa informacji wskazuje obowiązująca Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady WE w motywie 49 oraz art. 18, podkreślając, że „urzędnik do spraw ochrony danych osobowych” musi mieć możliwość wykonywania swojej funkcji w sposób całkowicie niezależny.

W przypadku powołania ABI wdrożone w danej organizacji systemy wewnętrznej kontroli (systemy oceny zgodności) muszą uwzględniać niezależne funkcjonowanie ABI. Systemy te nie mogą w jakikolwiek sposób ograniczać możliwości wykonywania przez ABI jego ustawowych zadań, w tym dokonywania kompleksowej, bieżącej oceny zgodności przetwarzania danych osobowych z przepisami prawa.

Niemniej niezależnie od powołania w danej organizacji ABI, to administrator danych osobowych ponosi pełną odpowiedzialność za zgodne ustawą przetwarzanie danych osobowych. ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych i w związku z tym sposób wykonywania funkcji przez ABI może podlegać kontroli tych osób, w tym kontroli zleconej przez te osoby podmiotom wewnętrznym lub zewnętrznym.

W każdym przypadku ABI musi zostać poinformowany o rozpoczęciu kontroli, jej zakresie oraz celach. Gdy kontrola dotyczy pracy ABI, respektowanie niezależnego wykonywania jego zadań (o czym stanowi art. 36a ust. 8 u.o.d.o.) oznacza zakaz wydawania ABI przez osoby kontrolujące jakichkolwiek bezpośrednich poleceń/zaleceń odnośnie tych zadań. Wnioski z przeprowadzonej kontroli powinny zostać przekazane administratorowi danych, który po ich analizie może skierować pod adresem ABI uwagi dotyczące prawidłowości wykonywania ciążących na nim obowiązków.

Jeżeli ABI nie zgadza się z  oceną lub zaleceniami administratora danych, musi mieć możliwość przedstawienia swojego stanowiska. Racje obu stron powinny zostać uzasadnione i udokumentowane. Materiał ten może być przydatny w celach dowodowych w przypadkach oceny prawidłowości wykonywania funkcji ABI w kontekście jego odpowiedzialności na gruncie przepisów prawa pracy lub Kodeksu cywilnego (odpowiedzialności kontraktowej) albo odpowiedzialności karnoprawnej. Będzie to miało również znaczenie w przypadku kontroli GIODO dotyczącej wykonywania funkcji ABI m.in. w postępowaniach o wykreślenie ABI z ogólnopolskiego rejestru administratorów bezpieczeństwa informacji (co może mieć miejsce gdy – jak wskazuje art. 46d ust. 2 pkt 2 u.o.d.o. – ABI nie wykonuje swoich zadań).

Czy administrator bezpieczeństwa informacji może jednocześnie pełnić funkcję pełnomocnika do spraw ochrony informacji niejawnych?

Ustawa o ochronie danych osobowych nie zakazuje wprost łączenia obu tych funkcji. W każdym konkretnym przypadku konieczne jest jednak dokonanie rzetelnej oceny pod kątem spełnienia wszystkich ustawowych warunków gwarantujących ABI niezależne i prawidłowe wykonywanie swojej funkcji.

Po pierwsze, powyższe rozwiązanie nie może wpływać na prawidłowe umiejscowienie ABI w strukturze administratora danych i wykonywanie jego zadań w sposób niezależny. W zakresie zapewniania przestrzegania przepisów o ochronie danych osobowych, ABI nie może podlegać ani otrzymywać poleceń od jakichkolwiek innych osób niż kierownik jednostki organizacyjnej lub osoba fizyczna będąca administratorem danych. Analogiczny wymóg dotyczy pełnomocnika ds. ochrony informacji niejawnych, który zgodnie z art. 14 ust. 2 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, powinien podlegać bezpośrednio kierownikowi jednostki organizacyjnej, w której wykonuje swoje obowiązki.

Po drugie, łączenie tych funkcji nie może prowadzić do naruszenia prawidłowego wykonywania zadań ABI określonych w art. 36a ust. 2 ustawy o ochronie danych osobowych. Administrator danych nie może bowiem obarczać ABI obowiązkami, które utrudniałyby właściwe wykonywanie jego ustawowych obowiązków. W każdej konkretnej sytuacji należy starannie przeanalizować (podobnie zresztą jak w przypadku łączenia funkcji ABI z jakimikolwiek innymi zadaniami), czy ABI jest w stanie wykonywać swoje zadania w sposób prawidłowy przy pełnieniu obu funkcji jednocześnie. Należy przy tym przemyśleć ilość czasu potrzebnego na wykonywanie poszczególnych obowiązków (w tym na współpracę z innymi służbami kontrolnymi), stopień skomplikowania i ważności zadań, rezerwę czasową na nieplanowane zadania, ilość i rodzaj danych osobowych oraz procesów i systemów informatycznych służących do ich przetwarzania, obszary ryzyka, związane z tymi procesami. Pod rozwagę należy brać również wiele innych czynników, takich jak np. struktura, wielkość i zasoby kadrowe danego podmiotu (w tym również pod kątem obowiązku prowadzenia szkoleń personelu). Takiego samego uwzględnienia i analizy wymagają obowiązki związane z pełnieniem funkcji pełnomocnika do spraw informacji niejawnych. Starannie należy rozważyć również ilość informacji niejawnych oraz ich rodzaj, a także czas i możliwości wykonywania wszystkich zadań określonych w art. 15 ustawy o ochronie informacji niejawnych, do których należy m.in. zapewnienie ochrony informacji niejawnych, w tym stosowanie środków bezpieczeństwa fizycznego, zapewnienie ochrony systemów teleinformatycznych, w których są przetwarzane informacje niejawne, zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowanie ryzyka, kontrola ochrony informacji niejawnych oraz przestrzegania przepisów o ochronie tych informacji.

Warto zaznaczyć, że zadania ABI dotyczą wszystkich danych osobowych przetwarzanych przez administratora danych, natomiast zadania pełnomocnika ds. informacji niejawnych koncentrują się na szczególnej kategorii informacji, jakimi są informacje niejawne. Niemniej zadania przypisywane obu funkcjom wykazują pewne podobieństwa, a wiedza i doświadczenie potrzebne do pełnienia jednej z tych funkcji mogą być pomocne w pełnieniu drugiej.

Dodać również należy, że administrator danych musi zapewnić administratorowi bezpieczeństwa informacji środki i organizacyjną odrębność niezbędne do niezależnego wykonywania zadań. Zbliżone rozwiązanie przewidziane jest w ustawie o ochronie informacji niejawnych dla pełnomocnika ds. informacji niejawnych, który zgodnie z art. 15 ust. 2 tej ustawy, realizuje swoje zadania przy pomocy wyodrębnionej i podległej mu komórki organizacyjnej do spraw ochrony informacji niejawnych, jeżeli jest ona utworzona w jednostce organizacyjnej. Komórką taką może być też kancelaria tajna zgodnie z art. 42 ust. 4 ustawy o ochronie informacji niejawnych. W przypadku utworzenia takiej komórki, pełnomocnik ds. informacji niejawnych może dysponować pomocą i wsparciem pracowników „pionu ochrony” przy realizacji swoich zadań w związku z pełnioną funkcją, co w konkretnych, uzasadnionych przypadkach może pozytywnie wpłynąć na ocenę możliwości łączenia obu omawianych funkcji.

Czy możliwe jest łączenie funkcji ABI z obowiązkami administratora systemu informatycznego (ASI)?

Ustawa o ochronie danych osobowych nie posługuje się pojęciem „administrator systemu informatycznego”, ani nie określa zakresu jego zadań. Zdarza się, że zadania ASI w odniesieniu do konkretnych systemów wskazane są w szczególnych przepisach prawa, np. art. 10 ust. 2 ustawy z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego; art. 2 pkt 2 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia. W większości przypadków zakres obowiązków związanych z pełnieniem funkcji ASI jest uregulowany jedynie w sferze wewnętrznej danego administratora danych, np. w polityce bezpieczeństwa, lub też wynika z zakresu obowiązków pracownika bądź z umowy o świadczenie usług zawartej z osobą spoza określonej organizacji. Pełnienie funkcji ASI jest najczęściej powierzane informatykowi lub kierownikowi działu IT, a do jego głównych zadań należy: administrowanie serwerami służącymi przetwarzaniu danych, wdrożenie zabezpieczeń systemów informatycznych, identyfikacja potencjalnych zagrożeń i podatności dla systemów informatycznych, wykrycia nieautoryzowanego dostępu do systemu, zachowanie ciągłości ich funkcjonowania, konfigurowanie kont użytkowników.

Z tego powodu, łączenie funkcji ABI i ASI w konkretnych przypadkach może być uznane za niezgodne z ustawą o ochronie danych osobowych. Oceny w tym zakresie należy dokonywać z punktu widzenia spełnienia wymogów, jakie w ustawie o ochronie danych osobowych wskazano w odniesieniu do ABI, w tym w szczególności jego niezależności, właściwego umiejscowienia w strukturze organizacyjnej administratora danych oraz realnej możliwości prawidłowego wykonywania wyznaczonych mu zadań.

Z tej perspektywy konsolidacja funkcji ABI z funkcją ASI może powodować zagrożenia dla bezpieczeństwa przetwarzania danych osobowych. Osoba odpowiadająca za bieżące prowadzenie przetwarzania danych osobowych i bezpieczeństwo danych w systemach informatycznych będzie bowiem sprawować jednocześnie nadzór nad zgodnością z prawem wykonywanych przez siebie działań. Sytuacja taka powoduje zatem faktyczny brak nadzoru nad zgodnością przetwarzania danych z przepisami prawa, w tym przepisami określającymi wymogi co do bezpieczeństwa danych osobowych.

Ponadto ABI musi bezpośrednio podlegać kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych (art. 36a ust. 7 u.o.d.o.) oraz musi mieć zapewnioną możliwość niezależnego pełnienia funkcji ABI (art. 36a ust. 8 u.o.d.o.). Niezależność i bezpośrednia podległość ma gwarantować prawidłowe i skuteczne wykonywanie funkcji ABI. ABI nie może podlegać jakimkolwiek innym osobom niż kierownik jednostki organizacyjnej lub osoba fizyczna będącej administratorem danych. Kierownikiem jednostki organizacyjnej jest osoba lub osoby (np. wchodzące w skład organu), które kierują jej pracami (np. ministrowie kierujący działami administracji rządowej, dyrektorzy szkół), prowadzą jej sprawy (np. zarząd spółki) albo podejmują zarobkową działalność (np. przedsiębiorcy jednoosobowi), działając jako administrator danych. W przypadku jednoczesnego pełnienia funkcji ABI i ASI wykluczone jest rozwiązanie, w którym osoba taka podlegałaby np. dyrektorowi ds. informatycznych, kierownikowi działu IT lub jakiejkolwiek innej osobie (np. dyrektorowi generalnemu urzędu publicznego), która nie jest kierownikiem jednostki organizacyjnej w rozumieniu wskazanego przepisu.

Warto również nadmienić, że rozporządzenie ogólne o ochronie danych osobowych w art. 38 ust. 6 dopuszcza możliwość nakładania na inspektora ochrony danych innych zadań i obowiązków, ale jedynie w sytuacji, gdy administrator i podmiot przetwarzający zapewnią, by nie powodowało to konfliktu interesów. Grupa Robocza Art. 29 w Wytycznych dotyczących inspektorów ochrony danych (DPO) wskazuje, że wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny.Co do zasady, za powodujące konflikt interesów uważane będą stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli osoby je pistujące biorą udział w określaniu celów i sposobów przetwarzania danych (więcej: https://abi.giodo.gov.pl/inspektor-ochrony-danych/gwarancje-niezaleznosci/Unikanie konfliktu interesów).

 

Czy administratorem bezpieczeństwa informacji może być osoba pełniąca funkcję kierownika komórki w organizacji (np. będąca dyrektorem departamentu, kierownikiem działu IT)?

Administrator danych osobowych, rozważając wyznaczenie na ABI kierownika komórki w organizacji, np. kierownika działu IT, powinien uwzględnić, że wykonywanie przez ABI innych obowiązków reguluje art. 36a u.o.d.o., wskazujący, że administrator może nałożyć na ABI inne obowiązki wyłącznie pod warunkiem, że nie naruszy to prawidłowego wykonywania ustawowych zadań ABI. Innymi słowy, administrator danych, wyznaczając do pełnienia funkcji ABI osobę, która jednocześnie wykonuje inne zadania w danym podmiocie, powinien każdorazowo uwzględnić co najmniej trzy kryteria:

1) organizacyjne (ABI powinien podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych),

2) merytoryczne (inne obowiązki nie powinny negatywnie wpływać na niezależne wykonywanie zadań ABI),

3) czasowe (ABI powinien dysponować czasem wystarczającym do wykonywania swoich zadań, przy uwzględnieniu m.in. liczby obowiązków czy stopnia ich skomplikowania).

W przypadku wyznaczania na ABI kierownika komórki organizacyjnej, administrator danych w pierwszej kolejności powinien szczegółowo zbadać, czy inne pełnione przez ABI obowiązki nie będą kolidowały z prawidłowym wykonywaniem funkcji ABI (nie będą powodowały konfliktu interesów). Kluczowymi obowiązkami ABI z punktu widzenia łączenia funkcji administratora bezpieczeństwa informacji z funkcją kierownika komórki organizacyjnej w danym podmiocie są obowiązki dotyczące m. in. sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz stałego monitorowania procesów przetwarzania danych osobowych pod kątem ich zgodności z przepisami o ochronie danych osobowych. Powołanie na ABI kierownika komórki w organizacji, np. dyrektora departamentu IT, który jako kierownik decydowałby o sposobach zabezpieczeń systemów informatycznych, projektowałby systemy służące przetwarzaniu danych osobowych, bądź dyrektora działu kadr, który decydowałby np., jakie dane są zbierane od potencjalnych kandydatów do pracy, a z drugiej strony – jako ABI badałby zgodność przetwarzania danych z przepisami o ochronie danych osobowych spowoduje, że osoba taka będzie sama kontrolowała procesy przetwarzania danych, o których jako kierownik danej komórki będzie jednocześnie decydować. Warto zaznaczyć, że nawet jeśli osoba ta osobiście nie tworzyłaby wskazanych systemów, ale np. projektowałby je pracownik danej komórki, to fakt ten byłby bez znaczenia, ponieważ to kierownik odpowiada za całość działań komórki, w tym podległych mu pracowników.

Uwzględnienie kryterium czasowego powinno obejmować analizę, czy ABI pełniący jednocześnie inną funkcję, będzie w stanie wykonywać swoje obowiązki we właściwy sposób, biorąc pod uwagę w szczególności stopień skomplikowania i liczbę innych zadań. ABI powinien dysponować czasem pozwalającym mu na prawidłowe realizowanie wszystkich zadań.

 

Reasumując, jednoczesne pełnienie funkcji ABI i funkcji kierownika komórki w organizacji nie jest w ustawie o ochronie danych wprost zakazane, lecz nieprzeprowadzenie analizy w tym zakresie przez administratora danych oraz nieuwzględnienie wskazanych kryteriów może w konsekwencji spowodować naruszenie przepisów o ochronie danych osobowych.

Warto nadmienić, że ogólne rozporządzenie o ochronie danych w art. 38 ust. 6 również przewiduje możliwość nakładania na inspektora ochrony danych innych zadań i obowiązków, ale administrator i podmiot przetwarzający muszą zapewnić, by nie powodowało to konfliktu interesów. Powierzając inspektorowi ochrony danych inne zadania, w celu uniknięcia konfliktu interesów administrator danych lub podmiot przetwarzający powinni w swojej organizacji zidentyfikować stanowiska wykluczające się z pełnieniem funkcji inspektora ochrony danych. W Wytycznych Grupy Roboczej Art. 29 wskazane zostały przykładowe takie stanowiska. Należą do nich: stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli sprawujące je osoby biorą udział w określaniu celów i sposobów przetwarzania danych (Wytyczne Grupy Roboczej art. 29 dotyczące inspektorów ochrony danych (DPO)).

Czy administrator bezpieczeństwa informacji może pełnić funkcje społeczne lub związkowe poza organizacją, w której został powołany na stanowisko ABI?

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych nie przewiduje zakazu pełnienia funkcji ABI i jednocześnie - pełnienia funkcji społecznych lub związkowych poza organizacją, w której ABI został powołany. Tak jak w każdym przypadku należy jednak zbadać, czy taka sytuacja nie wpłynie negatywnie na którekolwiek z wymagań określonych w art. 36a ust. 2-8 ustawy, przede wszystkim w zakresie niezależnego i właściwego wywiązywania się administratora bezpieczeństwa informacji z jego zadań. Oznacza to, że równoległe wykonywanie funkcji społecznej lub związkowej nie może powodować w jakikolwiek sposób ograniczenia niezależności ABI i zakłócać jego pracy. Administrator bezpieczeństwa informacji, bez względu na swoje dodatkowe zajęcia lub funkcje, powinien realizować zadania wynikające z funkcji ABI w sposób rzetelny, bezstronny i samodzielny, nie ulegając wpływom innych osób, w tym osób spoza organizacji, w której pełni swoją funkcję.

Czy Centrum Usług Wspólnych może powołać jednego ABI dla wszystkich obsługiwanych jednostek?

Celem działalności Centrum Usług Wspólnych (zwanego również jednostką obsługującą lub CUW) jest zapewnienie wspólnej obsługi jednostkom obsługiwanym. Centra usług wspólnych są tworzone jako osobne podmioty, a domeną ich działań są najczęściej obszary o charakterze pomocniczym, wspierającym działalność podstawową obsługiwanych podmiotów (np. jednostek samorządu), takie jak: finanse i księgowość, kadry i płace, IT, sprawy administracyjne.

CUW jest uprawnione do przetwarzania danych osobowych, które zostaną udostępnione przez jednostki obsługiwane, w zakresie i celu niezbędnym do wykonywania zadań w ramach wspólnej obsługi tych jednostek (zgodnie z art. 10d ustawy z dnia 8 marca 1990 r. o samorządzie gminnym). CUW nie decyduje zatem o celach i środkach przetwarzania danych osobowych udostępnionych przez jednostki obsługiwane i nie jest administratorem tych danych. Zatem nawet w sytuacji, kiedy dzięki działalności CUW wypracowywane są jednolite standardy i środki zabezpieczające dane osobowe, nie oznacza to pozbawienia poszczególnych podmiotów obsługiwanych statusu administratorów danych. Tym samym CUW nie może wyznaczać ABI dla jednostek obsługiwanych i zgłaszać go do rejestracji GIODO.

Przy spełnieniu warunków określonych w ustawie o ochronie danych osobowych (art. 36a ust. 2 -8 ustawy o ochronie danych osobowych) ABI zatrudniony przez CUW może natomiast jednocześnie pełnić tę funkcję u niektórych lub wszystkich administratorów danych będących jednostkami obsługiwanymi. W takim przypadku zarówno CUW, jak i każda z jednostek obsługiwanych obowiązane są do wyznaczenia tej osoby na swojego ABI i zgłoszenia jej do rejestru ABI prowadzonego przez GIODO.

 

Jak należy rozumieć obowiązek administratora danych dotyczący zapewniania powołanemu administratorowi bezpieczeństwa informacji środków niezbędnych do niezależnego wykonywania przez niego zadań (art. 36a ust. 8 u.o.d.o.)?

Obowiązek administratora dotyczący zapewniania ABI środków niezbędnych do niezależnego wykonywania przez niego zadań wynika z art. 36a ust. 8 ustawy o ochronie danych osobowych.

Jego istotnym elementem jest takie kształtowanie przez administratora danych środków i rozwiązań, które zagwarantują odpowiednie wsparcie i ochronę niezależności oraz skuteczności działania ABI. Ustawa nie przesądza, jakie środki powinny być zapewnione, niemniej należy je rozumieć szeroko. Zakres oraz rodzaj „niezbędnych” środków powinien być ustalany indywidualnie z uwzględnieniem specyfiki wykonywania funkcji ABI w konkretnym podmiocie oraz zmieniających się w czasie potrzeb tego podmiotu. Innymi słowy, dla każdego ABI inne środki mogą okazać się niezbędne do wykonywania jego zadań. Jako przykładowe środki pomocne przy wykonywaniu funkcji ABI wskazać można:

  • środki organizacyjne - np. zapewnienie łatwego dostępu ABI do osób z kierownictwa, poinformowanie wszystkich zatrudnionych o wyznaczeniu, zakresie obowiązków i uprawnień ABI, wprowadzenie regulacji wewnętrznych zapewniających dostęp do informacji o funkcjonowaniu organizacji i zobowiązujących pracowników do współdziałania z ABI i dostarczania mu informacji w zakresie realizacji jego zadań, ustalenie zasad współpracy i wymiany informacji pomiędzy ABI a innymi służbami kontrolnymi administratora danych,
  • środki finansowe – wydzielenie z budżetu ogólnego środków finansowych, stałych lub celowych na ochronę danych osobowych w podmiocie, w tym np. podnoszenie i utrzymywanie poziomu fachowej wiedzy ABI, zakup odpowiedniego oprogramowania, zakup ekspertyz, audytów lub innych specjalistycznych usług związanych z metodami przetwarzania lub zabezpieczania danych osobowych,
  • środki osobowe – w zależności od wielkości i struktury organizacyjnej administratora danych środkami tymi mogą być np. zapewnienie stałego merytorycznego wsparcia i współpracy w zakresie kwestii technicznych czy prawnych ze strony innych osób lub komórek organizacyjnych, powołanie zespołu podlegającego ABI i zajmującego się zagadnieniami z zakresu ochrony danych osobowych, zapewnienie ABI obsługi w zakresie zadań kancelaryjnych,
  • środki techniczne – np. sprzęt biurowy, sprzęt i oprogramowanie komputerowe, pomieszczenia, telefon itp.

Warto nadmienić, że ogólne rozporządzenie o ochronie danych osobowych przewiduje analogiczny do przewidzianego w art. 36a ust. 8 u.o.d.o. obowiązek administratora zapewnienia inspektorowi ochrony danych odpowiednich środków. Grupa Robocza Art. 29 w Wytycznych dotyczących inspektorów ochrony danych (DPO), w punkcie „Niezbędne zasoby”, podkreśliła, iż środki te należy rozumieć jak najszerzej, przy czym im bardziej skomplikowane procesy przetwarzania danych, tym więcej odpowiednich środków należy przeznaczyć dla DPO, tak aby ochrona danych była skuteczna i odpowiednia do zakresu przetwarzanych danych.

Jakie są wymagania wobec kandydatów na ABI?

W art. 36a ust. 5 i 7 u.o.d.o. określono, iż funkcję ABI może pełnić osoba, która:

  1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
  2. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
  3. nie była karana za umyślne przestępstwo;
  4. podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Przesłanka posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych (art. 36a ust. 5 pkt 2 u.o.d.o.) jest oceniana przez administratora danych. Działając we własnym interesie powinien on powołać na to stanowisko osobę, która ma rzeczywistą wiedzę z zakresu ochrony danych. Przepisy u.o.d.o. nie wprowadzają wymogu posiadania przez ABI jakichkolwiek certyfikatów, poświadczeń ukończenia odpowiednich szkoleń itp. Poziom odpowiedniej wiedzy powinien być dostosowany do prowadzonych u administratora danych operacji przetwarzania danych oraz wymogów ich ochrony.

ABI w zakresie zapewniania przestrzegania przepisów o ochronie danych osobowych musi ponadto podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Administrator danych zobowiązany jest do wyposażenia ABI  w odpowiednie środki i zapewnienia mu organizacyjnej odrębności, co jest niezbędne do niezależnego wykonywania przez niego zadań (art. 36a. ust. 8 u.o.d.o).

Kto jest uprawniony do powołania ABI?

Powołania ABI dokonuje administrator danych, czyli podmiot, o którym mowa w art. 7 pkt 4 u.o.d.o.

Czy powołanie ABI jest obowiązkowe?

Zgodnie z art. 36a ust. 1 u.o.d.o., powołanie ABI jest uprawnieniem, a nie obowiązkiem administratora danych. W przypadku niepowołania ABI, jego zadania wykonuje sam administrator danych (art. 36b u.o.d.o.), z wyłączeniem obowiązku sporządzania sprawozdania i obowiązku prowadzenia wewnętrznego rejestru zbiorów danych przetwarzanych przez administratora danych. Nowelizacja przepisów u.o.d.o. odnoszących się do ABI,   nie ma wpływu na dotychczasowe obowiązki administratora danych. Był on i nadal jest odpowiedzialny za właściwe, zgodne z prawem zorganizowanie procesu przetwarzania danych osobowych.

Czy ta sama osoba może pełnić funkcję ABI u wielu administratorów danych?

ABI musi mieć zapewnione takie warunki funkcjonowania, które pozwolą mu na rzeczywiste i prawidłowe realizowanie obowiązków wynikających z przepisów prawa. Zarówno administrator danych, jak i powołany przez niego ABI odpowiedzialni są za rzetelne zapewnienie przestrzegania przepisów o ochronie danych osobowych w danej organizacji. Osiągnięcie tego celu, w sytuacji, gdy wybrana przez administratora danych osobowych osoba jednocześnie pełni tę funkcję u kilkunastu czy nawet kilkudziesięciu innych administratorów danych może okazać się niemożliwe. Wyboru określonej osoby do pełnienia funkcji ABI należy zatem dokonywać starannie, z dobrym rozeznaniem oraz ze świadomością ciążącej na administratorze danych odpowiedzialności za zgodne z prawem przetwarzanie danych osobowych. W przypadku powoływania na to stanowisko osoby z zewnątrz, warto sprawdzić w ogólnopolskim rejestrze administratorów bezpieczeństwa informacji, czy i jak wielu innych administratorów danych taka osoba już obsługuje (wystarczy wpisać w wyszukiwarce na platformie e-GIODO jej imię i nazwisko). 

Czy dyrektor szkoły, po uzgodnieniu z samorządem powiatowym, że funkcję ABI w jego szkole będzie pełniła osoba zatrudniona w starostwie, zobowiązany jest do zgłoszenia tego faktu do GIODO w celu rejestracji ABI? Czy wystarczy, że powiat zgłosi do ogólnopolskiego rejestru osobę wyznaczoną do pełnienia funkcji ABI w starostwie?

Zgodnie z obowiązującymi przepisami powiat nie jest administratorem danych osobowych przetwarzanych w podległych mu szkołach (szkołach, dla których powiat jest organem prowadzącym) i z tego względu, to nie on może wyznaczać ABI dla szkół i zgłaszać go do rejestracji GIODO.

Każdy administrator danych, w tym szkoła, może powołać swojego ABI. Jeśli tego nie uczyni to zadania określone w art. 36a ust. 2 u.o.d.o. (za wyjątkiem sporządzania sprawozdań ze sprawdzeń oraz prowadzenia wewnętrznego rejestru zbiorów danych osobowych) będzie zobowiązany wykonywać sam.

U.o.d.o. nie określa formy powołania ABI, ale powinno ono przyjąć formę, na podstawie której inni pracownicy administratora danych będą związani działaniami podejmowanymi przez ABI (np. zarządzenie dyrektora szkoły).

Powiat może zaproponować szkołom, pomoc w powyższym zakresie np. poprzez oddanie do ich dyspozycji określonej liczby godzin pracy zatrudnionego w starostwie ABI w celu wykonywania obowiązków ABI również w szkołach.

W takiej sytuacji, niezależnie od dokonanego przez powiat powołania ABI i zgłoszenia go do rejestracji GIODO, każdy dyrektor powinien powołać wskazaną osobę do pełnienia funkcji ABI w szkole, w której jest dyrektorem, i zgłosić ten fakt do GIODO. Zgodnie z art. 46a u.o.d.o. zgłoszenie takie powinno być dokonane przez administratora danych w terminie 30 dni od powołania ABI. 

Jakie są korzyści wynikające z powołania i zgłoszenia ABI?

Do korzyści wynikających z powołania ABI należą m.in.:

  1. Zwolnienie administratorów danych zwykłych z obowiązku zgłoszenia zbiorów takich danych do rejestracji GIODO.
  2. Zwolnienie z obowiązku wykreślenia lub aktualizacji u GIODO zbiorów zgłoszonych lub zarejestrowanych do 1 stycznia 2015r., z wyłączeniem zbiorów z danymi wrażliwymi.
  3. Uzyskanie przez administratora danych efektywnego wewnętrznego nadzoru nad prawidłową realizacją obowiązków wynikających z przepisów o ochronie danych osobowych.
  4. Zwiększenie autokontroli administratorów danych i podniesienie poziomu bezpieczeństwa danych osobowych.
  5. Wzmocnienie zaufania do administratorów danych ze strony osób, których dane dotyczą oraz innych administratorów danych, a także podmiotów współpracujących z administratorem danych.

Na czym polega „bezpośrednia podległość” ABI kierownikowi jednostki organizacyjnej?

W zakresie zapewniania przestrzegania przepisów o ochronie danych osobowych, ABI nie może podlegać innym osobom niż kierownik jednostki organizacyjnej. Takimi innymi osobami są np. szef działu kadr, szef działu prawnego, prokurent spółki, dyrektor ds. informatycznych czy też dyrektor generalny urzędu publicznego. Jednocześnie administrator danych powinien zapewnić ABI możliwość niezależnego pełnienia swojej funkcji.

Kogo należy rozumieć przez „kierownika jednostki organizacyjnej”, któremu bezpośrednio podlega ABI?

Kierownikiem jednostki organizacyjnej jest osoba lub osoby (np. wchodzące w skład organu), które kierują jej pracami (np. ministrowie kierujący działami administracji rządowej, dyrektorzy szkół), prowadzą jej sprawy (np. zarząd spółki) albo podejmują zarobkową działalność (np. przedsiębiorcy jednoosobowi) działając jako administrator danych.

Na czym polega „organizacyjna odrębność” administratora bezpieczeństwa informacji niezbędna do niezależnego wykonywania przez niego zadań?

Organizacyjna odrębność umożliwia ABI wykonywanie swoich obowiązków niezależnie od pozostałych komórek organizacyjnych jednostki. Oznacza to także, iż ma on zapewnione odpowiednie środki organizacyjne (ewentualny personel wspierający), jak i finansowe (środki na prowadzenie szkoleń, weryfikowanie zabezpieczeń itp.). Oznacza to też, że w ramach podejmowanych przez siebie czynności ABI nie może podlegać innym osobom lub jednostkom organizacyjnym wchodzącym w skład struktury administratora danych.

Jakie są zadania ABI?

Zadaniem ABI jest zapewnianie przestrzegania przepisów o ochronie danych osobowych (zgodnie z art. 36a ust. 2 pkt 1 u.o.d.o.), w szczególności przez:

  1. sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych oraz dla GIODO,
  2. nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych,
  3. zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Zadaniem ABI jest również prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych (zgodnie z art. 36a ust. 2 pkt 2 u.o.d.o.), zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7 u.o.d.o.

Kto kontroluje wykonywanie obowiązków przez ABI?

Prawidłowe wykonywanie obowiązków ABI kontroluje administrator danych (kierownik jednostki organizacyjnej). To przed nim ABI odpowiada, tak jak inni pracownicy i współpracownicy administratora, którzy są rozliczani ze swoich obowiązków.

Czy niezależność ABI oznacza, iż jego praca nie może być poddawana pod kontrolę audytorów (zarówno wewnętrznych, jak i zewnętrznych) działających u administratora danych?

Z uwagi na bezpośrednią podległość ABI wobec administratora (kierownika) podlega on również wewnętrznym kontrolom prowadzonym w ramach funkcjonowania podmiotu przez właściwe działy albo funkcjonariuszy (audytorzy, inspektorzy itp.). Do ABI zastosowanie mają procedury i systemy zarządzania jakością wynikające z przepisów prawa i systemów certyfikacji przyjętych przez administratora danych. Jeżeli kierownik (administrator) zdecyduje inaczej, to na nim spoczywa odpowiedzialność za ocenę pracy ABI i przestrzeganie przez niego przepisów prawa i wewnętrznych procedur.

Czy ADO może powołać siebie na stanowisko ABI?

Niedopuszczalne jest powołanie na ABI osób będących kierownikami jednostki organizacyjnej, a więc np. dyrektorów, wójtów, kierowników, ale również członków zarządu spółki czy stowarzyszenia. Niemożliwe jest również powołanie na stanowisko ABI samego siebie przez osoby prowadzące jednoosobową działalność gospodarczą. Powołanie na administratora bezpieczeństwa informacji osoby będącej kierownikiem jednostki organizacyjnej/osoby zarządzającej podmiotem posiadającym status administratora danych osobowych jest błędem, ponieważ prowadzi to do sytuacji, w której administrator danych nadzoruje i kontroluje samego siebie.

Czy prokurent może być ABI?

Tak, administrator danych może powołać na ABI prokurenta, jeżeli będzie możliwość zapewnienia środków i organizacyjnej odrębności ABI, a powierzenie obowiązków nie naruszy prawidłowego wykonywania zadań ABI.

Czy dopuszczalne jest powołanie na ABI pracownika, który będzie wykonywał obowiązki przewidziane w u.o.d.o. obok pozostałych zadań wynikających z zakresu swoich obowiązków?

Zgodnie z art. 36a ust. 4 u.o.d.o., dopuszczalne jest wykonywanie przez ABI także innych czynności powierzonych przez administratora danych, w tym przetwarzania danych osobowych. Jednak w żadnym przypadku nie powinno to naruszać prawidłowego wykonywania zadań ABI określonych w art. 36a ust. 2 u.o.d.o.

Jak dokonać powołania na funkcję ABI pracownika zatrudnionego przy innych czynnościach?

Przepisy u.o.d.o. nie ustalają konkretnego sposobu powołania ABI przez administratora danych. W przypadku ewentualnej kontroli GIODO istotna będzie możliwość udowodnienia dokonania tej czynności i przyjęcia tej funkcji przez osobą powoływaną. Możliwe jest wprowadzenie nowych obowiązków np. aneksem do umowy o pracę albo zawarcie odrębnej umowy w przypadku innej podstawy zatrudnienia.

Czy pracownik wykonujący obowiązki w niepełnym wymiarze godzin może zostać powołany na stanowisko ABI?

Osoba wykonująca obowiązki ABI może to czynić w niepełnym wymiarze godzin, pod warunkiem, że w tym czasie ma możliwość rzeczywistego zapewniania przestrzegania przepisów o ochronie danych osobowych. Okazać się może, że w takiej sytuacji potrzebne będzie wsparcie innych osób i komórek organizacyjnych administratora danych.

Czy osoba może pełnić funkcję ABI w dwóch podmiotach na podstawie różnych umów (np. umowa o pracę, umowa zlecenia)?

Jest to dopuszczalne ,o ile możliwe jest skuteczne wykonywanie obowiązków  ujętych w przepisach prawa i nałożonych na ABI przez administratora danych. Wykonywanie czynności ABI w większej liczbie instytucji wiąże się z ponoszeniem odpowiedzialności za zapewnianie przestrzegania przepisów o ochronie danych osobowych we wszystkich tych podmiotach. Taka sytuacja może rodzić ryzyko, że ABI nie będzie realnie wykonywał swoich obowiązków, a  tym samym nie będzie zapewniał należytej ochrony danych osobowych. Należy również wskazać, że kontrola przeprowadzona przez Generalnego Inspektora Ochrony Danych Osobowych może wykazać, iż ABI nie wykonuje swoich obowiązków.

Czy można powołać kilku ABI lub kilku zastępców ABI?

Ustawa nie przewiduje możliwości powołania więcej niż jednego ABI. Natomiast z treści art. 36a. ust. 6 u.o.d.o. wynika możliwość powołania zastępców ABI (jednego lub więcej), przy czym zastępcy ABI nie podlegają zgłoszeniu GIODO do rejestracji.

Czy powołanie zastępcy ABI jest niezależne od uprzedniego powołania ABI?

Bez powołania ABI niemożliwe jest powoływanie jego zastępców.

Czy ABI może być obcokrajowcem?

Art. 36a ust. 5 u.o.d.o. enumeratywnie wymienia przesłanki stawiane ABI, wskazując, iż osoba taka powinna:

  1. mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych;
  2. posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych;
  3. być niekarana za umyślne przestępstwo;

W związku z powyższym obcokrajowiec, który spełniałby powyższe przesłanki może zostać powołany na ABI i zgłoszony do rejestracji Generalnemu Inspektorowi.

Czy podmiot zagraniczny może zgłosić ABI?

Art. 3 ust. 1 stanowi, że ustawę stosuje się między innymi do osób fizycznych i osób prawnych, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, które mają siedzibę albo miejsce zamieszkania na terytorium RP, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium RP. Zatem podmioty zagraniczne przetwarzające dane na terytorium RP mają możliwość powołania ABI i zgłoszenia go do rejestru Generalnemu Inspektorowi.