Powołanie i status ABI

Czy dyrektor szkoły, po uzgodnieniu z samorządem powiatowym, że funkcję ABI w jego szkole będzie pełniła osoba zatrudniona w starostwie, zobowiązany jest do zgłoszenia tego faktu do GIODO w celu rejestracji ABI? Czy wystarczy, że powiat zgłosi do ogólnopolskiego rejestru osobę wyznaczoną do pełnienia funkcji ABI w starostwie?

Zgodnie z obowiązującymi przepisami powiat nie jest administratorem danych osobowych przetwarzanych w podległych mu szkołach (szkołach, dla których powiat jest organem prowadzącym) i z tego względu, to nie on może wyznaczać ABI dla szkół i zgłaszać go do rejestracji GIODO.

Każdy administrator danych, w tym szkoła, może powołać swojego ABI. Jeśli tego nie uczyni to zadania określone w art. 36a ust. 2 u.o.d.o. (za wyjątkiem sporządzania sprawozdań ze sprawdzeń oraz prowadzenia wewnętrznego rejestru zbiorów danych osobowych) będzie zobowiązany wykonywać sam.

U.o.d.o. nie określa formy powołania ABI, ale powinno ono przyjąć formę, na podstawie której inni pracownicy administratora danych będą związani działaniami podejmowanymi przez ABI (np. zarządzenie dyrektora szkoły).

Powiat może zaproponować szkołom, pomoc w powyższym zakresie np. poprzez oddanie do ich dyspozycji określonej liczby godzin pracy zatrudnionego w starostwie ABI w celu wykonywania obowiązków ABI również w szkołach.

W takiej sytuacji, niezależnie od dokonanego przez powiat powołania ABI i zgłoszenia go do rejestracji GIODO, każdy dyrektor powinien powołać wskazaną osobę do pełnienia funkcji ABI w szkole, w której jest dyrektorem, i zgłosić ten fakt do GIODO. Zgodnie z art. 46a u.o.d.o. zgłoszenie takie powinno być dokonane przez administratora danych w terminie 30 dni od powołania ABI. 

Czy ta sama osoba może pełnić funkcję ABI u wielu administratorów danych?

ABI musi mieć zapewnione takie warunki funkcjonowania, które pozwolą mu na rzeczywiste i prawidłowe realizowanie obowiązków wynikających z przepisów prawa. Zarówno administrator danych, jak i powołany przez niego ABI odpowiedzialni są za rzetelne zapewnienie przestrzegania przepisów o ochronie danych osobowych w danej organizacji. Osiągnięcie tego celu, w sytuacji, gdy wybrana przez administratora danych osobowych osoba jednocześnie pełni tę funkcję u kilkunastu czy nawet kilkudziesięciu innych administratorów danych może okazać się niemożliwe. Wyboru określonej osoby do pełnienia funkcji ABI należy zatem dokonywać starannie, z dobrym rozeznaniem oraz ze świadomością ciążącej na administratorze danych odpowiedzialności za zgodne z prawem przetwarzanie danych osobowych. W przypadku powoływania na to stanowisko osoby z zewnątrz, warto sprawdzić w ogólnopolskim rejestrze administratorów bezpieczeństwa informacji, czy i jak wielu innych administratorów danych taka osoba już obsługuje (wystarczy wpisać w wyszukiwarce na platformie e-GIODO jej imię i nazwisko). 

Czy powołanie ABI jest obowiązkowe?

Zgodnie z art. 36a ust. 1 u.o.d.o., powołanie ABI jest uprawnieniem, a nie obowiązkiem administratora danych. W przypadku niepowołania ABI, jego zadania wykonuje sam administrator danych (art. 36b u.o.d.o.), z wyłączeniem obowiązku sporządzania sprawozdania i obowiązku prowadzenia wewnętrznego rejestru zbiorów danych przetwarzanych przez administratora danych. Nowelizacja przepisów u.o.d.o. odnoszących się do ABI,   nie ma wpływu na dotychczasowe obowiązki administratora danych. Był on i nadal jest odpowiedzialny za właściwe, zgodne z prawem zorganizowanie procesu przetwarzania danych osobowych.

Kto jest uprawniony do powołania ABI?

Powołania ABI dokonuje administrator danych, czyli podmiot, o którym mowa w art. 7 pkt 4 u.o.d.o.

Jakie są korzyści wynikające z powołania i zgłoszenia ABI?

Do korzyści wynikających z powołania ABI należą m.in.:

  1. Zwolnienie administratorów danych zwykłych z obowiązku zgłoszenia zbiorów takich danych do rejestracji GIODO.
  2. Zwolnienie z obowiązku wykreślenia lub aktualizacji u GIODO zbiorów zgłoszonych lub zarejestrowanych do 1 stycznia 2015r., z wyłączeniem zbiorów z danymi wrażliwymi.
  3. Uzyskanie przez administratora danych efektywnego wewnętrznego nadzoru nad prawidłową realizacją obowiązków wynikających z przepisów o ochronie danych osobowych.
  4. Zwiększenie autokontroli administratorów danych i podniesienie poziomu bezpieczeństwa danych osobowych.
  5. Wzmocnienie zaufania do administratorów danych ze strony osób, których dane dotyczą oraz innych administratorów danych, a także podmiotów współpracujących z administratorem danych.

Jakie są wymagania wobec kandydatów na ABI?

W art. 36a ust. 5 i 7 u.o.d.o. określono, iż funkcję ABI może pełnić osoba, która:

  1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
  2. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
  3. nie była karana za umyślne przestępstwo;
  4. podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Przesłanka posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych (art. 36a ust. 5 pkt 2 u.o.d.o.) jest oceniana przez administratora danych. Działając we własnym interesie powinien on powołać na to stanowisko osobę, która ma rzeczywistą wiedzę z zakresu ochrony danych. Przepisy u.o.d.o. nie wprowadzają wymogu posiadania przez ABI jakichkolwiek certyfikatów, poświadczeń ukończenia odpowiednich szkoleń itp. Poziom odpowiedniej wiedzy powinien być dostosowany do prowadzonych u administratora danych operacji przetwarzania danych oraz wymogów ich ochrony.

ABI w zakresie zapewniania przestrzegania przepisów o ochronie danych osobowych musi ponadto podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Administrator danych zobowiązany jest do wyposażenia ABI  w odpowiednie środki i zapewnienia mu organizacyjnej odrębności, co jest niezbędne do niezależnego wykonywania przez niego zadań (art. 36a. ust. 8 u.o.d.o).

Na czym polega „bezpośrednia podległość” ABI kierownikowi jednostki organizacyjnej?

W zakresie zapewniania przestrzegania przepisów o ochronie danych osobowych, ABI nie może podlegać innym osobom niż kierownik jednostki organizacyjnej. Takimi innymi osobami są np. szef działu kadr, szef działu prawnego, prokurent spółki, dyrektor ds. informatycznych czy też dyrektor generalny urzędu publicznego. Jednocześnie administrator danych powinien zapewnić ABI możliwość niezależnego pełnienia swojej funkcji.

Kogo należy rozumieć przez „kierownika jednostki organizacyjnej”, któremu bezpośrednio podlega ABI?

Kierownikiem jednostki organizacyjnej jest osoba lub osoby (np. wchodzące w skład organu), które kierują jej pracami (np. ministrowie kierujący działami administracji rządowej, dyrektorzy szkół), prowadzą jej sprawy (np. zarząd spółki) albo podejmują zarobkową działalność (np. przedsiębiorcy jednoosobowi) działając jako administrator danych.

Na czym polega „organizacyjna odrębność” administratora bezpieczeństwa informacji niezbędna do niezależnego wykonywania przez niego zadań?

Organizacyjna odrębność umożliwia ABI wykonywanie swoich obowiązków niezależnie od pozostałych komórek organizacyjnych jednostki. Oznacza to także, iż ma on zapewnione odpowiednie środki organizacyjne (ewentualny personel wspierający), jak i finansowe (środki na prowadzenie szkoleń, weryfikowanie zabezpieczeń itp.). Oznacza to też, że w ramach podejmowanych przez siebie czynności ABI nie może podlegać innym osobom lub jednostkom organizacyjnym wchodzącym w skład struktury administratora danych.

Jakie są zadania ABI?

Zadaniem ABI jest zapewnianie przestrzegania przepisów o ochronie danych osobowych (zgodnie z art. 36a ust. 2 pkt 1 u.o.d.o.), w szczególności przez:

  1. sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych oraz dla GIODO,
  2. nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych,
  3. zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Zadaniem ABI jest również prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych (zgodnie z art. 36a ust. 2 pkt 2 u.o.d.o.), zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7 u.o.d.o.

Kto kontroluje wykonywanie obowiązków przez ABI?

Prawidłowe wykonywanie obowiązków ABI kontroluje administrator danych (kierownik jednostki organizacyjnej). To przed nim ABI odpowiada, tak jak inni pracownicy i współpracownicy administratora, którzy są rozliczani ze swoich obowiązków.

Czy niezależność ABI oznacza, iż jego praca nie może być poddawana pod kontrolę audytorów (zarówno wewnętrznych, jak i zewnętrznych) działających u administratora danych?

Z uwagi na bezpośrednią podległość ABI wobec administratora (kierownika) podlega on również wewnętrznym kontrolom prowadzonym w ramach funkcjonowania podmiotu przez właściwe działy albo funkcjonariuszy (audytorzy, inspektorzy itp.). Do ABI zastosowanie mają procedury i systemy zarządzania jakością wynikające z przepisów prawa i systemów certyfikacji przyjętych przez administratora danych. Jeżeli kierownik (administrator) zdecyduje inaczej, to na nim spoczywa odpowiedzialność za ocenę pracy ABI i przestrzeganie przez niego przepisów prawa i wewnętrznych procedur.

Czy ADO może powołać siebie na stanowisko ABI?

Niedopuszczalne jest powołanie na ABI osób będących kierownikami jednostki organizacyjnej, a więc np. dyrektorów, wójtów, kierowników, ale również członków zarządu spółki czy stowarzyszenia. Niemożliwe jest również powołanie na stanowisko ABI samego siebie przez osoby prowadzące jednoosobową działalność gospodarczą. Powołanie na administratora bezpieczeństwa informacji osoby będącej kierownikiem jednostki organizacyjnej/osoby zarządzającej podmiotem posiadającym status administratora danych osobowych jest błędem, ponieważ prowadzi to do sytuacji, w której administrator danych nadzoruje i kontroluje samego siebie.

Czy prokurent może być ABI?

Tak, administrator danych może powołać na ABI prokurenta, jeżeli będzie możliwość zapewnienia środków i organizacyjnej odrębności ABI, a powierzenie obowiązków nie naruszy prawidłowego wykonywania zadań ABI.

Czy dopuszczalne jest powołanie na ABI pracownika, który będzie wykonywał obowiązki przewidziane w u.o.d.o. obok pozostałych zadań wynikających z zakresu swoich obowiązków?

Zgodnie z art. 36a ust. 4 u.o.d.o., dopuszczalne jest wykonywanie przez ABI także innych czynności powierzonych przez administratora danych, w tym przetwarzania danych osobowych. Jednak w żadnym przypadku nie powinno to naruszać prawidłowego wykonywania zadań ABI określonych w art. 36a ust. 2 u.o.d.o.

Jak dokonać powołania na funkcję ABI pracownika zatrudnionego przy innych czynnościach?

Przepisy u.o.d.o. nie ustalają konkretnego sposobu powołania ABI przez administratora danych. W przypadku ewentualnej kontroli GIODO istotna będzie możliwość udowodnienia dokonania tej czynności i przyjęcia tej funkcji przez osobą powoływaną. Możliwe jest wprowadzenie nowych obowiązków np. aneksem do umowy o pracę albo zawarcie odrębnej umowy w przypadku innej podstawy zatrudnienia.

Czy łączenie funkcji administratora systemu informatycznego i ABI będzie zgodne z przepisami ustawy?

Łączenie funkcji ABI z obowiązkami administratora systemu informatycznego (ASI) jest przedmiotem dyskusji. Należy mieć świadomość, że powierzenie obu tych funkcji jednej osobie może skutkować brakiem nadzoru nad prawidłową realizacją w sferze bezpieczeństwa przetwarzania danych osobowych. Konsolidacja tych funkcji generuje zagrożenia dla bezpieczeństwa przetwarzania danych osobowych, ponieważ w praktyce doprowadza do sytuacji, w której osoba odpowiadająca za bieżące prowadzenie i zabezpieczanie zbiorów danych w systemach informatycznych, jednocześnie sprawuje nadzór nad zgodnością z prawem  wykonywanych przez siebie działań.

Czy pracownik wykonujący obowiązki w niepełnym wymiarze godzin może zostać powołany na stanowisko ABI?

Osoba wykonująca obowiązki ABI może to czynić w niepełnym wymiarze godzin, pod warunkiem, że w tym czasie ma możliwość rzeczywistego zapewniania przestrzegania przepisów o ochronie danych osobowych. Okazać się może, że w takiej sytuacji potrzebne będzie wsparcie innych osób i komórek organizacyjnych administratora danych.

Czy osoba może pełnić funkcję ABI w dwóch podmiotach na podstawie różnych umów (np. umowa o pracę, umowa zlecenia)?

Jest to dopuszczalne ,o ile możliwe jest skuteczne wykonywanie obowiązków  ujętych w przepisach prawa i nałożonych na ABI przez administratora danych. Wykonywanie czynności ABI w większej liczbie instytucji wiąże się z ponoszeniem odpowiedzialności za zapewnianie przestrzegania przepisów o ochronie danych osobowych we wszystkich tych podmiotach. Taka sytuacja może rodzić ryzyko, że ABI nie będzie realnie wykonywał swoich obowiązków, a  tym samym nie będzie zapewniał należytej ochrony danych osobowych. Należy również wskazać, że kontrola przeprowadzona przez Generalnego Inspektora Ochrony Danych Osobowych może wykazać, iż ABI nie wykonuje swoich obowiązków.

Czy można powołać kilku ABI lub kilku zastępców ABI?

Ustawa nie przewiduje możliwości powołania więcej niż jednego ABI. Natomiast z treści art. 36a. ust. 6 u.o.d.o. wynika możliwość powołania zastępców ABI (jednego lub więcej), przy czym zastępcy ABI nie podlegają zgłoszeniu GIODO do rejestracji.

Czy powołanie zastępcy ABI jest niezależne od uprzedniego powołania ABI?

Bez powołania ABI niemożliwe jest powoływanie jego zastępców.

Czy ABI może być obcokrajowcem?

Art. 36a ust. 5 u.o.d.o. enumeratywnie wymienia przesłanki stawiane ABI, wskazując, iż osoba taka powinna:

  1. mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych;
  2. posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych;
  3. być niekarana za umyślne przestępstwo;

W związku z powyższym obcokrajowiec, który spełniałby powyższe przesłanki może zostać powołany na ABI i zgłoszony do rejestracji Generalnemu Inspektorowi.

Czy podmiot zagraniczny może zgłosić ABI?

Art. 3 ust. 1 stanowi, że ustawę stosuje się między innymi do osób fizycznych i osób prawnych, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, które mają siedzibę albo miejsce zamieszkania na terytorium RP, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium RP. Zatem podmioty zagraniczne przetwarzające dane na terytorium RP mają możliwość powołania ABI i zgłoszenia go do rejestru Generalnemu Inspektorowi.