Powołanie zastępców ABI

Kategoria: Ochrona danych osobowych
Data: 04-01-2016 r.

Zgodnie z przepisami administrator danych może powołać zastępców ABI. Wyjaśniamy, kogo można powołać na to stanowisko i jakie zadania można powierzyć takiej osobie.

Od samego początku obowiązywania przepisów o ochronie danych pojawiał się problem, kto ma zastępować ABI podczas jego nieobecności. Przepisy nie zabraniały ADO wyznaczyć więcej osób do nadzoru zasad przetwarzania danych. Takie struktury pojawiały się w dużych firmach, gdzie był wyznaczany ABI w centrali oraz lokalni ABI w oddziałach danego podmiotu. Ostatnia nowelizacja uodo w zakresie statusu funkcji ABI uregulowała również kwestie powoływania jego zastępców. Zgodnie z art. 36a ust. 6 uodo ADO może powołać zastępców ABI. Może to być jedna lub kilka osób. Osoby te, podobnie jak ABI, muszą spełniać następujące kryteria określone w art. 36a ust. 5 uodo:

 
  • mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych;
  • posiadać odpowiednią wiedzę;
  • nie być karane za umyślne przestępstwo.

Celem powołania zastępców ABI jest zapewnienie, że osoby te będą zastępować go w przypadku jego nieobecności przy wykonywaniu zadań określonych w art. 36a ust. 2 uodo, w tym:

  • przeprowadzaniu sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowywaniu w tym zakresie sprawozdania;
  • nadzorowaniu opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 uodo oraz przestrzeganiu zasad w niej określonych;
  • zapewnianiu zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
  • prowadzeniu rejestru zbiorów danych.

Nie ma w ustawie zapisanych innych wymogów, które wprost odnoszą się do zastępców ABI. Ich powołania nie trzeba zgłaszać do rejestracji GIODO. Nie będzie mógł on też zlecać sprawdzenia w trybie art. 19b uodo zastępcom ABI. Decyzja w tym zakresie zależy wyłącznie od ADO. Może być to pracownik zatrudniony na innym stanowisku, który w razie konieczności przejmie wykonywanie obowiązków powołanego ABI. Można również wyznaczyć na zastępców kilka osób, które będą zastępować ABI przy wykonywaniu konkretnych zadań określonych w art. 36a ust. 2 uodo.

Jeden zastępca będzie np. wykonywał sprawdzenia (jeżeli ich termin został zaplanowany lub w sytuacji wystąpienia incydentu związanego z naruszeniem bezpieczeństwa danych), inny będzie sprawował nadzór nad dokumentacją przetwarzania danych, a jeszcze inny zapewniał zapoznanie osób upoważnionych z przepisami itp. W takim wypadku należy ustalić konkretny zakres zadań dla takich osób. Przy powierzaniu zadań powołanym zastępcom ABI, którzy są zatrudnieni na innych stanowiskach, należy brać pod uwagę, czy będą oni mogli prawidłowo realizować powierzone zadania, tak jak jest to zapisane w art. 36a ust. 4 uodo w przypadku ABI.

W zakresie wykonywania swoich zadań zastępcy ABI będą podlegać, tak samo jak ABI kierownikowi jednostki organizacyjnej. ADO powinien również zapewnić możliwość wykonywania zadań przez zastępców, w odniesieniu do art. 36a ust. 8 uodo. W wielu podmiotach w opracowanej dokumentacji polityki bezpieczeństwa danych osobowych przyjęto rozwiązanie organizacyjne podziału obowiązków nadzoru nad przetwarzaniem danych pomiędzy ABI oraz administratora bezpieczeństwa systemu informatycznego (ABSI lub ASI albo IT Security Officer itp.).

Zadaniem ABI jest nadzór nad wszystkimi procesami przetwarzania danych, natomiast ABSI nadzór nad bezpieczeństwem przetwarzania danych w systemie informatycznym. Podział wynikał z posiadanych kompetencji, a obie funkcje uzupełniały się w zapewnianiu bezpieczeństwa przetwarzanych danych. Obecnie po ostatniej nowelizacji uodo z 7 listopada 2014 r. podmioty, które przyjęły taki podział zadań, chciały powierzyć nowe obowiązki ABI osobie, która wcześniej była wyznaczona na ABI, a osobie wyznaczonej na ABSI obowiązki zastępcy ABI.

Ale zgodnie z obowiązującymi przepisami nie można w ten sposób powołać zastępcy ABI, ponieważ w tym przypadku osoba ta nie będzie zastępować ABI w wykonywaniu jego obowiązków, tylko wykonywać zadania uzupełniające, wynikające z przyjętej polityki. Jeżeli zakres zadań ABSI pozostanie bez zmian, dalej może on wykonywać swoje zadania określone w polityce, ale nie może być on powołany na zastępcę ABI.

Maciej Byczkowski, prezes Zarządu ENSI, ekspert ds. bezpieczeństwa informacji i ochrony danych osobowych, od 2007 roku pełni funkcję prezesa Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji
Zobacz także:

Tagi: dane osobowe, abi

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Prawo do informacji o przetwarzanych danych osobowych

Prawo do informacji o przetwarzanych danych osobowych »
Odpowiedzialność administratora danych osobowych

Odpowiedzialność administratora danych osobowych »
Prawo do kopii danych osobowych

Prawo do kopii danych osobowych »
Array ( [docId] => 38280 )
Array ( [docId] => 38280 )