Ustawa o ochronie danych osobowych wymaga wskazania osób, które formalnie będą odpowiedzialne w firmie lub instytucji publicznej za przestrzeganie jej zapisów. Nie oznacza to jednak, że naruszenie ustawy przez mających bezpośredni dostęp do danych informatyków (np. przekazanie nieuprawnionej osobie danych osobowych) pozostanie bezkarne.
Za nieprawidłowości zawsze odpowiada administrator danych osobowych
Kara grzywny, ograniczenie albo pozbawienie wolności – to konsekwencje świadomego i celowego naruszenia przepisów ustawy o ochronie danych osobowych przez administratora danych osobowych. Przy nieuprawnionym przekazaniu informacji postępowanie może być wszczęte nie tylko na wniosek poszkodowanego, ale i z urzędu.
Odpowiedzialność kierownika jednostki
Za ochronę danych osobowych odpowiedzialny jest kierownik danej jednostki, np. dyrektor szkoły czy prezes firmy. Nie znaczy to jednak, że to zawsze on ponosi bezpośrednią odpowiedzialność za naruszenie przepisów ustawy o ochronie danych osobowych przez swoich podwładnych. Przy czym obowiązki realizacji zapisów tej ustawy oraz zakres odpowiedzialności poszczególnych osób precyzuje sama ustawa oraz obowiązująca w danej firmie polityka bezpieczeństwa. Określają one też zasady dostępu do informacji i zarządzania danymi osobowymi.
Ustawa o ochronie danych osobowych przede wszystkim nakazuje zabezpieczenie tych danych przed dostępem osób nieupoważnionych. Nakłada również obowiązek zgłoszenia zbioru danych do GIODO. Ponadto obliguje wszystkie podmioty, które przechowują lub przetwarzają dane osobowe, do wyznaczenia administratora danych osobowych (ADO) i administratora bezpieczeństwa informacji (ABI).
Administrator danych osobowych
Administratorem danych osobowych jest organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych. Jego wyznaczenie następuje więc automatyczne. Za ADO uważa się samego przedsiębiorcę, a nie jego organy czy osoby fizyczne zasiadające w organach przedsiębiorcy (w przypadku działalności gospodarczej prowadzonej przez osobę fizyczną administratorem danych jest ta osoba).
Z kolei administratorem bezpieczeństwa informacji jest osoba wyznaczona przez ADO, nadzorująca przestrzeganie zasad ochrony danych. Administrator danych osobowych jest zwolniony z obowiązku wyznaczenia administratora bezpieczeństwa informacji tylko wówczas, gdy samodzielnie wykonuje jego czynności.
Innymi słowy, wyznaczenie ABI jest konieczne wtedy, gdy brak jest jednoznacznego przypisania odpowiedzialności za nadzór nad przetwarzaniem danych osobowych. Teoretycznie, jeśli ze struktury organizacyjnej firmy wynika, że np. członek zarządu odpowiada za szeroko pojęte bezpieczeństwo informacji (w tym dane osobowe), to nie musi on wyznaczyć ABI, ponieważ sam, jako reprezentant administratora danych, pełni jego obowiązki. W praktyce, jeżeli chcemy uniknąć problemów związanych z różnymi interpretacjami zakresu odpowiedzialności poszczególnych osób, należy wyznaczyć ABI we wszystkich podmiotach posiadających osobowość prawną, takich jak spółki z o.o. czy spółki akcyjne.
Zobacz także:
Tagi: dane osobowe, administrator it
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
