ABI to nie tylko audytor i nadzorca

Nowelizacja ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych¹, wprowadzona ustawą deregulacyjną z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej², określiła w nowy sposób zadania administratora bezpieczeństwa informacji (ABI) oraz ustanowiła jego status.

Na status ABI składają się nie tylko:

• art. 36a ust. 5 uodo (określa wymagania, jakie powinni spełnić kandydaci do wykonywania tej funkcji) oraz

• art. 36a ust. 7 i 8 (wprowadzające wymóg bezpośredniej podległości ABI kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej ADO),

ale także obowiązek zapewnienia ABI środków i organizacyjnej odrębności niezbędnych do niezależnego wykonywania zadań.

Zgodnie z intencją ustawodawcy status ABI obejmuje też możliwość powierzenia mu wykonywania innych obowiązków, przewidzianą w art. 36a ust. 4 ustawy o ochronie danych osobowych³.

Wydaje się to zrozumiałe, zważywszy na to, że ze względu na zakres przetwarzania danych osobowych u wielu administratorów danych i podmiotów przetwarzających dane z powierzenia wykonywanie przez administratora bezpieczeństwa informacji ustawowych zadań nie wypełni czasu pracy w wymiarze całego etatu.

Ustawa o ochronie danych osobowych dopuszcza możliwość wykonywania innych obowiązków przez ABI, jeśli nie narusza to prawidłowej realizacji przez niego podstawowych zadań określonych w art. 36a. Znaczy to, że ABI może wykonywać inne zadania zawodowe zupełnie niezwiązane z ochroną danych osobowych. Ta kwestia nie będzie jednak przedmiotem dalszych rozważań.

Bardziej istotne, bo mające praktyczne znaczenie dla zapewnienia wysokiego poziomu ochrony danych osobowych, jest rozważenie, jakie inne zadania związane z:

• ochroną danych osobowych,

• ochroną informacji prawnie chronionych oraz

• zarządzaniem bezpieczeństwem przetwarzania danych może wykonywać ABI.

Administratorzy danych i przetwarzający dane z powierzenia, szczególnie ze sfery prywatnej, podnoszą tę kwestię w sposób pragmatyczny i racjonalny zarazem.

Oczekują, że administrator bezpieczeństwa informacji posiadający odpowiednią wiedzę w zakresie ochrony danych osobowych będzie organizatorem i wykonawcą także innych zadań niż określone w art. 36a, których wypełniania wymaga prawo ochrony danych osobowych oraz inne przepisy o ochronie informacji.

Moim zdaniem administrator bezpieczeństwa informacji może, bez naruszania warunku zawartego w art. 36a ust. 4, wykonywać inne zadania w zakresie ochrony danych osobowych, czyli:

• prowadzić szkolenia w zakresie ochrony danych osobowych,

• odbierać oświadczenia od osób, które odbyły szkolenie, o zapoznaniu się z przepisami prawa o ochronie danych osobowych, o zachowaniu tajemnicy przetwarzanych danych i tajemnicy ich zabezpieczeń,

• przygotowywać projekty polityki prywatności oraz polityki cookies,

• przygotowywać projekty klauzul informacyjnych i oświadczeń zgody na przetwarzanie danych osobowych,

• przygotowywać lub opiniować projekty umów powierzenia przetwarzania danych osobowych,

• dokonywać wstępnej oceny spełnienia wymogów ochrony danych przez podmioty, którym administrator danych zamierza powierzyć przetwarzanie danych osobowych,

• zgłaszać do rejestru Generalnego Inspektora Ochrony Danych Osobowych zbiory danych osobowych, o których mowa w art. 27 ust. 1 uodo.

ABI może także wydawać upoważnienia do przetwarzania danych osobowych oraz prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych.

Aby nie doszło do konfliktu interesów, gdy administrator bezpieczeństwa informacji będzie nadzorował samego siebie, jego wywiązywanie się z powyższych zadań może być sprawdzane przez audyt wewnętrzny.