Ochrona danych osobowych w firmie – Administrator Bezpieczeństwa Informacji – plusy i minusy jego powołania

Maciej Bednarek        17 sierpnia 2015        3 komentarze

Ostatnio po raz kolejny przygotowywałem kompleksową dokumentację dotyczącą ochrony danych osobowych w pewnej firmie. Ochrona danych osobowych to ważny temat, choć mam wrażenie, że wciąż u wielu przedsiębiorców pozostaje on niedoceniany i traktowany jest po macoszemu. Warto zadbać o ochronę danych osobowych w firmie – nie tylko dla formalnego wdrażania przepisów powszechnie obowiązujących – ale również dla podwyższania standardu prowadzenia działalności gospodarczej.

data protection photo

Mój Klient nie miał do tej pory żadnych procedur ochrony danych osobowych, więc w pierwszej kolejności musiałem ustalić potrzeby jego firmy, a następnie przystąpić do przygotowania procedur, aby istniejące braki usunąć. W trakcie realizacji zadania otrzymałem pytanie, czy należy i czy warto powołać w firmie Administratora Bezpieczeństwa Informacji (w skrócie ABI).

Zanim przedstawię Ci moją odpowiedź na tak postawione pytanie, chciałbym przybliżyć w telegraficznym skrócie kim w ogóle jest ABI i dlaczego kwestia jego powołania stała się ostatnio głośna.

Generalnie w firmie odpowiedzialność za ochronę danych osobowych ponosi Administrator Danych Osobowych (w skrócie ADO), czyli w praktyce właściciel firmy, prezes spółki, dyrektor szkoły itp. Do końca 2014 roku ADO mógł powoływać ABI, który częściowo realizował jego zadania. Celem było wsparcie ADO. Brakowało jednak szczegółowych przepisów dotyczących tego, co tak naprawdę może ABI.

Wszystko zmieniło się 1.01.2015 r., kiedy weszła w życie nowelizacja ustawy o ochronie danych osobowych, wprowadzająca liczne zmiany dotyczące ABI oraz obowiązku rejestrowania zbiorów danych osobowych.

Od teraz firmy stoją przed następującym dylematempowoływać ABI czy też zachować status quo. Jeśli w danej jednostce dojdzie do powołania ABI, to nie będzie potrzeby rejestrowania zbiorów danych osobowych u Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Większość zbiorów prowadzić bowiem może jawnie sam ABI a nie GIODO. Jeśli jednak nie dojdzie do powołania ABI, to należy pamiętać, że ADO jest zobowiązany do zarejestrowania zbiorów danych osobowych u GIODO. Tak czy inaczej, pewne obowiązki zrealizować należy.

Jakie są zatem podstawowe plusy i minusy powołania ABI w firmie?

Minusy:

  • konieczność weryfikacji należytej ochrony danych osobowych oraz dokonywania sprawdzeń oraz przygotowania sprawozdań,
  • odpowiedzialność prawna ABI.

Plusy:

  • co do zasady – brak obowiązku rejestrowania u GIODO zbiorów danych osobowych,
  • wsparcie merytoryczne dla ADO przy wypełnianiu postanowień ustawy o ochronie danych osobowych,
  • w przypadku zaistnienia ewentualnej kontroli GIODO – ogranicza się ona do kontroli przeprowadzonej przez samego ABI,
  • wypełnienie obowiązków przygotowywanego unijnego rozporządzenia dotyczącego ochrony danych osobowych, które uwypukla rolę ABI w firmie, a które wejdzie w życie do 2018 roku (przynajmniej taki termin należy założyć).

Jakie rozwiązanie wybrać? Nie ma jednej odpowiedzi, należy to rozpatrywać indywidualnie. W następnym wpisie, który opublikuję za kilka dni, przybliżę temat, starając się pomóc Ci wybrać właściwe rozwiązanie dla Twojej firmy.

{ 3 komentarze… przeczytaj je poniżej albo dodaj swój }

Meechan Wrzesień 15, 2015 o 09:34

Czy ABI może być właściciel firmy np. w jednoosobowej d.g. albo spółce? To musi być osoba z zewnątrz, czy może być pracownik firmy? No i czy musi mieć jakieś odpowiednie kwalifikacje? Dzięki za odpowiedzi.

Odpowiedz

Maciej Bednarek Wrzesień 15, 2015 o 17:25

Czy rolę Administratora Bezpieczeństwa Informacji (ABI) może pełnić samodzielnie Administrator Danych Osobowych (ADO), np. osoba prowadząca jednoosobową działalność gospodarczą? Według mnie nie ma takiej możliwości. Istota regulacji sprowadza się do tego, że ABI ma być osobą odrębną od ADO. Przepisy mówią też wprost o tym, jakie obowiązki ma ADO, gdy w firmie nie ma ABI.
Jeśli chodzi o kolejną kwestię. Choć przepisy mówią o tym, że ABI powinien być „niezależny i organizacyjnie odrębny” od swojego „mocodawcy”, to w praktyce nie jest wykluczone, że ABI jest pracownikiem firmy. Często tak właśnie jest. Sugerowane jest jednak, aby była to osoba spoza firmy, ale dopuszczalnym jest, aby rolę taką pełniła osoba ściślej związana z firmą.
Natomiast w kwestii wymogów, jakie musi spełniać ABI, to są one następujące: pełna zdolność do czynności prawnych, pełnia praw publicznych, posiadanie odpowiedniej wiedzy z zakresu ochrony danych osobowych oraz nie była karana za przestępstwo umyślne. O tym, czy ABI spełnia wymogi, decyduje Administrator Danych Osobowych.

Odpowiedz

Meechan Wrzesień 16, 2015 o 20:56

Dzięki za wyczerpującą odpowiedź. Czekam na nowe wpisy o konstruowaniu umów 😉

Odpowiedz

Dodaj komentarz

Poprzedni wpis:

Następny wpis: