fbpx
Zaznacz stronę

Wymagania związane z pełnieniem funkcji Administratora Bezpieczeństwa Informacji (ABI) zostały określone w ustawie o ochronie danych osobowych. Kto zatem może pełnić tę funkcję? Są cztery główne warunki, jakie należy spełnić.

Zacznę od wymogów formalno-prawnych, ponieważ te nie ulegają wątpliwości:

  1. Osoba ta musi mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych.
  2. Osoba ta nie może być karana za umyślne przestępstwo.
  3. Osoba ta powinna posiadać odpowiednią wiedzę.

Co to oznacza, że ABI ma posiadać odpowiednią wiedzę?

I tu robi się trudniej. Co to oznacza, że ABI ma posiadać odpowiednią wiedzę? Czy musi ukończyć jakiś kurs albo zdobyć konkretny certyfikat? Otóż, nie. Winien mieć wiedzę i na tym koniec. Przepisy tu niczego nie narzucają. Kwestia posiadania wiedzy przez osobę wyznaczoną do tej roli ma być oceniana przez administratora danych, który go powołał. W praktyce więc, właściciel lub organ reprezentujący Spółkę (np. zarząd) sam musi podjąć decyzję co do tego, czy kwalifikacje danej osoby są wystarczające do pełnienia tej roli. Działając we własnym interesie administrator danych – czyli ten właściciel/spółka – powinien co do zasady powołać osobę, która rzeczywiście ma taką wiedzę – nie tylko prawną – ale i praktyczną. Ponadto, wiedza biznesowa i rozumienie działania kluczowych procesów zachodzących w firmie także pomoże w pełnieniu tej funkcji.

Oczywiście, szkolenia, studia podyplomowe i inne drogi zdobywania wiedzy mogą być pomocne i nie wyobrażam sobie, aby ktokolwiek po przeczytaniu kilku stron ustawy miał pełnić samodzielnie tę funkcję. W zakresie wiedzy, warto też wziąć pod uwagę jakiego rodzaju działalność się prowadzi i pod tym kątem ocenić jak duży zakres fachowej wiedzy będzie potrzebny przy uregulowaniu kwestii przetwarzania danych.

Ostatni warunek, który w praktyce nadal jest często pomijany to:

4. Osoba ta odpowiada bezpośrednio przed administratorem danych. 

Dlaczego to takie ważne?

Z zadań ABI opisanych w ustawie wynika rola nadzorcza, nawet niekiedy nad samym administratorem danych. 

Ponadto, ABI musi mieć zapewnione odpowiednie środki i organizacyjną odrębność, niezbędne do niezależnego wykonywania przez niego zadań. ABI musi mieć realną możliwość sprawowania funkcji, raportowania o stwierdzonych nieprawidłowościach i naruszeniach. 

Zgłaszając ABI do jawnego rejestru GIODO, we wniosku organ reprezentujący administratora musi obowiązkowo zaznaczyć spełnienie wszystkich czterech warunków. Nieodzownym wymogiem jest więc, aby ABI odpowiadał tylko przed właścicielem, zarządem lub kierownikiem jednostki. Bez tego, GIODO nie zarejestruje ABI.

Warto mieć na uwadze, że wymóg niezależności i organizacyjnej odrębności uniemożliwia sprawowanie funkcji ABI przez osoby kierujące podmiotem, będącym administratorem danych. W praktyce niedozwolone jest więc powołanie na ABI takich osób, jak np. dyrektor szkoły, wójt, prezes lub członek zarządu spółki. Zdaniem GIODO przyjęcie odmiennego stanowiska prowadziłoby do sytuacji, w których ABI nadzoruje i kontroluje samego siebie. Administrator danych może jednak powołać na ABI prokurenta, jeżeli będzie możliwość zapewnienia jego organizacyjnej odrębności, a powierzenie tej roli nie wpłynie negatywnie na prawidłowe wykonywanie zadań.

 

 

A czy Twoja firma jest już gotowa na RODO? 

Zapoznaj się ze szczegółami mojego autorskiego kursu online, który dostarczy Ci nie tylko niezbędnej wiedzy w pigułce, ale i zapewni wszystkie wzory wymaganych dokumentów, polityk i instrukcji!

CHCĘ POZNAĆ SZCZEGÓŁY KURSU!