Nareszcie wiemy, czym zajmuje się administrator bezpieczeństwa informacji

W odniesieniu do podmiotów leczniczych, w praktyce powołanie ABI było szczególnie istotne w dużych placówkach medycznych. W ten sposób kierownik takiej placówki, będący administratorem danych, przekazywał konieczną część swoich uprawnień ABI, co pozwalało mu na skupienie uwagi na innych obowiązkach. 

Niestety, przepisy dotyczące ABI były niezwykle skąpe. Praktycznie, poza art. 36 ust. 3 ustawy, nie istniały jakiekolwiek regulacje dotyczące zasad działania ABI, a zwłaszcza jego kompetencji. Fakt ten stanowił poważny problem, zwłaszcza już na etapie powoływania ABI, gdzie pojawiała się masa pytań, na które próżno było szukać odpowiedzi w przepisach.

Sytuacja jednak uległa znaczącej zmianie 1 stycznia 2015 r., kiedy weszła w życie ostatnia nowelizacja ustawy o ochronie danych osobowych. W nowelizacji ustawodawca poświęcił sporo uwagi funkcjonowaniu ABI. 

Po pierwsze, w dodanym art. 36a i jego ust. 5 wskazano, kto może być ABI. 

Zgodnie z tą regulacją, ABI może być osoba, która:

1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,

2. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,

3. nie była karana za umyślne przestępstwo,

Po drugie, w ust. 2 tegoż samego artykułu, wskazano wyraźnie zadania, które ma obowiązek wypełniać ABI:

1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

• sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

• nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposoby przetwarzania danych i środki zapewniające ich ochronę, oraz przestrzegania zasad w niej określonych,

• zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. To jednak, nie wyklucza możliwości powierzenia ABI przez administratora danych innych obowiązków, o ile nie będą one kolidowały z tymi wymienionymi powyżej, albowiem mają one kluczowy charakter. Zgodnie z nowymi regulacjami, administrator danych może powołać zastępców ABI. Wątpliwości rozwiane zostały, również, w zakresie podległości służbowej ABI, albowiem jak wynika z art. 36a ust. 7 ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych,

2. prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych.

Ustawodawca wprowadził też bardzo ciekawe i praktyczne rozwiązanie w zakresie ewentualnych kontroli prowadzonych w ramach danej jednostki organizacyjnej przez GIODO. Zgodnie bowiem z kolejnym nowym przepisem, art. 19b ustawy, GIODO może zwrócić się do ABI o podjęcie czynności sprawdzających w zakresie przestrzegania w konkretnej placówce przepisów dotyczących ochrony danych osobowych. 

Po sprawdzeniu ABI będzie przygotowywał sprawozdanie, które za pośrednictwem administratora danych, trafi do GIODO. Na tej podstawie, GIODO będzie podejmował decyzję, czy pomimo sprawozdania rozpoczyna kontrolę, czy też nie, albowiem nawet skorzystanie z pomocy ABI w żadnym wypadku nie wyłącza uprawnień kontrolnych GIODO.

Wprowadzone do ustawy nowe rozwiązania dotyczące ABI, stanowią krok w dobrym kierunku. Nie należy jednak zapominać o obowiązkach, które od 1 stycznia 2015 r. nałożył ustawodawca na jednostki, które będą powoływać ABI. 

Obecnie, każda czynność związana z powołaniem lub odwołaniem ABI musi być zgłoszona do GIODO, który prowadzi jawny rejestr ABI. Administrator danych ma każdorazowo 30 dni od dnia powołania lub odwołania ABI, na jego zgłoszenie do rejestru. 

Dodatkowo, każda zmiana informacji dotycząca zarejestrowanego już ABI, także, musi być zgłaszana w terminie 14 dni od zaistnienia zmiany. Na te regulacje zwracam szczególną uwagę czytelnikom, którzy już mają w ramach swoich placówek medycznych osobę funkcjonującą na stanowisku ABI. 

W odniesieniu do takich podmiotów, ustawodawca wprowadził okres przejściowy na dostosowanie się do nowych regulacji i zgłoszenie ABI do rejestru. Okres ten kończy się 30 czerwca 2015 r.