Kto może zostać powołany na ABI

ABI w rozumieniu ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych może zostać tylko i wyłącznie osoba, która:

• ma pełną zdolność do czynności prawnych;

• korzysta z pełni praw publicznych;

• ma odpowiednią wiedzę w zakresie ochrony danych osobowych;

• nie była karana za umyślne przestępstwo;

• podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Zyskaj darmowy dostęp do portalu serwiszoz.pl. Gwarantujemy, że znajdziesz na nim odpowiedzi na nurtujące Cię pytania! Nic za to nie zapłacisz. Zarejestruj się. To zajmie tylko 15 sekund!>>

Największe kontrowersje budzą warunki wymienione w punkcie 3 i 5, a więc wymóg posiadania odpowiedniej wiedzy z zakresu ochrony danych osobowych i podlegania bezpośrednio kierownikowi jednostki organizacyjnej.

Przepisy o ochronie danych osobowych nie przewidują systemu certyfikacji ABI. Należy o tym pamiętać, gdyż w praktyce można spotkać się w tym temacie ze sprzecznymi informacjami. Zdarza się, że prywatny podmiot prowadzi „certyfikację ABI”. Nie ma ona jednak wpływu w żadnym wymiarze na obowiązki administratora danych czy podejście GIODO do takiego ABI. Jak zatem spełnić wymóg posiadania odpowiedniej wiedzy z zakresu ochrony danych osobowych? Na tą chwilę jedyna prawidłowa odpowiedź na to pytanie to udział w szkoleniach z zakresu ochrony danych osobowych i praktyka w dziale ochrony danych osobowych / bezpieczeństwa informacji.

Odnośnie drugiego z ww. wymogów, ABI może zostać wyłącznie taka osoba, która podlega bezpośrednio dyrektorowi szpitala. Jeśli zatem chcielibyśmy na ABI wyznaczyć pracownika działu informatyki, to będzie to niemożliwe, jeśli przełożonym takiej osoby będzie dyrektor działu informatyki. Pomiędzy ABI a dyrektorem szpitala powinna istnieć bezpośrednia podległość. Oczywiście dyrektor działu informatyki podległy bezpośrednio dyrektorowi szpitala już jak najbardziej będzie spełniał omawiany warunek.

O spełnieniu wszystkich 5 wymogów administrator danych informuje GIODO w momencie zgłoszenia ABI do rejestru ABI prowadzonego przez GIODO (część C zgłoszenia powołania ABI do rejestracji GIODO – załącznika do rozporządzenia Ministra Administracji i Cyfryzacji w sprawie wzorów zgłoszeń powołania i odwołania ABI). Zatem okazuje się, że to administrator danych dokonuje oceny i odpowiada za to, czy powołany przez niego ABI spełnia wymogi ustawowe do pełnienia tej funkcji.

Co jeśli dyrektor szpitala powoła ABI, ale nie zgłosi go do GIODO? Zgodnie z przepisami będzie to taka sama sytuacja, jak brak powołania ABI. Mówiąc w skrócie, nie będzie to ABI w rozumieniu Ustawy. W konsekwencji, taki ABI nie będzie mógł korzystać z uprawnień i przywilejów przewidzianych przez Ustawę. W praktyce może to również oznaczać, chociaż do końca nie wiadomo jeszcze jak ukształtuje się praktyka, większe ryzyko kontroli GIODO.

Proszę pamiętać, że zadania ABI orbitują wokół zagadnień informatycznych i prawnych, zatem praktyczna rada jest taka, by osoba powołana do pełnienia funkcji ABI, w miarę możliwości, potrafiła odnaleźć się w tych dwóch tematach. Administrator danych może także skorzystać z pomocy wyspecjalizowanych podmiotów, które świadczą usługi outsourcingu ABI. Przepisy ustawy o ochronie danych osobowych i GIODO jak najbardziej akceptują takie rozwiązanie.