Kto może zostać powołany na ABI

/appFiles/site_102/images/autor/JHBOqYt0y9DAgvI.jpeg

Autor: Piotr Janiszewski

Dodano: 13 lipca 2015

Najnowsza nowelizacja ustawy o ochronie danych osobowych weszła w życie 1 stycznia 2015 r. Zmiany dotknęły przede wszystkim sposobu pełnienia funkcji Administratora Bezpieczeństwa Informacji (ABI), obowiązku rejestracji zbiorów danych osobowych, transferów danych osobowych do tzw. państw niebezpiecznych, ale również sprecyzowano, kto może pełnić funkcję ABI.

ABI w rozumieniu ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych może zostać tylko i wyłącznie osoba, która:

  • ma pełną zdolność do czynności prawnych;

  • korzysta z pełni praw publicznych;

  • ma odpowiednią wiedzę w zakresie ochrony danych osobowych;

  • nie była karana za umyślne przestępstwo;

  • podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Zyskaj darmowy dostęp do portalu serwiszoz.pl. Gwarantujemy, że znajdziesz na nim odpowiedzi na nurtujące Cię pytania! Nic za to nie zapłacisz. Zarejestruj się. To zajmie tylko 15 sekund!>>

Największe kontrowersje budzą warunki wymienione w punkcie 3 i 5, a więc wymóg posiadania odpowiedniej wiedzy z zakresu ochrony danych osobowych i podlegania bezpośrednio kierownikowi jednostki organizacyjnej.

Przepisy o ochronie danych osobowych nie przewidują systemu certyfikacji ABI. Należy o tym pamiętać, gdyż w praktyce można spotkać się w tym temacie ze sprzecznymi informacjami. Zdarza się, że prywatny podmiot prowadzi „certyfikację ABI”. Nie ma ona jednak wpływu w żadnym wymiarze na obowiązki administratora danych czy podejście GIODO do takiego ABI. Jak zatem spełnić wymóg posiadania odpowiedniej wiedzy z zakresu ochrony danych osobowych? Na tą chwilę jedyna prawidłowa odpowiedź na to pytanie to udział w szkoleniach z zakresu ochrony danych osobowych i praktyka w dziale ochrony danych osobowych / bezpieczeństwa informacji.

Odnośnie drugiego z ww. wymogów, ABI może zostać wyłącznie taka osoba, która podlega bezpośrednio dyrektorowi szpitala. Jeśli zatem chcielibyśmy na ABI wyznaczyć pracownika działu informatyki, to będzie to niemożliwe, jeśli przełożonym takiej osoby będzie dyrektor działu informatyki. Pomiędzy ABI a dyrektorem szpitala powinna istnieć bezpośrednia podległość. Oczywiście dyrektor działu informatyki podległy bezpośrednio dyrektorowi szpitala już jak najbardziej będzie spełniał omawiany warunek.

O spełnieniu wszystkich 5 wymogów administrator danych informuje GIODO w momencie zgłoszenia ABI do rejestru ABI prowadzonego przez GIODO (część C zgłoszenia powołania ABI do rejestracji GIODO – załącznika do rozporządzenia Ministra Administracji i Cyfryzacji w sprawie wzorów zgłoszeń powołania i odwołania ABI). Zatem okazuje się, że to administrator danych dokonuje oceny i odpowiada za to, czy powołany przez niego ABI spełnia wymogi ustawowe do pełnienia tej funkcji.

Co jeśli dyrektor szpitala powoła ABI, ale nie zgłosi go do GIODO? Zgodnie z przepisami będzie to taka sama sytuacja, jak brak powołania ABI. Mówiąc w skrócie, nie będzie to ABI w rozumieniu Ustawy. W konsekwencji, taki ABI nie będzie mógł korzystać z uprawnień i przywilejów przewidzianych przez Ustawę. W praktyce może to również oznaczać, chociaż do końca nie wiadomo jeszcze jak ukształtuje się praktyka, większe ryzyko kontroli GIODO.

Proszę pamiętać, że zadania ABI orbitują wokół zagadnień informatycznych i prawnych, zatem praktyczna rada jest taka, by osoba powołana do pełnienia funkcji ABI, w miarę możliwości, potrafiła odnaleźć się w tych dwóch tematach. Administrator danych może także skorzystać z pomocy wyspecjalizowanych podmiotów, które świadczą usługi outsourcingu ABI. Przepisy ustawy o ochronie danych osobowych i GIODO jak najbardziej akceptują takie rozwiązanie.

Autor: Piotr Janiszewski ochrona danych w placówce medycznej

Nie masz jeszcze konta?

Zamów pełny dostęp do portalu


SPRAWDŹ OFERTĘ

Chcesz przetestować nasze usługi?

Załóż konto testowe na 24 godziny


ZAŁÓŻ KONTO TESTOWE NA 24 GODZINY

Pełny dostęp do portalu to:

  • Aktualność tematów
  • Szeroki zasób informacji eksperckich
  • Porady ekspertów za pośrednictwem e-maila
  • Gotowe rozwiązania najistotniejszych problemów
Sprawdź »