Czy warto powołać Administratora Bezpieczeństwa Informacji?

Czy warto powołać Administratora Bezpieczeństwa Informacji? Pixabay.com

Nowelizacja ustawy o ochronie danych osobowych, która weszła w życie 1 stycznia 2015 r. w znaczący sposób przyczyniła się do określenia pozycji i znaczenia administratora bezpieczeństwa informacji (ABI) w jednostce organizacyjnej.

Wielu administratorów danych osobowych zastanawia się, czy warto powołać administratora bezpieczeństwa informacji? Nowelizacja ustawy o ochronie danych osobowych, która weszła w życie 1 stycznia 2015 r. w znaczący sposób przyczyniła się do określenia pozycji i znaczenia administratora bezpieczeństwa informacji (ABI) w jednostce organizacyjnej. W poprzednim stanie prawnym sposób pełnienia funkcji ABI nie był uregulowany, a wymóg jego powoływania wynikał z ogólnych zasad przetwarzania danych osobowych.

Zmiana regulacji prawnych uchyliła obowiązek wyznaczenia administratora bezpieczeństwa informacji. Wprowadziła także pewne przywileje dla administratorów danych, którzy zdecydują się na powołanie ABI.

W niniejszym artykule przybliżymy najważniejsze zalety i wady powołania ABI, aby można było odpowiedzieć sobie na pytanie – czy warto powoływać administratora bezpieczeństwa informacji?

Podział obowiązków

Zgodnie z obecnie obowiązującymi przepisami prawa administrator danych, który nie powoła ABI-ego sam musi sprawować kontrolę nad wszystkimi procesami związanymi z ochroną danych osobowych. Często osoby reprezentujące ADO, np. prezes spółki, burmistrz, czy też dyrektor MOPS delegują zadania związane z nadzorem na swoich pracowników. Wynika to z tego, iż trudno sobie wyobrazić, aby osoby te osobiście zajmowały się przygotowaniem dokumentacji, prowadzeniem rejestrów zbiorów, czy nadawaniem uprawnień do przetwarzania danych osobowych. Niestety takie rozwiązanie nie jest dobre. Praktyka pokazuje, iż często pracownicy, którym wydelegowano takie zadania, robią to niepoprawnie lub wcale. Administrator danych może uniknąć tego problemu, wyznaczając osobę, która posiada odpowiednią wiedzę w zakresie ochrony danych osobowych – administratora bezpieczeństwa informacji, powierzając mu obowiązki wynikające z ustawy o ochronie danych osobowych.

Zmiana struktury organizacyjnej

Powołanie administratora bezpieczeństwa informacji będzie mogło jednak wiązać się ze zmianą struktury organizacyjnej jednostki. Wynika to z faktu, iż przepisy nakazują administratorowi danych zapewnić środki oraz organizacyjną odrębność ABI-ego, w celu zapewnienia niezależnego wykonywania przez niego obowiązków. W obecnym stanie prawnym administrator bezpieczeństwa informacji podlegać ma bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Zapewnienie autonomiczności ABI-ego wiązać się będzie z wyodrębnieniem jego stanowiska wewnątrz struktury organizacyjnej jednostki, w celu uniezależnienia go od przełożonych oraz umożliwienie podległości wyłącznie kierownikowi jednostki, np. zarządowi.

Dodatkowe koszty

Powołanie ABI-ego może także wiązać się z ponoszeniem przez ADO dodatkowych kosztów związanych z rozszerzeniem etatu pracownika, który będzie pełnił funkcję ABI-ego oraz jego ewentualnymi szkoleniami, czy też wynagrodzeniem dla zewnętrznego specjalisty, w przypadku tzw. outsourcingu funkcji ABI.

Większe zaufanie podmiotów względem ADO

Fakt posiadania administratora bezpieczeństwa informacji niewątpliwie wzmacnia zaufanie innych podmiotów względem administratora danych. Rolą ABI-ego jest między innymi podniesienie poziomu bezpieczeństwa danych. Rzetelny administrator bezpieczeństwa informacji na bieżąco będzie monitorował procesy związane z przetwarzaniem danych osobowych klientów, co może dać sygnał dla otoczenia, iż ochrona danych osobowych w jednostce organizacyjnej jest bardzo ważna.

Zwolnienie z rejestracji zbiorów

Do zalet powołania administratora bezpieczeństwa informacji należy zaliczyć także brak konieczności zgłaszania zbiorów do rejestracji GIODO. Zwolnieniem objęte są zbiory danych osobowych przetwarzanych w systemach informatycznych oraz zbiorach papierowych, które nie zawierają danych szczególnie chronionych. Jednak zanim administrator danych będzie mógł skorzystać z wyżej wymienionego przywileju, musi wcześniej zgłosić powołanego ABI-ego do rejestru GIODO. Niestety w zamian ABI zobowiązany będzie do prowadzenia dodatkowego, jawnego rejestru zbiorów danych osobowych, którego struktura została określona w rozporządzeniu MAiC z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych.

Ujawnienie danych w rejestrze GIODO

Jednym z obowiązków ADO jest zgłoszenie powołania ABI-ego do rejestru GIODO. Dla osoby, która będzie pełniła funkcję ABI-ego będzie się to wiązało z ujawnieniem jej danych w ogólnopolskim rejestrze ABI-ch prowadzonym przez GIODO. W rejestrze możemy między innymi sprawdzić, kto jest administratorem bezpieczeństwa informacji w danej jednostce organizacyjnej.

Mniejsze ryzyko kontroli GIODO

Powołanie administratora bezpieczeństwa informacji może wiązać się z dość istotną zaletą z punktu widzenia ADO – zmniejszeniem ryzyka kontroli GIODO. Znowelizowane przepisy wprowadziły nową kompetencję GIODO – zwrócenie się do podmiotu przetwarzającego dane, który powołał i zgłosić ABI-ego do rejestru, w celu przeprowadzenia czynności sprawdzających zgodność procesu przetwarzania danych osobowych z przepisami. Administrator bezpieczeństwa informacji staje się niejako „wewnętrznym kontrolerem GIODO”. Wykonywanie czynności kontrolnych przez ABI niewątpliwie może być bardziej korzystne, w porównaniu z kontrolą przeprowadzoną przez inspektorów GIODO.

Czy warto zatem powołać administratora bezpieczeństwa informacji?

Każdy administrator danych osobowych powinien sam sobie odpowiedzieć na to pytanie. W mojej ocenie warto. Obecnie powołanie ABI-ego jest uprawnieniem a nie obowiązkiem. Decyzja czy powołać ABI-ego czy też nie, w zasadzie jest tylko pozorna. Przepisy jasno określają obowiązki związane z ochroną danych osobowych. Odpowiedzialność za ich realizację ponosi administrator danych. Nawet jeżeli są realizowane  przez jego pracownika w ramach delegacji zadań, z czego ADO bardzo często korzysta. W takim wypadku warto powierzyć pracownikowi funkcję ABI lub rozważyć zlecenie tej funkcji specjaliście z poza jednostki organizacyjnej.

Powołanie ABI-ego wiąże się z wieloma korzyściami, ale i licznymi niedogodnościami. Należy zwrócić uwagę, iż wykwalifikowana osoba, która zajmie się bieżącym nadzorem procesów związanymi z ochroną danych osobowych może uchronić administratora danych od odpowiedzialności prawno-karnej, poprzez zminimalizowanie ryzyka wystąpienia wszelkich naruszeń przepisów w zakresie ochrony danych osobowych. Inwestycja w ABI-ego jest dobrą inwestycją, a koszty jego powołania mogą bardzo szybko się zwrócić.

Proxymo Sp. z o.o. Robert Zgarda