Obowiązki administratora bezpieczeństwa informacji w 2018 roku - RODO

Administrator bezpieczeństwa informacji jest osobą odpowiedzialną za realizację art. 36a ust. 2 u.o.d.o., w tym zarówno za kompleksowe zapewnianie przestrzegania przepisów o ochronie danych osobowych, jak i wykonanie wszystkich szczegółowych zadań wymienionych w tym przepisie i służących osiągnięciu tego celu. Zapewnienie przestrzegania przepisów o ochronie danych osobowych i zgodności działania z nimi w danej organizacji wymaga uwzględnienia nie tylko przepisów ustawy o ochronie danych osobowych i wydanych do niej rozporządzeń wykonawczych, ale również innych powszechnie obowiązujących aktów prawnych, w tym przepisów sektorowych, regulujących działalność w określonych dziedzinach, a dotyczących przetwarzania i ochrony danych osobowych (np. w ochronie zdrowia, ubezpieczeniach, bankowości, szkolnictwie, pomocy społecznej). Przepisy ustawy o ochronie danych osobowych niejednokrotnie odsyłają do innych przepisów prawa, a art. 5 u.o.d.o. stanowi wprost, że jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z tej ustawy, stosuje się przepisy tych ustaw.

Zadania ABI w zakresie sprawowania wewnętrznej kontroli przestrzegania przepisów o ochronie danych osobowych można postrzegać szeroko, jako całościowe sprawdzanie wykonywania obowiązków ochrony danych osobowych po to, by podejmować działania niezbędne w celu zapobieżenia nieprawidłowościom, a w razie, gdy wystąpią - usuwania ich skutków i eliminowania przyczyn.

Niewątpliwie dzięki powołaniu ABI administrator danych może zapewnić sobie również kompetentne wsparcie w realizacji obowiązków, takich jak obowiązek zgłoszenia zbiorów do rejestracji czy realizowanie uprawnień podmiotów danych, wynikających z przepisów art. 32-35 ustawy o ochronie danych osobowych.

Administrator danych, który powołał ABI i zgłosił go do rejestracji GIODO, zwolniony jest z obowiązku zgłaszania zbiorów danych do rejestracji. Zgłoszeniu podlegają jednak w dalszym ciągu zbiory zawierające dane wrażliwe, o których mowa w art. 27 ust. 1 u.o.d.o, to jest dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. ABI, z uwagi na posiadaną wiedzę w zakresie ochrony danych osobowych, może wspierać ADO w zgłaszaniu zbiorów danych obejmujących dane wrażliwe do rejestracji. Warto przy tym bowiem zaznaczyć, że to ADO zgłasza zbiór, zatem to on jest uprawniony do podpisania się pod zgłoszeniem zbioru do rejestracji. ABI takie uprawnienie miałby tylko w przypadku posiadania do tego stosowanego umocowania, np. pełnomocnictwa lub prokury.

ABI może udzielać ADO również wsparcia we wdrożeniu odpowiedniego poziomu bezpieczeństwa systemu informatycznego, odpowiednio na poziomie podstawowym, podwyższonym bądź wysokim, zgodnie z rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz. 1024).