Zatrudnienie Administratora Bezpieczeństwa informacji a nowe przepisy

priv

Należy wyraźnie podkreślić, że znowelizowana ustawa nie nakłada obowiązku zatrudnienia administratora bezpieczeństwa informacji, zwanego w skrócie ABI, a jedynie daje taką możliwość, precyzując jednocześnie, że w przypadku nie skorzystania z tego rozwiązania, to na administratorze danych spoczywać będą wszystkie obowiązki związane z ochroną bezpieczeństwa danych osobowych w kierowanej przez niego instytucji.

Jakie są zatem argumenty za i przeciw zaangażowaniu administratora bezpieczeństwa informacji? Spróbujmy prześledzić tę specyficzną, ustawową „ofertę”. W pierwszej kolejności warto zwrócić uwagę, że według znowelizowanej ustawy o ochronie danych osobowych, administrator nie wyznacza, a mianuje administratora bezpieczeństwa informacji. Ta zmiana ma podkreślać znaczenie nowego stanowiska dla ustawodawcy. Ponadto, osoba zajmująca to stanowisko musi zostać zgłoszona do stosownego rejestru administratorów bezpieczeństwa informacji prowadzonego przez Głównego Inspektora Ochrony Danych Osobowych w ciągu 30 dni od daty jego powołania.

Rejestr ABI jest jawny i ogólnokrajowy, zatem zawsze można sprawdzić, czy osoba pilnująca bezpieczeństwa danych w określonej instytucji jest tam wpisana. Co ważne, twórcy ustawy co prawda podkreślili, że ABI musi posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych, ale nie sprecyzowali konkretnych wymagań, koniecznych uprawnień, czy certyfikatów (sam sprawdź).

Argumenty „za”

Podstawową korzyścią wynikającą z powołania ABI jest fakt, że zdejmuje on z administratora danych szereg obowiązków. Po pierwsze prowadzi rejestr zbiorów danych, które są przetwarzane przez administratora danych. Rejestr ten nie musi być w takim przypadku zgłaszany do GIODO, co również jest korzyścią dla administratora danych. Po drugie, ABI zapewnia przestrzeganie ustawy o ochronie danych osobowych w instytucji. Zatem to do nim spoczywają zadania związane z kontrolą prawidłowości przetwarzania danych osobowych, przygotowywaniem i aktualizacją procedur, oraz pilnowaniem, aby wszystkie osoby upoważnione do przetwarzania danych osobowych znały przepisy dotyczące ochrony danych osobowych. W dużych instytucjach realizacja tych zadań wymaga znacznego zaangażowania czasowego i sam administrator danych, którym w myśl ustawy jest dyrektor instytucji, nie jest w stanie ich realizować. Wówczas powołanie administratora bezpieczeństwa informacji, czy nawet stworzenie odrębnej komórki organizacyjnej kierowanej przez ABI, wydaje się niezbędne. Warto tutaj zwrócić uwagę, że takie instytucje już wcześniej wyznaczały administratorów bezpieczeństwa informacji dla prawidłowej ochrony przetwarzanych w nich danych osobowych. Nowelizacja ustawy nie zmusiła ich zatem do stworzenia nowego stanowiska, a jedynie uregulowała kwestie związane z zatrudnieniem i zakresem obowiązków już funkcjonujących w instytucji administratorów.

Argumenty „przeciw”

Sprawa wygląda nieco inaczej w małych, kilkunastoosobowych instytucjach. Tutaj zatrudnienie administratora bezpieczeństwa informacji byłoby jednoznaczne z istotnym wzrostem kosztów ochrony przetwarzanych danych osobowych. I właśnie ten argument wysuwany jest najczęściej jako argument przeciw zatrudnieniu ABI. W takiej sytuacji administrator danych może zrezygnować z zatrudnienia ABI i sam realizować jego zadania. Należy jedynie pamiętać, że w takiej sytuacji administrator danych zgłasza do GIODO prowadzone w jego instytucji rejestry. Przy niewielkiej liczbie zatrudnionych i niewielkiej ilości rejestrów danych zadania te nie stanowią dużego obciążenia czasowego i mogą być spokojnie realizowane bezpośrednio przez administratora danych.

Rozwiązaniem pośrednim, pozwalającym z jednej strony na zdjęcie zadań z administratora danych, a z drugiej na zminimalizowanie kosztów związanych z ochroną przetwarzanych danych osobowych, może być coraz bardziej popularny outsourcing tego typu usług. Rozwiązanie to można zatem traktować jako swego rodzaju kompromis pomiędzy zwolennikami, a przeciwnikami powoływania ABI.
Jednak bez względu na wybrane rozwiązanie nie należy zapominać, że celem nadrzędnym powinno być bezpieczeństwo i prawidłowa ochrona przetwarzanych danych osobowych, a wybór funkcjonowania instytucji: z ABI, czy bez, powinien być temu celowi podporządkowany.