Kto może być administratorem bezpieczeństwa informacji?

Close-up Of Businessperson Inspecting Document On Clipboard With Magnifying Glass

Nowelizacja ustawy o ochronie danych osobowych (uodo) wprowadziła zmiany dotyczące w głównej mierze administratora bezpieczeństwa informacji i jego statusu w organizacji.
Administratorem bezpieczeństwa informacji (ABI) może być osoba, która:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
2) posiada odpowiednią wiedzę z zakresu ochrony danych osobowych,
3) nie była karana za umyślne przestępstwo.
Powyższe wymagania są uregulowane w art. 36a ust.5 ustawy o ochronie danych osobowych (Dz. U. z 2014r. poz. 1882).

O ile dwa pierwsze warunki są jednoznaczne i nie wymagają interpretacji, o tyle wymóg posiadania odpowiedniej wiedzy jest nieostry i wymaga dokonania oceny przez administratora danych osobowych. Odpowiednią wiedzę z zakresu ochrony danych osobowych można zinterpretować jako znajomość przepisów dotyczących ochrony danych osobowych oraz innych ustaw i rozporządzeń sektorowych, gdzie znajdują się przepisy odnoszące się do danych osobowych, posiadanie doświadczenia w praktycznym stosowaniu przepisów oraz znajomość specyfiki funkcjonowania urzędów i przedsiębiorstw, gdzie dochodzi do przetwarzania danych osobowych.

Jak podkreśla dr hab. Paweł Fajgielski, nowelizacja ustawy nie wymaga posiadania wyższego wykształcenia, zatem wymóg posiadania wiedzy z zakresu ochrony danych osobowych nie wiąże się z koniecznością przedstawienia dyplomu, świadectwa czy innego dokumentu potwierdzającego wykształcenie. Fajgielski pozytywnie ocenia brak powyższego wymogu, bowiem wyjaśnia, że wielu obecnych ABI wykonuje ustawowe zadania nie legitymując się wykształceniem wyższym, co nie stanowi przeszkody dla ich prawidłowego wykonywania.

Żeby sprawdzić wiedzę kandydata, administrator danych osobowych może oprzeć się na oświadczeniu kandydata, zadawać mu pytania, może poprosić o dokumenty poświadczające zdobytą wiedzę: certyfikaty z ukończonych kursów i szkoleń czy referencje od byłych pracodawców. Jest to szczególnie istotne, gdyż nowelizacja wymaga przy zgłoszeniu ABI-ego do GIODO oświadczenia administratora danych osobowych o spełnianiu omawianych wymogów oraz wymogu z art. 36a ust. 7 uodo , na co wyraźnie wskazuje art. 46b ust. 2 pkt. 4 uodo.

Określenie ustawowych wymogów dotyczących ABI jest ważne również pod kątem wyznaczania ABI-ego. Wskazanie warunków jakie musi spełnić kandydat na ABI-ego jednoznacznie wyklucza możliwość powołania osoby prawnej jako ABI jednostki organizacyjnej, np. spółki, co z pewnością usunęło wszelkie wątpliwości odnośnie wyznaczania ABI-ego, które były podnoszone w praktyce stosowania ustawy o ochronie danych osobowych.

About Redakcja 244 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.