Obowiązek czy uprawnienie pracodawcy?
W świetle art. 36a ust. 1 znowelizowanej ustawy o ochronie danych osobowych administrator danych może powołać administratora bezpieczeństwa informacji.
W przypadku jego niepowołania zadania administratora bezpieczeństwa informacji wykonuje administrator danych, z wyłączeniem sprawozdania opisującego zgodność przetwarzania w zakładzie pracy danych osobowych z przepisami o ochronie danych osobowych.
Zgodnie z wolą ustawodawcy, w przypadku zgłoszenia ABI do GIODO nie ma obowiązku rejestracji zbiorów (art. 43 ust. 1a). Nie dotyczy to tzw. danych sensytywnych.
Kto może być administratorem bezpieczeństwa informacji?
Zgodnie z art. 36a ust. 5 ustawy o ochronie danych osobowych administratorem bezpieczeństwa informacji może być osoba, która:
- ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
- posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
- nie była karana za umyślne przestępstwo.
Wszystkie trzy przesłanki muszą być spełnione łącznie.
Struktura organizacyjna pracodawcy a ABI
Znowelizowana ustawa o ochronie danych osobowych przewiduje, iż administrator danych może powołać zastępców administratora bezpieczeństwa informacji oraz że ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych (art. 36a ust. 6 i ust. 7 ustawy). Zastępcy administratora bezpieczeństwa informacji muszą spełniać wymogi przewidziane dla ABI: pełną zdolność do czynności prawnych oraz pełnię praw publicznych, odpowiednią wiedzę w zakresie ochrony danych osobowych oraz niekaralność za umyślne przestępstwo.
„Niezależność” ABI w zakładzie
Ustawodawca gwarantuje ABI swoistą niezależność. Zasadą jest bowiem, iż w zakresie obowiązków ABI powinny być przewidziane zadania związane z samym administrowaniem bezpieczeństwem informacji. W świetle art. 36a ust. 4 ustawy administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań ABI. Po drugie, administrator danych osobowych ma obowiązek zapewnienia środków i organizacyjnej odrębności administratora bezpieczeństwa informacji niezbędnych do niezależnego wykonywania przez niego zadań.
Obowiązek rejestracyjny
Administrator danych osobowych, który podjął decyzję o powołaniu w swoim zakładzie pracy administratora bezpieczeństwa informacji, musi go zgłosić do GIODO. Powyższy obowiązek wynika bezpośrednio z art. 46b ust. 1 ustawy, zgodnie z którym administrator danych jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania.
Zawartość zgłoszenia rejestracyjnego
Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji powinno zawierać następujące informacje:
- oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany,
- dane administratora bezpieczeństwa informacji (imię i nazwisko, PESEL lub nazwa i numer dokumentu stwierdzającego tożsamość), adres do korespondencji, jeżeli jest inny niż adres administratora danych osobowych,
- data powołania,
- oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków formalnych wskazanych w art. 36a ust. 5 ustawy.