Baza wiedzy

Administrator Bezpieczeństwa Informacji „na etacie” - czyli o możliwości łączenia funkcji ABI z innymi obowiązkami służbowymi [CZĘŚĆ 1]

Autor: Jakub WezgrajData dodania: Kategoria: Administrator Bezpieczeństwa Informacji, Wymogi ustawowe

Nowelizacja ustawy o ochronie danych osobowych z 2015 roku wprowadziła ustawowy katalog zadań Administratora Bezpieczeństwa Informacji jak również zasady odnoszące się do statusu ABI w organizacji. Jedną z wprowadzonych regulacji jest zasada, zgodnie z którą administrator danych może powierzyć Administratorowi Bezpieczeństwa Informacji wykonywanie innych obowiązków tylko wówczas gdy nie naruszy to prawidłowego wykonywania jego ustawowych zadań z zakresu ochrony danych osobowych. Zasada ta w praktyce bardzo mocno ogranicza katalog pracowników, którzy w ramach swojego etatu mogą w sposób faktyczny i skuteczny pełnić również funkcję ABI.

Ustawowe zadania ABI, a inne obowiązki służbowe

Aktualnie obowiązujące przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych stanowią, że w przypadku powołania ABI osoba ta powinna realizować zadania określone w art. 36a ust. 2 ustawy, a ponadto może realizować inne czynności zlecone przez administratora danych tylko wtedy gdy nie będzie to utrudniało realizacji podstawowych (ustawowych) zadań Administratora Bezpieczeństwa Informacji (art. 36a ust. 4 ustawy).

Do ustawowych zadań Administratora Bezpieczeństwa Informacji należy:

1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 Ustawy, oraz przestrzegania zasad w niej określonych,

c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 ustawy.

Szczegółowy tryb i sposób realizacji zadań wskazanych powyżej w pkt 1 lit. a) i b) oraz pkt 2 został określony w aktach wykonawczych do ustawy: Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez Administratora Bezpieczeństwa Informacji oraz Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez Administratora Bezpieczeństwa Informacji rejestru zbiorów danych.

Praktyka pokazuje, że faktyczne zaangażowanie czasowe w realizację ustawowych zadań z zakresu ochrony danych osobowych nie zależy jedynie od poziomu przygotowania merytorycznego osoby pełniącej funkcję Administratora Bezpieczeństwa Informacji, ale również od wielu innych czynników. To z kolei bezpośrednio wpływa na ocenę, czy osoba taka faktycznie może realizować również inne zadania służbowe (niż te związane z ochroną danych osobowych), którymi „obdarza” ją pracodawca. Jest to szczególnie istotne w przypadku osób pełniących funkcję Administratora Bezpieczeństwa Informacji „na część etatu”, które będąc na etacie u danego pracodawcy jednocześnie realizują na co dzień także inne obowiązki.

Warto pamiętać, że regułę wyrażoną w art. 36a ust. 4 ustawy o ochronie danych osobowych wskazującą nadrzędność wykonywania zadań z zakresu ochrony danych osobowych przez osobę powołaną do funkcji ABI należy zawsze rozpatrywać indywidualnie, a to czy realizacja dodatkowych obowiązków faktycznie utrudni wykonywanie ustawowych zadań Administratora Bezpieczeństwa Informacji w pierwszej kolejności powinno zostać oszacowane przez samą osobę pełniącą daną funkcję. To bowiem z jej doświadczeń wynikać będzie najbardziej miarodajny obraz sytuacji.

W niniejszej części artykułu przedstawiam dwie grupy czynników jakie w mojej ocenie należy w szczególności brać pod uwagę przy tego typu ocenie. W kolejnej części artykułu (dostępnej TUTAJ) przedstawiłem kolejne dwie grupy czynników.

Sektor rynku, w którym funkcjonuje organizacja

Należy mieć na względzie, że już chociażby sektor rynku w jakim funkcjonuje konkretna organizacja (administrator danych osobowych), może mieć realny wpływ na zaangażowanie czasowe w realizację ustawowych zadań przez Administratora Bezpieczeństwa Informacji. Wynika to między innymi z faktu, że w wielu sektorach obowiązują szczególne regulacje prawne z zakresu ochrony danych osobowych, które będzie musiał uwzględniać w swojej pracy ABI.

Za przykład mogą posłużyć instytucje rynku finansowego (w szczególności banki),telekomunikacyjnego, ubezpieczeniowego oraz wielu innych w których obowiązują tajemnice sektorowe (bankowa, telekomunikacyjna, ubezpieczeniowa etc.), a którymi często objęte są również dane osobowe
(np. klientów). W przypadku niektórych obszarów rynku dodatkowym zagadnieniem, który ABI musi brać pod uwagę, będą również wytyczne i rekomendacje wybranych organów kontrolnych, takich jak wytyczne KNF obowiązujące w sektorze ubezpieczeniowym czy też rekomendacje tej instytucji obowiązujące banki.

Innym przykładem mogą być placówki lecznicze, w których osoba pełniąca funkcję Administratora Bezpieczeństwa Informacji poza przepisami ogólnymi z zakresu ochrony danych osobowych brać musi pod uwagę wymagania wynikające w szczególności z ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej czy też ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i rzeczniku praw pacjenta, która w sposób szczególny reguluje między innymi zasady udostępniania dokumentacji medycznej zawierającej dane osobowe pacjentów. Nie bez znaczenia w tym sektorze są coraz częściej także wytyczne Ministra Zdrowia w zakresie akredytacji w ochronie zdrowia, wprowadzone na podstawie ustawy z dnia 6 listopada 2008 r. o akredytacji w ochronie zdrowia.

Pełnienie funkcji ABI w podmiotach administracji publicznej lub samorządowej również cechuje się określoną specyfiką. W tego typu podmiotach na zasady przetwarzania i ochrony danych osobowych ma bowiem wpływ szereg dodatkowych regulacji prawnych, odnoszących się do tego w jaki sposób dany podmiot ma realizować określone zadania publiczne. Jako przykład mogą tu posłużyć wojewódzkie i powiatowe urzędy pracy, które przetwarzają ogromne ilości danych osobowych w zakresie realizowanej polityki rynku pracy (zgodnie z wymaganiami ustawy z dnia 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach rynku pracy, a także w ramach unijnych regulacji związanych z aktywizacją rynku pracy i wolnym przepływem pracowników).

Charakter organizacji - struktura i powiązania kapitałowe

Innym elementem, który należy brać pod uwagę jest także struktura organizacyjna administratora danych oraz - o ile administratorem danych jest podmiot należący do grupy kapitałowej - powiązania wewnątrzgrupowe.

W przypadkach gdy administrator danych posiada rozległą strukturę organizacyjną z jednostkami zamiejscowymi, prawidłowe pełnienie funkcji Administratora Bezpieczeństwa Informacji może się wiązać między innymi z potrzebą odbywania podróży służbowych.

Z kolei specyfika funkcjonowania ABI w podmiocie należącym do grupy kapitałowej wymaga zazwyczaj przeprowadzania częstych ustaleń z osobami reprezentującymi inne podmioty w grupie (np. w związku z realizacją projektów obejmujących całą grupę kapitałową, a dotyczących tematyki ochrony danych osobowych – jak wdrożenie korporacyjnego systemu informatycznego, czy też w związku ze świadczeniem przez jeden podmiot z grupy obsługi w wybranym obszarze na rzecz pozostałych,
tzw. shared services np. w obszarze obsługi informatycznej, HR, obsługi płac, księgowości etc.).

W przypadku podmiotów należących do międzynarodowych grup kapitałowych Administrator Bezpieczeństwa Informacji musi najczęściej uwzględniać w swojej pracy również korporacyjne wytyczne obowiązujące w wybranych obszarach działalności całej grupy (jak np. regulacje wewnętrzne typu Standard Operating Procedures – SOP lub Binding Corporate Rules - BCR, w obszarach związanych z rekrutacją i zatrudnieniem, korporacyjnymi kodeksami etyki, raportowaniem o nieprawidłowościach czy w końcu bezpieczeństwem informacyjnym i zasadami przechowywania danych lub związanych z transferem danych pomiędzy podmiotami należącymi do grupy).

Nie bez znaczenia w przypadku funkcjonowania podmiotów w ramach międzynarodowych grup kapitałowych jest również często stosowane rozróżnienie na podległość służbową (w rozumieniu polskiego prawa pracy) i podległość "biznesową". Podczas gdy pracownicy pracujący w Polsce zazwyczaj są formalnie zatrudniani przez lokalną spółkę należącą do danej grupy kapitałowej, bardzo często zdarza się tak, że ich biznesowymi "przełożonymi" są osoby pracujące na co dzień w innych podmiotach należących do tej samej grupy (zlokalizowani w innych krajach). W ten sposób pojawia się funkcja "line managera" oraz międzynarodowych zespołów projektowych. Osoba pełniąca funkcję ABI bardzo często włączana jest do takich zespołów "tematycznych" (np. związanych z projektami w zakresie Data Privacy), a ponadto swoje codzienne obowiązki realizuje w oparciu o ustalenia dokonywane z członkami innych międzynarodowych zespołów projektowych (np. w zakresie HR, obszarów talent solutions i rekrutacji etc.). Tego typu działania wymuszają częste telekonferencje i spotkania, które mają realny wpływ na możliwości czasowe Administratora Bezpieczeństwa Informacji. 

PRZECZYTAJ DRUGĄ CZĘŚĆ ARTYKUŁU DOSTĘPNĄ TUTAJ

Zadaj pytanie  lub  Zadzwoń: 600 677 026

ABIetatochrona danych osobowychpracodawcapracownikustawazadania ABI

Wróć

Do góry