Administrator Bezpieczeństwa Informacji „na etacie” - czyli o możliwości łączenia funkcji ABI z innymi obowiązkami służbowymi [CZĘŚĆ 1]
Autor: Jakub WezgrajData dodania: Kategoria: Administrator Bezpieczeństwa Informacji, Wymogi ustawowe
Nowelizacja ustawy o ochronie danych osobowych z 2015 roku wprowadziła ustawowy katalog zadań Administratora Bezpieczeństwa Informacji jak również zasady odnoszące się do statusu ABI w organizacji. Jedną z wprowadzonych regulacji jest zasada, zgodnie z którą administrator danych może powierzyć Administratorowi Bezpieczeństwa Informacji wykonywanie innych obowiązków tylko wówczas gdy nie naruszy to prawidłowego wykonywania jego ustawowych zadań z zakresu ochrony danych osobowych. Zasada ta w praktyce bardzo mocno ogranicza katalog pracowników, którzy w ramach swojego etatu mogą w sposób faktyczny i skuteczny pełnić również funkcję ABI.
Ustawowe zadania ABI, a inne obowiązki służbowe
Aktualnie obowiązujące przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych stanowią, że w przypadku powołania ABI osoba ta powinna realizować zadania określone w art. 36a ust. 2 ustawy, a ponadto może realizować inne czynności zlecone przez administratora danych tylko wtedy gdy nie będzie to utrudniało realizacji podstawowych (ustawowych) zadań Administratora Bezpieczeństwa Informacji (art. 36a ust. 4 ustawy).
Do ustawowych zadań Administratora Bezpieczeństwa Informacji należy:
1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 Ustawy, oraz przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 ustawy.
Szczegółowy tryb i sposób realizacji zadań wskazanych powyżej w pkt 1 lit. a) i b) oraz pkt 2 został określony w aktach wykonawczych do ustawy: Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez Administratora Bezpieczeństwa Informacji oraz Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez Administratora Bezpieczeństwa Informacji rejestru zbiorów danych.
Praktyka pokazuje, że faktyczne zaangażowanie czasowe w realizację ustawowych zadań z zakresu ochrony danych osobowych nie zależy jedynie od poziomu przygotowania merytorycznego osoby pełniącej funkcję Administratora Bezpieczeństwa Informacji, ale również od wielu innych czynników. To z kolei bezpośrednio wpływa na ocenę, czy osoba taka faktycznie może realizować również inne zadania służbowe (niż te związane z ochroną danych osobowych), którymi „obdarza” ją pracodawca. Jest to szczególnie istotne w przypadku osób pełniących funkcję Administratora Bezpieczeństwa Informacji „na część etatu”, które będąc na etacie u danego pracodawcy jednocześnie realizują na co dzień także inne obowiązki.
Warto pamiętać, że regułę wyrażoną w art. 36a ust. 4 ustawy o ochronie danych osobowych wskazującą nadrzędność wykonywania zadań z zakresu ochrony danych osobowych przez osobę powołaną do funkcji ABI należy zawsze rozpatrywać indywidualnie, a to czy realizacja dodatkowych obowiązków faktycznie utrudni wykonywanie ustawowych zadań Administratora Bezpieczeństwa Informacji w pierwszej kolejności powinno zostać oszacowane przez samą osobę pełniącą daną funkcję. To bowiem z jej doświadczeń wynikać będzie najbardziej miarodajny obraz sytuacji.
W niniejszej części artykułu przedstawiam dwie grupy czynników jakie w mojej ocenie należy w szczególności brać pod uwagę przy tego typu ocenie. W kolejnej części artykułu (dostępnej TUTAJ) przedstawiłem kolejne dwie grupy czynników.
Sektor rynku, w którym funkcjonuje organizacja
Należy mieć na względzie, że już chociażby sektor rynku w jakim funkcjonuje konkretna organizacja (administrator danych osobowych), może mieć realny wpływ na zaangażowanie czasowe w realizację ustawowych zadań przez Administratora Bezpieczeństwa Informacji. Wynika to między innymi z faktu, że w wielu sektorach obowiązują szczególne regulacje prawne z zakresu ochrony danych osobowych, które będzie musiał uwzględniać w swojej pracy ABI.
Za przykład mogą posłużyć instytucje rynku finansowego (w szczególności banki),telekomunikacyjnego, ubezpieczeniowego oraz wielu innych w których obowiązują tajemnice sektorowe (bankowa, telekomunikacyjna, ubezpieczeniowa etc.), a którymi często objęte są również dane osobowe
(np. klientów). W przypadku niektórych obszarów rynku dodatkowym zagadnieniem, który ABI musi brać pod uwagę, będą również wytyczne i rekomendacje wybranych organów kontrolnych, takich jak wytyczne KNF obowiązujące w sektorze ubezpieczeniowym czy też rekomendacje tej instytucji obowiązujące banki.
Innym przykładem mogą być placówki lecznicze, w których osoba pełniąca funkcję Administratora Bezpieczeństwa Informacji poza przepisami ogólnymi z zakresu ochrony danych osobowych brać musi pod uwagę wymagania wynikające w szczególności z ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej czy też ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i rzeczniku praw pacjenta, która w sposób szczególny reguluje między innymi zasady udostępniania dokumentacji medycznej zawierającej dane osobowe pacjentów. Nie bez znaczenia w tym sektorze są coraz częściej także wytyczne Ministra Zdrowia w zakresie akredytacji w ochronie zdrowia, wprowadzone na podstawie ustawy z dnia 6 listopada 2008 r. o akredytacji w ochronie zdrowia.
Pełnienie funkcji ABI w podmiotach administracji publicznej lub samorządowej również cechuje się określoną specyfiką. W tego typu podmiotach na zasady przetwarzania i ochrony danych osobowych ma bowiem wpływ szereg dodatkowych regulacji prawnych, odnoszących się do tego w jaki sposób dany podmiot ma realizować określone zadania publiczne. Jako przykład mogą tu posłużyć wojewódzkie i powiatowe urzędy pracy, które przetwarzają ogromne ilości danych osobowych w zakresie realizowanej polityki rynku pracy (zgodnie z wymaganiami ustawy z dnia 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach rynku pracy, a także w ramach unijnych regulacji związanych z aktywizacją rynku pracy i wolnym przepływem pracowników).
Charakter organizacji - struktura i powiązania kapitałowe
Innym elementem, który należy brać pod uwagę jest także struktura organizacyjna administratora danych oraz - o ile administratorem danych jest podmiot należący do grupy kapitałowej - powiązania wewnątrzgrupowe.
W przypadkach gdy administrator danych posiada rozległą strukturę organizacyjną z jednostkami zamiejscowymi, prawidłowe pełnienie funkcji Administratora Bezpieczeństwa Informacji może się wiązać między innymi z potrzebą odbywania podróży służbowych.
Z kolei specyfika funkcjonowania ABI w podmiocie należącym do grupy kapitałowej wymaga zazwyczaj przeprowadzania częstych ustaleń z osobami reprezentującymi inne podmioty w grupie (np. w związku z realizacją projektów obejmujących całą grupę kapitałową, a dotyczących tematyki ochrony danych osobowych – jak wdrożenie korporacyjnego systemu informatycznego, czy też w związku ze świadczeniem przez jeden podmiot z grupy obsługi w wybranym obszarze na rzecz pozostałych,
tzw. shared services np. w obszarze obsługi informatycznej, HR, obsługi płac, księgowości etc.).
W przypadku podmiotów należących do międzynarodowych grup kapitałowych Administrator Bezpieczeństwa Informacji musi najczęściej uwzględniać w swojej pracy również korporacyjne wytyczne obowiązujące w wybranych obszarach działalności całej grupy (jak np. regulacje wewnętrzne typu Standard Operating Procedures – SOP lub Binding Corporate Rules - BCR, w obszarach związanych z rekrutacją i zatrudnieniem, korporacyjnymi kodeksami etyki, raportowaniem o nieprawidłowościach czy w końcu bezpieczeństwem informacyjnym i zasadami przechowywania danych lub związanych z transferem danych pomiędzy podmiotami należącymi do grupy).
Nie bez znaczenia w przypadku funkcjonowania podmiotów w ramach międzynarodowych grup kapitałowych jest również często stosowane rozróżnienie na podległość służbową (w rozumieniu polskiego prawa pracy) i podległość "biznesową". Podczas gdy pracownicy pracujący w Polsce zazwyczaj są formalnie zatrudniani przez lokalną spółkę należącą do danej grupy kapitałowej, bardzo często zdarza się tak, że ich biznesowymi "przełożonymi" są osoby pracujące na co dzień w innych podmiotach należących do tej samej grupy (zlokalizowani w innych krajach). W ten sposób pojawia się funkcja "line managera" oraz międzynarodowych zespołów projektowych. Osoba pełniąca funkcję ABI bardzo często włączana jest do takich zespołów "tematycznych" (np. związanych z projektami w zakresie Data Privacy), a ponadto swoje codzienne obowiązki realizuje w oparciu o ustalenia dokonywane z członkami innych międzynarodowych zespołów projektowych (np. w zakresie HR, obszarów talent solutions i rekrutacji etc.). Tego typu działania wymuszają częste telekonferencje i spotkania, które mają realny wpływ na możliwości czasowe Administratora Bezpieczeństwa Informacji.
PRZECZYTAJ DRUGĄ CZĘŚĆ ARTYKUŁU DOSTĘPNĄ TUTAJ
Zobacz usługi ODOeksperta, które pomogą zrealizować ustawowe obowiązki
ABI, etat, ochrona danych osobowych, pracodawca, pracownik, ustawa, zadania ABI