Baza wiedzy

Przewiń by dowiedzieć się więcej

Z czym wiąże się odpowiedzialność funkcji ABI?

W związku z nowelizacją ustawy o ochronie danych osobowych (1 stycznia 2015 ), Administrator Danych Osobowych (ADO) może powołać Administratora Bezpieczeństwa Informacji (ABI). Należy tutaj podkreślić, że powołanie ABI jest uprawnieniem a nie obowiązkiem i w przypadku nie powołania ABI zadania wykonuje sam administrator danych. Jeżeli jednak ADO zdecyduje się na powołanie ABI, osoba ta powinna: korzystać z pełni praw publicznych, nie być karana za przestępstwo z winy umyślnej oraz mieć odpowiednią wiedzę z zakresu ochrony danych osobowych. Warto też pamiętać, że wyznaczenie ABI nie zwalnia administratora danych z odpowiedzialności określonej w ustawie o ochronie danych osobowych.

Kto może zostać ABI?

Ustawa nie reguluje dokładnie kto powinien taką funkcje objąć, ale mając na celu prawidłową ochronę danych ADO powinien powierzyć to stanowisko osobie, która posiada rzeczywistą wiedzę na temat ochrony informacji i będzie w stanie prawidłowo wywiązywać się ze swoich obowiązków. Warto również nadmienić, że same przepisy ustawy o ochronie danych osobowych (u.o.d.o) nie wymagają od ABI posiadania specjalnych certyfikatów czy też poświadczenia odbycia odpowiednich szkoleń itp.

Zazwyczaj w firmach funkcja ta jest powierzana osobom z działu IT, dyrektorom administracyjnym lub osobom z działu kadr. Osoby te często obejmują tą funkcję jako dodatkową, a oprócz tego wykonują swoje podstawowe obowiązki, co często prowadzi do uchybień lub błędów w zakresie ochrony danych czego konsekwencją są problemy prawne i straty wizerunkowe.

Warto tutaj przytoczyć słowa ministra Andrzej Lewińskiego, zastępcy Generalnego Inspektora Ochrony Danych Osobowych (GIODO), który w czasie rozmowy z redaktorem Michałem Kołtuniakiem z „Rzeczpospolitej” zwrócił uwagę na ważne kwestie:

Świadomość po stronie administratorów danych nadal pozostawia wiele do życzenia. W wielu przypadkach, chociaż ustawa o ochronie danych osobowych obowiązuje już od 16 lat, nie znają oni podstawowych obowiązków, jakie nakładają na nich jej przepisy – mówił A. Lewiński. – Dlatego warto, aby korzystali z pomocy osób mających wiedzę na ten temat, czyli ABI. Należy bowiem podkreślić, że chodzi tutaj o osoby, które odpowiadają nie tylko za kwestie techniczne, związane np. z prawidłowym zabezpieczeniem systemów informatycznych, szyfrowaniem danych, dbaniem o to, aby nie były one narażone na ataki cyberprzestępców. ABI ma bowiem odpowiadać za całokształt prawidłowego przetwarzania danych, a więc zarówno za ich ochronę, jak i szkolenia oraz doradzanie innym pracownikom administratora, mającym do nich dostęp. ABI ma nadzorować cały proces przetwarzania danych. Powinien być więc takim „wewnętrznym inspektorem ochrony danych” – wyjaśniał, zachęcając do wzięcia pod uwagę nowego rozwiązania.

Jakie zadania powinien wykonać ABI?

Najważniejszym zadaniem ABI jest nadzór nad przestrzeganiem przepisów ustawy o ochronie danych osobowych. Zadania te powinny być realizowane poprzez:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  • aktualizowanie i nadzór nad przestrzeganiem procedur ochrony danych,
  • prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych (zgodnie z art. 36a ust. 2 pkt 2 u.o.d.o.),
  • kontrola stanu wydanych upoważnień oraz ewidencji osób upoważnionych,
  • prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środki służące do ochrony i przestrzegania zasad w niej określonych,
  • prowadzenie okresowych audytów stanu bezpieczeństwa i sporządzanie raportów wraz z zaleceniami zmian przygotowanie wniosków rejestracyjnych,
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
  • prowadzenie szkoleń dla pracowników.

Podsumowując ABI ma pełnić rolę wewnętrznego inspektora danych o czym mówił minister A. Lewiński i czuwać nad ich bezpieczeństwem informatycznym i prawnym. Jednak aby mógł to zadanie w odpowiedni sposób realizować powinien mieć zapewnioną odpowiednią pozycję i rangę w strukturze firmy, tak aby mógł efektywnie wykonywać swoją funkcję.

Jakie konsekwencje mogą spotkać ABI w przypadku niewłaściwego wykonywania swoich obowiązków?

W przypadku niewłaściwego wypełniania swoich obowiązków ABI może ponieść odpowiedzialność umowną albo dyscyplinarną w przypadku zaniechania lub zaniedbania swoich obowiązków.

Odpowiedzialność cywilnoprawna ABI przewidziana jest przepisami ustawy o ochronie danych osobowych, dlatego ważne jest aby każdy pracownik, który zdecyduje się na objęcie funkcji ABI w swojej firmie wykonywał zadania związane z ochroną danych osobowych skrupulatnie i szczegółowo. Jest to istotne nie tylko z punktu widzenia firmy, ale również samego Administratora Bezpieczeństwa Informacji, który w swoim własnym interesie powinien posiadać odpowiednią wiedzę z tej dziedziny i stosować się do przepisów ustawy, tak aby zabezpieczyć się przed ewentualnymi roszczeniami ze strony ADO oraz odpowiedzialnością karną.

Co w przypadku kiedy ABI zaniedba lub zaniecha swoich obowiązków?

Gdy Administrator Bezpieczeństwa Informacji zaniecha lub zaniedba swoje obowiązki, a jest zatrudniony na umowę o pracę, wówczas Administrator Danych Osobowych może od niego zażądać:

  • odszkodowania za wyrządzoną szkodę z tytułu niewykonania lub nienależytego wykonania obowiązków pracowniczych. Odszkodowanie ustala się w wysokości wyrządzonej szkody, jednak nie może ono przewyższać kwoty trzymiesięcznego wynagrodzenia przysługującego pracownikowi w dniu wyrządzenia szkody. Wyjątkiem jest sytuacja gdy pracownik umyślnie wyrządził szkodę – wówczas obowiązany jest do jej naprawienia w pełnej wysokości
  • naprawienia szkody wyrządzonej przez pracownika.
  • rozwiązania stosunku pracy spowodowane niewykonaniem lub zaniedbaniem powierzonych mu zadań.

Warto też nadmienić, że pracownik ponosi odpowiedzialność za szkodę w granicach rzeczywistej straty poniesionej przez pracodawcę i tylko za normalne następstwa działania lub zaniechania, z którego wynikła szkoda.

Czy jeżeli firma powoła ABI musi zgłaszać zbiory danych do GIODO?

Jeżeli firma nie posiada zbiorów danych wrażliwych, a Administrator Danych Osobowych powołał Administratora Bezpieczeństwa Informacji nie ma obowiązku zgłaszania zbiorów danych osobowych do GIODO. Należy jednak pamiętać, że w takim wypadku konieczna jest rejestracja ABI. Takie zgłoszenie powinno być zrealizowane w terminie do 30 dni od dnia powołania ABI.

Sprawdź naszą ofertę

OUTSOURCING ABI

Możesz po prostu wdrożyć system ochrony danych osobowych ale możesz go też wdrożyć i mieć z tego korzyść biznesową. Wraz z kancelarią prawniczą pracowaliśmy dla największych więc problemy przeciętnej firmy załatwiamy od ręki.

Czytaj więcej

ZGŁASZANIE ZBIORÓW DANYCH DO GIODO

Przeprowadzamy proces zgłaszania zbiorów danych osobowych do rejestracji w GIODO. Od analizy przetwarzanych w firmie danych osobowych, przez przygotowania dokumentacji po samo zgłoszenie wniosku do rejestracji.

Czytaj więcej
Top

BEZPŁATNE
KONSULTACJE
TELEFONICZNE

Umów się na bezpłatną konsultację z ekspertem!
Czytaj więcej

Koszyk jest pusty!