Administrator bezpieczeństwa informacji (PL vs DE)

www.sxc.hu

Każdy administrator danych osobowych wie jak ważną rolę pełni administrator bezpieczeństwa informacji (ABI).

Uregulowania znajdujące się w polskiej ustawie o ochronie danych osobowych nie są jednak pełne i pozostawiają w rzeczywistości wiele pól do własnej interpretacji.

Pewną wskazówką przy wykładni przepisów mogą być przepisy niemieckie – bowiem podstawą dla obu ustaw jest ta sama dyrektywa.

Podstawą do wprowadzenia do ustawodawstwa państw członkowskich UE, regulacji odnoszących się do ABI jest art. 17 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Główne uregulowania dyrektywy dotyczą następujących aspektów:

Państwa Członkowskie zobowiązują administratora danych, w przypadku przetwarzania danych w jego imieniu, do wybrania przetwarzającego, o wystarczających gwarancjach odnośnie do technicznych środków bezpieczeństwa oraz rozwiązań organizacyjnych, regulujących przetwarzanie danych, oraz zapewnienia stosowania tych środków i rozwiązań.

Przetwarzanie danych przez przetwarzającego musi być regulowane przez umowę lub akt prawny, na mocy których przetwarzający podlega administratorowi danych i które w szczególności postanawiają, że przetwarzający działa wyłącznie na polecenie administratora danych.

Polski ustawodawca dokonał implementacji art. 17 Dyrektywy w art. 36 ustawy z dnia z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zawarta w ust. 3 ww. przepisu regulacja jest jednak niezmiernie lakoniczna.

Co do zasady, regulacja ta ogranicza się do nałożenia na administratora danych osobowych obowiązku wyznaczenia ABI, chyba że sam administrator danych wykonuje czynności ABI.

Czynnościami tymi jest nadzorowanie przestrzegania zasad ochrony danych osobowych.

1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiedni do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.

Niemiecki ustawodawca dokonał implementacji art. 17 Dyrektywy w federalnej ustawie z dnia 20 grudnia 1990 r. o ochronie danych osobowych (Bundesdatenschutzgesetz – BDSG).

Co do zasady, obowiązek ustanowienia ABI spoczywa tylko na podmiotach, które zbierają, przetwarzają lub wykorzystują dane osobowe w sposób zautomatyzowany.

Jednakże podmioty prywatne ustanawiają ABI także wtedy, jeżeli przetwarzanie danych odbywa się przy wykorzystaniu tradycyjnych środków przetwarzania z udziałem więcej niż 20 pracowników.

Administrator bezpieczeństwa informacji powinien być podległy bezpośrednio osobie zarządzającej administratorem danych osobowych, a przy wykonywaniu ustawowych obowiązków nie może być narażony na negatywne konsekwencje swojego działania.

Wśród obowiązków ABI ustawodawca niemiecki wymienił w pierwszej kolejności podejmowanie działań zmierzających do zapewnienia przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez kontrolowanie prawidłowego wykorzystywania oprogramowania służącego do przetwarzania danych osobowych oraz podejmowanie działań w celu zaznajomienia osób przetwarzających dane z przepisami o ochronie danych osobowych.

Wzorem pierwowzoru z Dyrektywy, ustanowienie administratora bezpieczeństwa informacji wywiera skutek w postaci zwolnienie administratora danych osobowych z obowiązku rejestracji zbiorów danych osobowych zawierających tzw. dane zwykłe (art. 4d ust. 2 ustawy niemieckiej), a w przypadku zbiorów zawierających dane wrażliwe, administrator danych został zwolniony z procedury uprzedniej kontroli (art. 4d ust. 6 ustawy niemieckiej).

Ponadto niemiecki ABI podczas wykonywania swojego zadania w obszarze ochrony danych jest zwolniony od podlegania jakimkolwiek poleceniom.

W przypadku, w którym powołanie ABI jest ustawowo obowiązkowe, to wypowiedzenie jego stosunku pracy jest niedopuszczalne, chyba że zajdą okoliczności, które uzasadniałyby ze strony pracodawcy (tzw. „dyscyplinarne”) rozwiązanie stosunku pracy bez zachowania okresu wypowiedzenia z ważnego powodu.

Biorąc pod uwagę powyższe oraz praktyczne aspekty działania ABI, należy przychylić się do opinii środowiska samych ABI aby ta profesją uzyskała stosowne uprawnienia i pozycję, gwarantującą rzeczywistą ochronę przetwarzanych danych.


Tagi: , , , , , ,

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*

Możesz użyć następujących tagów oraz atrybutów HTML-a: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>