07.09.2015 r., we wrześniowym numerze czasopisma „Ochrona danych osobowych” (Wydawnictwo WiP) ukazał się artykuł „Nadawanie upoważnień – zadanie ABI?”, autorstwa Prezesa ENSI i SABI Macieja Byczkowskiego, prezentowany w ramach stałej rubryki „Eksperci SABI radzą”.

Prezes Maciej Byczkowski zwrócił uwagę w swoim artykule, na fakt, że w środowisku ABI często dyskutowane jest zagadnienie czy ABI powinien być zaangażowany w proces nadawania upoważnień do przetwarzania danych osobowych. Prezes zaznaczył, że wielu z ABI wykonuje takie zadania natomiast powierzanie tego obowiązku ABI, wynika m. in. z podejścia administratora danych (ADO), który wyznaczając (a obecnie powołując) ABI, ponieważ chce delegować na ABI realizację wszystkich obowiązków dotyczących ochrony danych osobowych.

Prezes Byczkowski w swoim artykule podaje argumenty tłumaczące, że nie jest to właściwe rozwiązanie. Jako pierwszy wskazuje fakt, że nadawanie upoważnień do przetwarzania danych osobowych zgodnie art. 37 uodo jest obowiązkiem ADO: „Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych”. Prowadzenie ewidencji osób upoważnionych zgodnie z art. 39 uodo też jest obowiązkiem ADO: „Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać…”. Podkreśla, że również ani w uchylonym z początkiem tego roku art. 36 ust. 3 uodo, ani w dodanym art. 36a ust. 2, w których określone są zadania ABI, nie ma obowiązku nadawania upoważnień do przetwarzania danych oraz prowadzenia ewidencji osób upoważnionych. Prezes Byczkowski zaakcentował, że w związku z powyższym nie można mówić, że są to zadania ABI wynikające z ustawy.

Prezes ENSI podkreślił, że zadania ABI wiążą się przede wszystkim z nadzorem nad przestrzeganiem określonych w danym podmiocie zasad przetwarzania i ochrony danych osobowych oraz sprawdzaniem zgodności takiego przetwarzania z wymogami uodo. Zaznaczył, że ABI ma jednak również obowiązek zapewniania zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami uodo. Zwrócił uwagę, że właśnie to ostatnie zadanie można, w zależności od sytuacji, powiązać z nadawaniem upoważnień oraz prowadzeniem ewidencji osób upoważnionych, jako dodatkowe zadania ABI. Można mu je powierzyć na podstawie art. 36a ust. 4: „Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust. 2”. Prezes Byczkowski zwrócił uwagę, że istotna jest analiza czy faktycznie wykonywanie dodatkowych zadań nie naruszy prawidłowej realizacji głównych obowiązków ABI (inna sytuacja jest w małym podmiocie, gdzie rotacja kadr jest niewielka, a inna w dużym z większym przepływem pracowników). Co istotne, powierzenie ABI realizacji obowiązków nadawania upoważnień oraz prowadzenia ewidencji osób upoważnionych wiąże się dodatkowo z nadaniem ABI stosownego pełnomocnictwa do wykonywania tych zadań w imieniu ADO. Prezes Byczkowski wskazał, że może być to odrębny dokument, albo zadania te muszą znaleźć się w zakresie obowiązków ABI zawartym w dokumencie jego powołania.

Prezes Byczkowski zwrócił uwagę, że są plusy i minusy takiego rozwiązania, ponieważ zależy to od wielkości organizacji i od rotacji kadr czy zatrudniania zleceniobiorców. Plusem jest to, że ABI ma pod pełną kontrolą ten proces. Minusem mogą być wielostopniowe procedury związane z nadawaniem upoważnień szczególnie w dużych podmiotach. Zanim wniosek o nadanie upoważnienia trafi do ABI może minąć trochę czasu, w którym zatrudniona osoba będzie przetwarzać dane bez upoważnienia. Wymaga to dobrej komunikacji pomiędzy ABI i innym osobami zaangażowanymi w ten proces (kadry, informatyka).

Prezes Byczkowski zarekomendował jako optymalne rozwiązanie powierzenie zadań nadawania upoważnień komórce kadrowej ponieważ jest to część procesu zatrudnienia osoby oraz określenia zakresu jej zadań na stanowisku pracy, a to realizowane jest w kadrach. Podkreślił, że w tym modelu upoważnienia nadaje szef działu kadr, wyznaczony pracownik działu kadr prowadzi ewidencję osób upoważnionych, a ABI nadzoruje wykonywanie tych obowiązków. Zaznaczył natomiast, że nadanie uprawnień do przetwarzania danych w systemie informatycznym jest procesem wtórnym, realizowanym przez dział informatyki po wcześniejszym nadaniu osobie upoważnienia do przetwarzania danych osobowych.


Źródło: „Ochrona danych osobowych”


ENSI Sp. z o.o., Al. Jana Pawła II 34, 00-141 Warszawa, tel.: +48 22 620 12 00, faks: +48 22 620 12 53, e-mail: info @ ensi.net
 Polityka cookies/ Polityka prywatności    Copyright © ENSI 2006-2018