13.12.2015 r., w czasopiśmie „Informacja w administracji publicznej” (nr 4/2015, wydawnictwo C.H. Beck) ukazał się artykuł „ABI w administracji publicznej”, autorstwa Prezesa ENSI i SABI, Macieja Byczkowskiego.

Artykuł prezesa Macieja Byczkowskiego jest pierwszym z cyklu poświęconego przez kwartalnik zagadnieniu: ABI w administracji publicznej. W swoim tekście Prezes Byczkowski skupił się na podsumowaniu realizacji obowiązków związanych z powołaniem ABI oraz wykonywaniem jego zadań wynikających z ustawy o ochronie danych oraz rozporządzeń wykonawczych. Podkreślił, że nawet jeśli w wielu podmiotach administracji publicznej proces wyboru i powołania ABI został już zrealizowany, to jednak warto zweryfikować, czy wypełniono poprawnie wszystkie wymagania i dokonać ewentualnej korekty.

Jako jedną z głównych przyczyn wagi omawianego tematu wskazał fakt, że od czasu wejścia w życie 1.1.2015 r. znowelizowanych przepisów ustawy z 29.8.1997 r. o ochronie danych osobowych, wielu ADO z sektora administracji publicznej powołało nowych ABI. Prezes Byczkowski zaznaczył, że z danych znajdujących się w Rejestrze ABI, dostępnym na stronie internetowej GIODO, wynikało, że na pod koniec października br. do rejestru ze sfery publicznej było wpisanych ponad 10 000 ABI.

Prezes Maciej Byczkowski zaznaczył, że zgodnie z art. 36a ust. 1 uodo, każdy ADO może powołać ABI, jednak nie ma w Polsce obecnie takiego obowiązku. Podkreślił, że jeżeli jakiś podmiot nie powołał dotąd ABI może to zrobić w każdej chwili, natomiast jeżeli ABI nie zostanie powołany, nowe obowiązki związane z zapewnianiem przestrzegania przepisów o ochronie danych osobowych wykonuje ADO.

Przypomniał, że w sytuacji podjęcia decyzji o powołaniu ABI administrator danych musi spełnić określone wymagania ustawowe czyli powołać na stanowisko ABI osobę, która spełnia kryteria określone w art. 36a ust. 5 uodo, zapewnić podległość służbową ABI, w zakresie wykonywania jego zadań bezpośrednio kierownikowi jednostki organizacyjnej, zapewnić ABI niezależność w wykonywaniu jego zadań oraz zgłosić powołanie ABI do rejestracji GIODO.

Prezes ENSI przypomniał, żę ADO może zdecydować się na powołanie osoby, która była wcześniej wyznaczona na ABI w tym podmiocie (w oparciu o przepisy obowiązujące do końca 2014 r.) lub zupełnie innej osoby. Wskazał jako niezwykle istotną sprawę fakt, że na podstawie obecnych przepisów nie można na ABI powołać dowolnej osoby - kandydat na ABI musi spełnić bowiem kryteria określone w art. 36a ust. 5 uodo tj. mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych, posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych oraz nie być karanym za umyślne przestępstwo. Zaznaczył, że spełnienie ww. kryteriów powinno być udokumentowane, na wypadek kontroli GIODO. Wskazał, że brak udokumentowania wymaganych kryteriów może skutkować decyzją GIODO o wykreśleniu ABI z rejestru, jeżeli w czasie kontroli okaże się, że powołano na ABI osobę niespełniającą ww. wymagań.

Kolejnym wymogiem dotyczącym powołania ABI, który przeanalizował Prezes Byczkowski w swoim artykule, jest ustanowienie bezpośredniej podległości ABI pod ADO, w zakresie wykonywania jego zadań. Zaakcentował, że konieczne jest zapewnienie, aby ABI przy wykonywaniu zadań podlegał bezpośrednio pod osobę kierującą danym podmiotem i jej składał raporty z wykonywanej pracy. Podkreślił, że przepisy uodo nie precyzują czy ABI ma być zatrudniony na dedykowanym odrębnym stanowisku, czy ma pełnić funkcję ABI, będąc zatrudnionym na innym stanowisku. Wybór w tym zakresie należy do administratora danych. Prezes ENSI zwrócił uwagę na fakt, że ABI może być zatrudniony na innym stanowisku w strukturze organizacyjnej administratora danych i wykonywać w związku z tym również inne zadania, ale w tym wypadku należy uwzględnić wymagania art. 36a ust. 4 uodo, dotyczące powierzenia ABI dodatkowych zadań. Prezes Byczkowski podkreślił, że zanim administrator danych zdecyduje się powołać zatrudnionego już pracownika do pełnienia funkcji ABI, musi przeanalizować czy osoba ta będzie miała czas na wykonywanie wszystkich obowiązków określonych w art. 36a ust. 2 uodo oraz czy przy wykonywaniu tych zadań nie będzie istnieć ryzyko konfliktu interesów.

Prezes Byczkowski omówił także kwestię zapewnienia odpowiednich środków do wykonywania zadań ABI, co powinno uwzględniać: nadanie ABI odpowiednich uprawnień do wykonywania nadzoru nad przetwarzaniem danych w jednostce organizacyjnej administratora danych oraz przeprowadzania sprawdzeń zgodności przetwarzania danych, przyznanie budżetu na doskonalenie wiedzy oraz zorganizowanie niezbędnego sprzętu (np. stanowisko komputerowe, odpowiednią szafę do przechowywania dokumentów, urządzenia i materiały potrzebne do przeprowadzania szkoleń dla pracowników itp.).

Prezes Byczkowski zwrócił uwagę na wyjątkowe sytuacje kiedy zatrudnienie osoby na stanowisku ABI może być wymagane szczególnymi przepisami. Jako przykład przytoczył w artykule informację, że w rozporządzeniu Ministra Sprawiedliwości z 8.12.2014 r. (Dz.U. 2015 r. poz. 54) w sprawie stanowisk i szczegółowych zasad wynagradzania urzędników i innych pracowników sądów i prokuratury oraz odbywania stażu urzędniczego, w tabeli stanowisk, na których są zatrudniani urzędnicy w sądach i prokuraturze oraz kwalifikacji wymaganych do zajmowania tych stanowisk, znajdującej się w załączniku Nr 1 do tego rozporządzenia, w rubryce „Pozostałe stanowiska wspomagające” wpisany jest administrator bezpieczeństwa informacji. Prezes Byczkowski wskazał, że oznacza to, że w sądach i prokuraturze powołany ABI jest zatrudniany na odrębnym stanowisku.

Część artykułu Prezes Byczkowski poświęcił powołaniu ABI. Zaznaczył, że powinno ono mieć postać formalną (np. uchwała zarządzającego daną instytucją czy inny akt zgodny z regulaminem organizacyjnym danej instytucji). Przypomniał, że data powołania ABI znajdująca się na takim dokumencie jest wpisywana do wniosku zgłoszenia ABI do rejestracji GIODO, na którym również ADO składa oświadczenia o spełnieniu wymagań ustawowych przy powołaniu ABI. Prezes ENSI podkreślił, że ABI wykonuje nowe obowiązki od momentu powołania i nie jest konieczne czekanie na wpisanie ABI do rejestru GIODO. Jednocześnie wskazał, że ADO może (ale nie musi) powołać zastępców ABI (jedną lub więcej osób) w celu zapewnienia, że osoby te będą zastępować ABI w przypadku jego nieobecności. Zaznaczył, że osoby, które mają być powołane na zastępców muszą również spełniać omówione w artykule kryteria kryteria określone w art. 36a ust. 5 uodo. Prezes Byczkowski przypomniał, że powołania zastępców ABI nie zgłasza się do rejestracji GIODO.

Prezes Byczkowski podkreśił, że zgodnie z ustawą ABI ma wykonywać konkretne zadania mające na celu zapewnianie przestrzegania przepisów o ochronie danych osobowych czyli: przeprowadzanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowywanie w tym zakresie sprawozdania dla administratora danych, nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 (Polityka bezpieczeństwa oraz Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych), nadzorowanie przestrzegania zasad określonych ww. dokumentacji przez osoby upoważnione do przetwarzania danych osobowych, zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych. Zaznaczył, że te zadania powinny się znaleźć w zakresie obowiązków ABI, który zazwyczaj jest załącznikiem do aktu powołania ABI do pełnienia tej funkcji czy zatrudnienia na dedykowanym stanowisku.

Prezes Byczkowski zwrócił uwagę, że ADO może powierzyć ABI (ale nie musi) dodatkowe zadania zgodnie z art. 36a ust. 4 uodo, pod warunkiem że ich wykonywanie nie będzie naruszać wykonywania ww. zadań. Wskazał, że najczęściej są to zadania związane z zabezpieczaniem danych osobowych, które ABI mógł już wcześniej wykonywać przed jego nowym powołaniem np.: opracowywanie i prowadzenie dokumentacji przetwarzania danych osobowych (Polityka bezpieczeństwa, Instrukcja zarządzania systemem informatycznym, Wykaz zbiorów danych osobowych przetwarzanych u administratora danych, Wykaz pomieszczeń stanowiących obszar przetwarzania danych, Instrukcja postępowania w sytuacji naruszenia bezpieczeństwa danych itp.);przygotowywanie zgłoszeń zbiorów danych osobowych zawierających dane osobowe wrażliwe do rejestracji GIODO oraz aktualizacja takich zgłoszeń; przeprowadzanie analizy zagrożeń związanych z przetwarzaniem danych osobowych; prowadzenie rejestru zdarzeń, dotyczących naruszenia ochrony danych osobowych; nadzór nad zabezpieczeniami systemu informatycznego służącego do przetwarzania danych osobowych; opracowywanie klauzul informacyjnych na formularzach papierowych czy internetowych służących do zbierania danych zgodnie z art. 24 lub 25 uodo; opracowywanie zapisów do umów powierzania przetwarzania danych osobowych zgodnie z wymaganiami art. 31 uodo.

Prezes Maciej Byczkowski zwrócił uwagę, że jedno z zadań, które często jest również powierzane ABI to nadawanie upoważnień do przetwarzania danych osobowych oraz prowadzenie ewidencji osób upoważnionych. Podkreślił, że zarówno nadawanie upoważnień do przetwarzania danych osobowych, jak i prowadzenie ewidencji osób upoważnionych jest obowiązkiem administratora danych. Zaakcentował, że aby móc powierzyć ABI realizację tych obowiązków, należy nadać mu stosowne upoważnienie do wykonywania tych zadań w imieniu administratora danych. Prezes szczegółowo przeanalizował, że podobna sytuacja będzie miała miejsce jeżeli ABI będzie wykonywać inne obowiązki administratora danych, w tym: występowanie w imieniu administratora danych przed GIODO w sprawach związanych z rejestracją zbiorów danych (np. zgłaszanie zbiorów do rejestracji) czy postępowaniach kontrolnych (odpowiadanie na pisma GIODO, reprezentowanie administratora danych w czasie kontroli GIODO) czy odpowiadanie na pisma osób, których dane dotyczą.

Prezes ENSI podkreślił, że ADO musi precyzyjnie określać zakres zadań ABI w celu ich właściwego rozliczania. Zaakcentował, że nie da się na ABI scedować odpowiedzialności za ochronę danych osobowych w danej instytucji i wykonywanie wszystkich obowiązków administratora danych. Zaznaczył, że ABI odpowiada przede wszystkim za zapewnienie przestrzegania przepisów o ochronie danych osobowych i za brak realizacji tych zadań może ponosić on konsekwencje. Wyjaśnił, że uodo nie przewiduje kar bezpośrednio dla ABI, nie można do niego zastosować konsekwencji z art. 52 czy 51 uodo, gdyż odnoszą się one do administratora danych. Natomiast można wyciągnąć w stosunku do ABI konsekwencje służbowe, np. z art. 52 KP – za ciężkie naruszenie obowiązków pracowniczych.

Ostatnim zagadnieniem, które przeanalizował w artykule Prezes Byczkowski było prowadzenie jawnego Rejestru zbiorów danych. Zauważył, że wraz z powoływaniem i rejestrowaniem ABI pojawiają się w organizacjach administracji publicznej nowe jawne Rejestry zbiorów danych osobowych, za prowadzenie których jest odpowiedzialny ABI. Zaznaczył, że obowiązek prowadzenia rejestru zbiorów przez ABI jest konsekwencją nowelizacji uodo w zakresie obowiązku zgłoszenia zbioru danych do rejestracji GIODO (zmiana art. 40). Wyjaśnił, że w sytuacji powołania ABI i zgłoszenia go do rejestracji GIODO, administrator danych jest zwolniony z obowiązku zgłaszania zbiorów do rejestracji, z wyjątkiem zbiorów zawierających dane osobowe wrażliwe. Przypomniał, że szczegółowe zasady prowadzenia przez ABI rejestru i udostępniania go do przeglądania określa rozporządzenie Ministra Administracji i Cyfryzacji z 11.5.2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych. Prezes ENSI przeanalizował szczegółowo zagadnienie jak przygotować, prowadzić i udostępniać rejestr oraz przypomniał, że ma on być jawny i każdy ma prawo przeglądać taki rejestr. Zwrócił uwagę na fakt, że ABI ma możliwość wyboru wariantu udostępnienia rejestru do przeglądania zaś sposób udostępniania rejestru powinien być dostosowany do danego podmiotu z administracji publicznej, dlatego ABI powinien wybrać odpowiedni wariant jego udostępnienia (strona www lub forma wydruku).

W kolejnych numerach kwartalnika „Informacja w administracji publicznej” planowane są artykuły poświęcone omówieniu problemów wynikających z praktyki wykonywania zadań przez ABI w różnych podmiotach administracji publicznej.

Źródło: „Informacja w administracji publicznej” (Wydawnictwo C.H. Beck)


ENSI Sp. z o.o., Al. Jana Pawła II 34, 00-141 Warszawa, tel.: +48 22 620 12 00, e-mail: info @ ensi.net
Polityka prywatności    Copyright © ENSI 2006-2021