Skopiuj link
Status i odpowiedzialność ABI w świetle ustawy
Administratorem bezpieczeństwa informacji może być osoba, która ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, posiada odpowiednią wiedzę w zakresie ochrony danych osobowych oraz nie była karana za umyślne przestępstwo. Podlega on bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.
Administrator danych jest zobowiązany do zapewnienia środków technicznych umożliwiających należne wykonywanie obowiązków przez ABI. Dotyczy to także organizacyjnej odrębności administratora bezpieczeństwa informacji.
W świetle art. 51 ustawy z dnia 29.08.1997 r. o ochronie danych osobowych kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. W przypadku działania nieumyślnego ustawodawca przewiduje: grzywnę, karę ograniczenia wolności albo pozbawienia wolności do roku.
Niewątpliwie ABI jest zobowiązany do ochrony danych osobowych dlatego też w przypadku naruszenia przepisów ustawy o ochronie danych osobowych może ponieść wskazaną w art. 51 ustawy odpowiedzialność karną. Niezależnie od tego, w przypadku wystąpienia szkody po stronie osoby, której dane dotyczą, może także ponieść odpowiedzialność odszkodowawczą na zasadach ogólnych wynikających z kodeksu cywilnego.
Reguły dotyczące sprawdzania
Jedną z form realizacji zadań ABI wskazanych w art. 36a ustawy o ochronie danych osobowych jest sprawdzenie. Zgodnie z definicją zawartą w § 2 pkt 3 rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11.05.2015 r. są to czynności mające na celu zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
Jak wynika z powołanego aktu wykonawczego, sprawdzenie może być dokonywane dla administratora danych osobowych lub dla GIODO. Weryfikacja przeprowadzona dla Generalnego Inspektora Ochrony Danych Osobowych dotyczy okoliczności wskazanych w art. 19b ust. 1 ustawy o ochronie danych osobowych, tj. sytuacji gdy GIODO zwróci się z wnioskiem do administratora bezpieczeństwa informacji wpisanego do rejestru o dokonanie sprawdzenia u administratora danych, który go powołał. Wówczas GIODO wskazuje zakres i termin sprawdzenia.
Sprawdzenie może mieć także charakter planowy lub doraźny. W pierwszym przypadku weryfikacja jest ujmowana w tzw. planie sprawdzeń, w drugim natomiast jest podejmowana i przeprowadzana w sytuacji powzięcia przez administratora bezpieczeństwa informacji wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia.
Zbiory danych oraz systemy informatyczne służące do przetwarzania lub zabezpieczania danych osobowych powinny być objęte sprawdzeniem co najmniej raz na pięć lat.
Podsumowując…
Jeśli wyznaczyłeś w zakładzie ABI, przygotuj jako administrator środki techniczne niezbędne do realizacji jego zadań. Taki bowiem spoczywa na administratorze danych osobowych obowiązek. Jeśli natomiast taka osoba nie została powołana w zakładzie, odpowiedzialność za niedopełnienie obowiązków będzie spoczywała na samym administratorze danych osobowych. Wówczas bowiem to on będzie pełnił funkcję ABI.
