Administrator Bezpieczeństwa Informacji, potocznie zwany ABIm to osoba czuwająca nad bezpieczeństwem i ochroną przetwarzania danych osobowych, powoływana przez Administratora Danych Osobowych. Głównym zadaniem ABIego jest zapewnienie przestrzegania przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych u danego Administratora Danych Osobowych.

Warto w tym miejscu wyjaśnić, że w myśl art. 7 pkt 4 ustawy o ochronie danych osobowych Administrator Danych Osobowych (ADO) to organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 ustawy, decydujące o celach i środkach przetwarzania danych osobowych. ADO będzie więc podmiot prywatny, jak np. osoba prowadząca jednoosobowo działalność gospodarczą, spółka prawa handlowego, fundacja, stowarzyszenie czy spółdzielnia, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych bądź podmiot publiczny, taki jak np. Minister Finansów, gmina, powiat czy szkoła.

Uprawnienie powoływania ABIego zostało przyznane ADO wraz z dodaniem do ustawy o ochronie danych osobowych przepisu art. 36a. Nastąpiło to w wyniku wejścia w dniu 1 stycznia 2015 r. przepisów ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, które także ukształtowały i uregulowały kompetencje przysługujące każdemu Administratorowi Bezpieczeństwa Informacji.

Wyznaczenie Administratora Bezpieczeństwa Informacji jest uprawnieniem, nie zaś obowiązkiem Administratora Danych Osobowych. Dlatego w przypadku niepowołania ABIego, czynności jemu przypisane wykonuje  sam Administrator Danych Osobowych.

Głównym obowiązkiem należącym do Administratora Bezpieczeństwa Informacji jest zapewnianie przestrzegania przepisów o ochronie danych osobowych. Ma on być wypełniany w szczególności przez:

• sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

• nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych, oraz przestrzegania zasad w niej określonych,

• zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).

Wymagania dotyczące wypełniania przez ABIego dwóch pierwszych z wymienionych zadań zostały szczegółowo uregulowane w rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r., poz. 745).

Zadaniem należącym do ABIego jest także prowadzenie rejestru zbiorów danych przetwarzanych przez Administratora Danych Osobowych. Co istotne, na mocy art. 43 ust. 1a u.o.d.o., ADO, który skorzystał z przysługującego mu uprawnienia do powołania ABIego, zwolniony będzie z obowiązku zgłoszenia do rejestracji zbiorów danych do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych. Zwolnienie to nie obejmuje jedynie zbiorów, w których przetwarzane byłyby dane, o których mowa w art. 27 ust. 1 ustawy, czyli tzw. dane wrażliwe. Rejestr może być prowadzony przez Administratora Bezpieczeństwa Informacji w postaci papierowej lub elektronicznej. W rejestrze takim muszą znajdować się odpowiednie informacje dotyczące każdego zbioru danych, które są udostępniane do przeglądania w powszechnie zrozumiałej formie. Rejestr taki jest jawny, a szczegóły dotyczące jego prowadzenia określone zostały w rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015 r., poz. 719).

Ponadto ABI musi się liczyć z tym, że może się do niego zwrócić GIODO z żądaniem dokonania sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. W takim przypadku po dokonaniu sprawdzenia ABI opracowuje sprawozdanie, które za pośrednictwem Administratora Danych przekazywane jest GIODO.

Przepis art. 36a ust. 5 ww. ustawy wyraźnie wskazuje, że Administratorem Bezpieczeństwa Informacji może być osoba, która:

• ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,

• posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,

• nie była karana za umyślne przestępstwo.

Warto zaznaczyć, że ustawa nie wymaga, aby posiadanie wiedzy z zakresu ochrony danych było udokumentowane egzaminami czy certyfikatami. Jak wyjaśnia GIODO, to Administrator Danych, który powołuje ABIego, powinien ocenić, czy powierza tę funkcję kompetentnej osobie. Działając we własnym interesie powinien on powołać osobę, która ma rzeczywistą wiedzę z zakresu ochrony danych. Dlatego dysponowanie przez Administratora Bezpieczeństwa Informacji poświadczeniem ukończenia odpowiednich szkoleń może okazać się pomocne w dokonaniu przez ADO oceny spełniania przez kandydata na ABIego stawianych mu wymogów. W ocenie wiedzy i kompetencji takiego kandydata powinny być brane pod uwagę zarówno potrzeby danego Administratora Danych Osobowych, jak i zagrożenia, jakie prowadzona przez niego działalność może stwarzać dla praw i wolności osób, których przetwarzane dane dotyczą.

Poziom wiedzy ABIego z zakresu ochrony danych powinien być dostosowany do prowadzonych u Administratora Danych operacji przetwarzania danych oraz wymogów ich ochrony. Ponadto powołując ABIego należy pamiętać o stawianych przez art. 36 a ust. 7 i 8 ustawy wymaganiach, na podstawie których ABI musi:

• podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej ADO,

• mieć zapewnione środki i organizacyjną odrębność niezbędne do niezależnego wykonywania przez niego zadań z zakresu ochrony danych osobowych.

Spełnienie tych wymogów jest niezbędne, by ABI mógł w pełni realizować zadania wynikające z przepisów o ochronie danych osobowych, mieć realną możliwość podejmowania działań i sprawowania wewnętrznej kontroli. Obowiązek zapewnienia ABIemu organizacyjnej odrębności wiąże się z tym, że nie może nim zostać osoba kierująca podmiotem będącym Administratorem Danych Osobowych. W związku z tym ABIm nie będzie mógł zostać np. wójt, dyrektor szkoły czy członek zarządu spółki lub stowarzyszenia. Niedopuszczalna jest także sytuacja, w której osoba prowadząca jednoosobową działalność gospodarczą powołałaby na to stanowisko samą siebie. Jako że do ADO należy sprawowanie nadzoru i kontroli nad ABIm, takie nieprawidłowe powołanie ABIego powodowałoby, co oczywiste, niemożność prawidłowego wykonywania tych zadań. W takim przypadku bowiem Administrator Danych Osobowych musiałby kontrolować samego siebie.

W przypadku powołania ABIego, zgodnie z art. 46b ust. 1 u.o.d.o., na Administratorze Danych Osobowych ciąży obowiązek zgłoszenia go do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w ciągu 30 dni od dnia jego powołania. Zgłoszenia powinno się dokonać na odpowiednim urzędowym formularzu, którego wzór określony został w załączniku nr 1 rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. z 2014 r., poz. 1934).

GIODO w procesie rejestracji weryfikuje m.in. spełnienie ustawowych wymogów stawianych ABIemu oraz zapewnienie mu przez ADO organizacyjnej niezależności. W przypadku pozytywnej weryfikacji GIODO dokonuje wpisu ABIego do rejestru. Weryfikacja taka następuje także w postępowaniu w sprawie wykreślenia ABI z rejestru.

Zgłoszenie powołania ABIego można dokonać także online, za pośrednictwem Elektronicznej Platformy Usług Administracji Publicznej (ePUAP) bądź Elektronicznego Punktu Kontaktowego (ePK), na odpowiednich stronach internetowych.

W myśl art. 46b ust. 5 u.o.d.o., Administrator Danych Osobowych jest obowiązany zgłosić Generalnemu Inspektorowi zmianę informacji objętych zgłoszeniem. Na takie zgłoszenie ADO ma 14 dni od dnia zmiany, a do zgłaszania zmian stosuje się odpowiednio przepisy o zgłoszeniu powołania Administratora Bezpieczeństwa Informacji. W związku z tym do zgłoszenia zmian można wykorzystać urzędowy formularz stosowany odpowiednio w przypadku zgłoszenia powołania ABIego.

Tak samo jak powołanie, tak i odwołanie Administratora Bezpieczeństwa Informacji podlega obowiązkowi dokonania odpowiedniego zgłoszenia do rejestru prowadzonego przez GIODO. Musi ono nastąpić w ciągu 30 dni od dnia jego odwołania przy użyciu odpowiedniego formularza odwołania, którego wzór stanowi załącznik do wspomnianego wcześniej rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r.

ADO może powołać tylko jednego Administratora Bezpieczeństwa Informacji, co wynika ze sposobu sformułowania przepisu art. 36a ust. 1 u.o.d.o. Równocześnie ustawa wprowadza dla Administratora Danych Osobowych możliwość powołania jego zastępców. Stosuje się do nich takie wymagania, jak w przypadku osoby pełniącej funkcję ABIego. W przypadku powołania zastępcy ABIego nie istnieje jednak obowiązek zgłoszenia go do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych.

Nie ma obowiązku powołania Administratora Bezpieczeństwa Informacji, jednak w wielu przypadkach takie rozwiązanie może okazać się korzystne. Najczęściej z tego uprawnienia korzystają podmioty o rozbudowanej strukturze tj. spółki czy stowarzyszenia. Zazwyczaj osobą odpowiedzialną za wszystkie procesy związane z ochroną danych osobowych jest Administrator Danych Osobowych, zatem powołanie ABIego jest prostą i skuteczną formą delegowania zadań i obowiązków na inną osobę.

Ogromną korzyścią z powołania ABIego jest zwolnienie z obowiązku rejestracji zbiorów danych osobowych przetwarzanych przez administratora danych w rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych. Należy jednak pamiętać o tym, że nawet jeśli ABI został zgłoszony, zwolnienie z obowiązku rejestracji nie dotyczy zbiorów obejmujących dane wrażliwe. Tutaj nadal konieczne jest zgłoszenie zbioru zawierającego takie dane do GIODO. Powołanie Administratora Bezpieczeństwa Informacji może także potencjalnie zmniejszyć ryzyko kontroli. Na podstawie art. 19b u.o.d.o. GIODO może zwrócić się do ABIego o dokonanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Wówczas Administrator Bezpieczeństwa Informacji przedstawia GIODO sprawozdanie w określonym zakresie (np. przetwarzanie danych w zbiorze pracowników). Dokonanie przez ABIego sprawdzenia nie wyłącza prawa Generalnego Inspektora Ochrony Danych Osobowych do przeprowadzenia kontroli – może ona zostać przeprowadzona w późniejszym terminie, jednak w każdym przypadku ADO zyskuje dodatkowy czas na odpowiednie przygotowanie. Gdyby ADO nie powołał ABIego, inspektorzy dokonują kontroli bez wcześniejszego umożliwienia złożenia sprawozdania.

Z powołania ABI wynika obowiązek nakładany na Administratora Danych przez art. 46b ustawy, który polega na zgłoszeniu tego faktu do rejestracji GIODO w terminie 30 dni od dnia jego powołania. Administratorzy Bezpieczeństwa Informacji wpisywani są do ogólnokrajowego, jawnego rejestru prowadzonego przez GIODO.