Obowiązki wójta w przypadku niepowołania ABI

Informacja w administracji publicznej | 02/2015
Tomasz Osiej

Wójt gminy K. zwrócił się z pytaniem, jakie obowiązki będą na nim ciążyły w przypadku niepowołania administratora bezpieczeństwa informacji. Jest również zainteresowany tym jakich obowiązków można uniknąć nie powołując takiej osoby.”

ODPOWIEDŹ

Wójt – w zależności od okoliczności związanych z przetwarzaniem danych osobowych w gminie – może sam posiadać status administratora danych, występując jako organ decydujący o celach lub środkach przetwarzania danych osobowych, lub też być osobą reprezentującą administratora danych. W przypadku niepowołania administratora bezpieczeństwa informacji (dalej: ABI) administrator danych będzie zaś musiał wykonywać część zadań spoczywających na ABI. Wynika to z treści art. 36b ustawy z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.; dalej: Ochr­DanychU). Stanowi on, że w przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych. Do takich zadań należą:
1) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (zadanie określone w art. 36a ust. 2 pkt 1 lit. a Ochr­DanychU); 2) nadzorowanie opracowania i aktualizowania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, oraz przestrzegania zasad określonych w tych dokumentach (zadanie określone w art. 36a ust. 2 pkt 1 lit. b Ochr­DanychU); 3) zapewnianie zapoznania się z przepisami o ochronie danych osobowych przez osoby upoważnione do przetwarzania danych osobowych (zadanie określone w art. 36a ust. 2 pkt 1 lit. c Ochr­DanychU).

Ważne

W przypadku niepowołania ABI administrator danych będzie również zobowiązany do zgłaszania do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbiorów danych, które zwolnione są z tego obowiązku w przypadku zgłoszenia do rejestracji powołania ABI, oraz do aktualizacji tych zgłoszeń.

Niezgłoszenie do rejestracji powołania ABI powoduje bowiem, że nie ma zastosowania przepis art. 43 ust. 1a Ochr­DanychU przewidujący, że obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji.

Niepowołanie ABI

Niepowołanie ABI skutkuje dla administratora danych brakiem następujących obowiązków:
1) przeprowadzania sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych na żądanie Generalnego Inspektora Ochrony Danych Osobowych (wyłączona jest bowiem możliwość skorzystania przez GIODO z uprawnienia określonego w art. 19b ust. 1 Ochr­DanychU, który stanowi, że Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji wpisanego do rejestru, o którym mowa w art. 46c, o dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia); 2) sporządzenia sprawozdania ze sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (chociaż samo sprawdzenie nadal powinno być wykonane); 3) prowadzenia rejestru zbiorów danych osobowych (prowadzenie rejestru zbiorów danych, będące obowiązkiem ABI określonym w art. 36a ust. 2 pkt 2 Ochr­DanychU, nie zostało przekazane do wykonywania administratorowi danych na podstawie art. 36b Ochr­DanychU), 4) zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych powołania lub ewentualnego odwołania ABI oraz zmian informacji objętych zgłoszeniem powołania ABI.
Powyższe obowiązki ciążą jedynie wówczas, gdy zostanie powołana osoba pełniąca funkcję ABI.

Podstawa prawna

  • art. 19b, art. 36a, art. 36b i art. 43 ustawy z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.)
Tomasz Osiej
Radca Prawny
Firma doradcza Omni Modo
www.omnimodo.com.pl