(ABI)?

Czy dyrektor placówki oświatowej powinien powołać
administratora bezpieczeństwa informacji (ABI)?
Internet Community, Adam Korzuch - specjalista ds. ochrony danych osobowych
2015-06-21
1. Wprowadzenie
[…] Powstało mylne, powszechne przekonanie o konieczności powołania ABI […]
W związku z agresywnymi działaniami niektórych podmiotów zajmujących się świadczeniem usług ABI lub rejestracją
ABI w GIODO, powstało mylne, powszechne przekonanie o konieczności powołania ABI i jego rejestracji w GIODO.
Stanowisko takie powiela wiele instytucji, wprowadzając dezinformację w tym zakresie.
Niniejsze opracowanie przedstawia, w oparciu o wytyczne GIODO, oraz najlepszą wiedzę autora, obiektywne omówienie
istniejących przepisów prawa w tym zakresie, na tle najczęściej zadawanych pytań zadawanych przez dyrektorów
placówek oświatowych.
2. Czy powołanie ABI jest obowiązkowe?
[…] „Administrator danych może powołać administratora bezpieczeństwa informacji” […]
Powołanie ABI nie jest obowiązkowe. Dyrektor może, ale nie musi, powoływać ABI. Prawo to, a nie obowiązek, zapisany
jest w art. 36a.1 ustawy o ochronie danych osobowych (UODO), który stanowi: „Administrator danych może powołać
administratora bezpieczeństwa informacji”.
Potwierdzenie możliwości, a zarazem wyjaśnienie alternatywy działania w przypadku niepowołania ABI, określa dalej
UODO w art. 36b, która wskazuje: „W przypadku niepowołania administratora bezpieczeństwa informacji zadania
określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust.
2 pkt 1 lit. a, wykonuje administrator danych.”
Potwierdzenie na stronach GIODO:
http://www.giodo.gov.pl/1520223/id_art/8344/j/pl/
Ponadto, często dyrektorzy mylnie są przekonywani, że powołując ABI zrzucą na nich odpowiedzialność za przetwarzanie
danych. Tymczasem niezależnie od tego czy w placówce będzie ABI czy nie, to dyrektor nadal jest odpowiedzialny za
stosowanie przepisów UODO w swojej placówce.
Analizując rozporządzenie ministra administracji i cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji
zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora
bezpieczeństwa informacji dostrzec można, jaką rzeczywistą rolę ma spełniać ABI. Jest on powołany, aby sprawdzać
zgodność przetwarzania danych z UODO oraz nadzorować opracowanie i aktualizację dokumentacji oraz stosowanie
zasad w niej zapisanych, a także zapewnić zapoznanie pracowników z przepisami UODO.
Zatem ABI powinien być postrzegany jako ekspert, który wpiera dyrektora w zakresie stosowania UODO w placówce,
a nie jako osoba, która bierze na siebie ciężar odpowiedzialności. ABI to swego rodzaju kontroler jakości, wskazujący
dyrektorowi właściwe rozwiązania, organizujący lub prowadzący szkolenia. Jeśli więc, dyrektor potrzebuje takiego
wsparcia merytorycznego powinien zastanowić się nad powołaniem ABI.
Innym aspektem, poza omówionym wsparciem merytorycznym, jest pomoc organizacyjna, jaką ABI może świadczyć
dyrektorowi. Taka sytuacja może mieć miejsce w dużych placówkach lub placówkach mających wiele lokalizacji. Jeżeli
dyrektor nie jest w stanie samodzielnie nadzorować procesów przetwarzania ze względów logistycznych lub jest to
utrudnione, powinien zastanowić się nad powołaniem ABI.
Czy dyrektor powinien powołać ABI?
Internet Community, Adam Korzuch
Powoływanie ABI „dla zasady” jest nieporozumieniem. ABI wyznaczony „na siłę”, który nie ma odpowiedniej wiedzy
i doświadczenia, nie wniesie żadnej wartości.
WAŻNE
Jeżeli, dyrektor jest w stanie samodzielnie nadzorować procesy przetwarzania danych oraz aktualizację dokumentacji,
powołanie ABI jest nieuzasadnione.
3. Jakie zadania spoczywają na dyrektorze kiedy nie powoła ABI?
[…] dyrektor nie musi prowadzić żadnej dodatkowej dokumentacji związanej z nowymi zadaniami […]
Dyrektor, niezależnie od tego czy powoła ABI czy nie, ma szereg zadań określonych w UODO, które powinny być na
bieżąco realizowane. Odpowiedzialność za ich przestrzeganie spoczywa na dyrektorze. Są nimi:
 Legalność – stosowanie co najmniej jednej przesłanki uprawniającej do przetwarzania danych (art. 23 i 27).
 Staranność – zachowanie staranności przetwarzania danych (art. 26).
 Informacja – realizacja obowiązku informacyjnego (art. 24 i 25).
 Zabezpieczenia – stosowanie odpowiednich zabezpieczeń technicznych i organizacyjnych (art. 36.1, 38 i 39a).
 Dokumentacja – prowadzenie dokumentacji przetwarzania danych (art. 36.2, 37, 39 i 39a).
 Powierzenie przetwarzania danych – dostrzeganie konieczności zawarcia umowy powierzenia.
 Zgłoszenia zbiorów do GIODO – rejestracja zbiorów (art.40) z wyjątkiem zbiorów zwolnionych (art. 43.1 oraz 43.1a)
Zatem, powołanie ABI nie ograniczy zadań i nie zmniejszy odpowiedzialności dyrektora, gdyż ABI nie jest powołany do
wykonywania zadań dyrektora, ale do kontroli ich poprawności.
Nowelizacja UODO od 1 stycznia 2015 r. wniosła dodatkowe zadania, które może wykonać ABI, jednak musi wykonać
dyrektor, jeśli go nie powoła (z wyłączeniem sprawozdania ze sprawdzenia, o którym mowa w art. 36c UODO).
Charakterystyka nowych zadań dyrektora, w przypadku nie powołania ABI:
 sprawdzanie zgodności przetwarzania danych z UODO – to zadanie dyrektor sprawuje na bieżąco w ramach
swoich codziennych zadań, gdyż ma stały kontakt z pracownikami, obserwuje ich zachowania, działania i nawyki.
Może działać więc sprawniej, aniżeli ABI, gdyż uczestniczy aktywnie w całym procesie przetwarzania danych, a nie
tak jak ABI, tylko w trakcie kontroli,
 nadzór nad wykonaniem i aktualizacją dokumentacji oraz stosowaniem zasad w niej zawartych – wykonanie
i aktualizacja dokumentacji to zadanie wymagające znajomości zasad dokumentowania, które może być przez
dyrektora zlecane podmiotom wyspecjalizowanym. Gdyby dyrektor powołał ABI, dokumentację i tak musiałby
wykonać podmiot zewnętrzny lub dyrektor, gdyż ABI sprawdza jedynie jej poprawność, a nie jest odpowiedzialny
za jej wykonanie. Nadzór nad stosowaniem zasad określonych w dokumentacji dyrektor jest w stanie samodzielnie
zapewnić na podobnych zasadach jak powyżej,
 zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie
danych osobowych – dyrektor powinien przeszkolić pracowników z zasad przetwarzania danych, a także mieć na
uwadze, aby każdy nowy pracownik, przed rozpoczęciem pracy, również odbył szkolenie. Ustawa nie precyzuje,
czy szkolenie ma prowadzić ABI, podmiot zewnętrzny, czy może zrobić to sam dyrektor, np. w ramach Rady
pedagogicznej. Warto zwrócić uwagę, że mimo, iż przepisy nie podają w szczegółach jak udokumentować odbyte
szkolenie, dobrze jest zadbać o potwierdzenie pisemne tego faktu, np. lista obecności na Radzie pedagogicznej lub
też w przypadku szkoleń zewnętrznych, imienny certyfikat ze szkolenia dla pracownika.
Przepisy nie określają czy dyrektor ma dokumentować nowe zadania i w jaki sposób ewentualnie ma to zrobić. Jedyną
dokumentacją dotyczącą przetwarzania danych prowadzoną przez dyrektora jest polityka bezpieczeństwa oraz
instrukcja zarządzania systemem informatycznym, które od lat powinny znajdować się w zasobach zgodnie
z rozporządzeniem ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
2
Czy dyrektor powinien powołać ABI?
Internet Community, Adam Korzuch
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024)
wydaną do art. 39a UODO.
WAŻNE
Dyrektor nie musi prowadzić żadnej dodatkowej dokumentacji związanej z nowymi zadaniami. Sposób pracy
i dokumentowanie czynności są obowiązkowe tylko dla ABI. Szczegółowe wytyczne w tym zakresie zawarto
w rozporządzeniu ministra administracji i cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań
w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa
informacji.
4. Jakie korzyści może przynieść placówce powołanie ABI?
[…] Dyrektor, na podstawie dokonanych przez ABI sprawdzeń i przedstawionych sprawozdań, ma obraz
jakości pracy placówki w zakresie ochrony danych osobowych […]
Powołanie ABI może przynieść dyrektorowi swobodę i harmonię pracy w zakresie prawidłowego przetwarzania danych
w placówce oraz odciążyć go od koniecznego nadzoru i kontroli. Działania te ABI musi dokumentować sprawozdaniem
z przeprowadzonego sprawdzenia, które powinno być wykonywane zgodnie z wcześniej ustalonym planem (szczegóły
w rozporządzeniu ministra administracji i cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w
celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa
informacji).
Dyrektor, na podstawie dokonanych przez ABI sprawdzeń i przedstawionych sprawozdań, ma obraz jakości pracy
placówki w zakresie ochrony danych osobowych.
WAŻNE
Ponadto, dyrektor powołując ABI będzie korzystał z dodatkowego zwolnienia (zw. z art. 43.1a UODO) ze zgłoszeń
zbiorów do GIODO. Z obowiązku rejestracji, w tym przypadku, zwolnione są zbiory, w których dane przetwarzane są
elektronicznie, ale nie zawierają danych wrażliwych (art. 27 UODO).
5. Jakie mogą być negatywne skutki powołania ABI?
[…] GIODO może zwrócić się do ABI o dokonanie sprawdzenia dyrektora, który go powołał […]
Zasadniczo, rola ABI może być pozytywna dla dyrektora, gdyż ABI pełniłby w procesach przetwarzania danych funkcje
nadzorcze, doradcze oraz wpierał dyrektora wiedzą, sugerując wdrożenia lepszych rozwiązań technicznych czy
organizacyjnych.
Jednak niedogodnością dla dyrektora może być fakt, iż GIODO ma prawo zlecić ABI dokonanie sprawdzenia placówki
pod kątem poprawności jej pracy w zakresie ochrony danych osobowych. ABI w takim przypadku staje się narzędziem
kontrolnym GIODO.
WAŻNE
UODO: „Art. 19b. 1. Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji wpisanego do
rejestru, o którym mowa w art. 46c, o dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, u
administratora danych, który go powołał, wskazując zakres i termin sprawdzenia.”
3
Czy dyrektor powinien powołać ABI?
Internet Community, Adam Korzuch
6. Czy powołany ABI zwolni dyrektora z odpowiedzialności za ochronę danych osobowych w
placówce?
[…] niezależnie od powołania ABI dyrektor nadal jest odpowiedzialny za stosowanie UODO […]
Jak wspomniano wcześniej, powstało mylne przekonanie, że powołując ABI dyrektor zrzuci na niego odpowiedzialność
za przetwarzanie danych. Tymczasem niezależnie od tego czy w placówce będzie ABI czy nie, to dyrektor nadal jest
odpowiedzialny za stosowanie przepisów UODO w swojej placówce, zaś ABI tylko doradcą czy kontrolerem jakości.
7. Czy powołanie ABI rodzi skutki finansowe lub organizacyjne?
[…] Dyrektor powinien zapewnić środki finansowe dla ABI […]
Dyrektor powinien zapewnić środki finansowe nie tylko na wynagrodzenie czy stanowisko pracy ABI, ale również na
inne wydatki związane z wykonywanymi przez niego zadaniami, np. zakup komputera, oprogramowanie czy szkolenia.
Niezwykle ważne jest również to, że ABI musi podlegać bezpośrednio dyrektorowi. Warunek ten jest niezbędny dla
prawidłowego wykonywania zadań ABI związanych z prowadzeniem sprawdzeń poprawności pracy.
WAŻNE
UODO: „Art. 36a.8. Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa
informacji niezbędne do niezależnego wykonywania przez niego zadań, o których mowa w ust. 2.”
8. Kto powinien zostać ABI?
[…] ABI może być osoba, która posiada odpowiednią widzę […]
ABI może zostać każda osoba spełniająca wymagania określone w UODO.
Podstawa prawna UODO:
„Art. 36a.5. Administratorem bezpieczeństwa informacji może być osoba, która:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.”
Jednak w praktyce dyrektor będzie miał do wyboru, albo osobę z zewnątrz, która wykaże odpowiednią znajomość
problematyki ochrony danych osobowych (nie trzeba jej dokumentować żadnymi uprawnieniami czy certyfikatami),
albo też, co najczęściej brane jest pod uwagę, pracownika już zatrudnionego.
Powołanie pracownika na ABI jest prostsze organizacyjnie i nie wymaga z reguły żadnych dodatkowych działań
i wydatków. Jest jednak rozwiązaniem niekorzystnym w przypadku, kiedy wyznaczony ABI nie ma odpowiedniej wiedzy
i przygotowania do pełnienia zadań, a musi nim zostać „dla zasady”.
W tym miejscu należy jeszcze raz przypomnieć, że powoływanie ABI nie jest obowiązkiem lecz uprawnieniem dyrektora.
WAŻNE
Potwierdzenie na stronach GIODO: http://www.giodo.gov.pl/1520223/id_art/8346/j/pl/
4
Czy dyrektor powinien powołać ABI?
Internet Community, Adam Korzuch
9. Czy do 30 czerwca 2015 r. należy zgłosić powołanie ABI do GIODO?
[…] Zgłoszenie ABI do GIODO jest dobrowolne i może nastąpić w każdym czasie […]
Zgłoszenie ABI do GIODO jest dobrowolne i może nastąpić w każdym czasie. Ustawa z dnia 7.11.2014 r. o ułatwieniu
wykonywania działalności gospodarczej w art. 35 wprowadziła okres przejściowy pozwalający dyrektorowi na zgłoszenie
ABI powołanego przed 1 stycznia 2015 r. do rejestru GIODO do 30 czerwca 2015r.
Ten termin dotyczy tylko tych dyrektorów, którzy powołali/wyznaczyli ABI przed dniem 1 stycznia 2015 r., czyli przed
wejściem w życie nowych przepisów UODO. W takim przypadku, jeżeli dyrektor chce, aby nadal ta osoba pełniła funkcje
ABI powinien zarejestrować ABI w GIODO do 30 czerwca 2015 r. Jeżeli tego nie zrobi to będzie sam pełnił zadania
określone w UODO, które wcześniej zostały już omówione i nie poniesie żadnych konsekwencji.
Jeżeli, dyrektor nie posiadał ABI przed 1 stycznia 2015 r., to nie ma on żadnego terminu na powołanie ABI, gdyż jak
pisano wcześniej, w ogóle nie musi go powoływać. Kiedy, uzna za konieczne posiadanie ABI, może powołać go w każdej
chwili. Po powołaniu lub odwołaniu ABI należy zgłosić ten fakt (zarejestrować ABI) w GIODO w terminie 30 dni.
WAŻNE
Potwierdzenie na stronach GIODO: http://www.giodo.gov.pl/1520223/id_art/8347/j/pl/
10. Jak dokonać zgłoszenia lub odwołania ABI?
Jeżeli dyrektor powoła lub odwoła ABI, zgłoszenie lub odwołanie należy dokonać zgodnie ze wzorem określonym
w 4rozporządzeniu ministra administracji i cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania
i odwołania administratora bezpieczeństwa informacji (dz. u. 2014, poz. 1934), w terminie 30 dni.
WAŻNE
UODO: „Art. 46b.1. Administrator danych jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi powołanie
i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania.”
11. Czy można zgłosić ABI do GIODO po 30 czerwca 2015 r.
[…] Dyrektor może powołać ABI w dowolnym czasie […]
Jeżeli, dyrektor (który, posiadał ABI przed 1 stycznia 2015 r.) i miał w związku z tym obowiązek zarejestrować go
w GIODO, nie zdąży zgłosić tego faktu do 30 czerwca 2015 r., będzie mógł zrobić to w przyszłości w dowolnym czasie,
nawet w dniu następnym, tj. 1 lipca 2015 r. Ustawa zakłada bowiem, że zawsze musi być osoba odpowiedzialna za
nadzór nad bezpieczeństwem danych i może to być albo ABI, jeżeli powoła go dyrektor, lub sam dyrektor, jeśli nie
wyznaczy on ABI.
WAŻNE
Ostatecznie, jeżeli dyrektor (który, posiadał ABI przed 1 stycznia 2015 r.) spóźni się z jego zgłoszeniem, to do czasu jego
zgłoszenia w przyszłości, będzie pełni z mocy UODO nadzór nad bezpieczeństwem przetwarzania danych.
5
Czy dyrektor powinien powołać ABI?
Internet Community, Adam Korzuch
12. Podsumowanie
[…] Dyrektor jest w stanie, w ramach codziennych zadań, prowadzić skuteczny nadzór nad
przetwarzaniem danych i nie potrzebuje do tego dodatkowej osoby - ABI […]
Zdaniem autora, w małej lub średniej wielkości placówce oświatowej dyrektor nie będzie zainteresowany powołaniem
ABI dlatego, że sam jest w stanie, w ramach codziennych zadań, prowadzić skuteczny nadzór nad przetwarzaniem
danych. Zna dokładnie nawyki i przyzwyczajenia pracowników, umie wskazać słabe i silne strony. Żadna inna osoba nie
zrobi tego lepiej. Jedyne, co może być w takiej sytuacji potrzebne dyrektorowi, to jednorazowy audyt specjalistyczny zewnętrzny, wskazujący zagrożenia konieczne do uwzględniania.
Ponadto, barierą w tego typu placówkach są środki finansowe. Wiele placówek nie stać na opłacenie choćby części
nowego etatu lub zlecenia usług ABI podmiotom zewnętrznym.
Z kolei, alternatywne powoływanie na ABI osób z grona pedagogicznego lub pracowników administracji tylko „dla
zasady” jest, jak pisano wcześniej, zupełnie niezasadne. ABI ma być wsparciem i dawać wartość dodaną, nie zaś
figurować tylko w ewidencji GIODO. Po co dyrektorowi ABI, o którego będzie trzeba się dodatkowo martwić, czy
właściwie pracuje?
Inna sytuacja może zaistnieć kiedy dyrektor ma odpowiednie środki finansowe. Wówczas, niezależnie od wielkości
placówki, może powierzyć nadzór i szkolenia pracowników specjalistom.
W najgorszej sytuacji są dyrektorzy dużych placówek, którzy nie są w stanie kontrolować wszystkich pracowników, a nie
dysponują środkami umożliwiającymi na zatrudnienie ABI. Jedynym właściwym rozwiązaniem byłoby wyznaczenie
pracownika, który zdaniem dyrektora najbardziej nadawałby się na ABI, a następnie skierowanie go na kilkudniowe
szkolenie dla ABI, po którym zostałby powołany i zarejestrowany w GIODO. Jego zakres czynności musiałby zostać
powiększony o zadania ABI (art. 36a.2 oraz UODO). Trzeba jednak zwrócić uwagę na fakt, iż bieżące zadania pracownika
nie powinny kolidować z nowymi zadaniami ABI.
WAŻNE
UODO: „Art. 36a.4. Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie
innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust.2.”
6