Czy dyrektor placówki oświatowej powinien powołać administratora bezpieczeństwa informacji (ABI)? - specjalista ds. ochrony danych osobowych 2015-06-21 1. Wprowadzenie [ ] Powstało mylne, powszechne przekonanie o konieczności powołania ABI [ ] W związku z agresywnymi działaniami niektórych podmiotów zajmujących się świadczeniem usług ABI lub rejestracją ABI w GIODO, powstało mylne, powszechne przekonanie o konieczności powołania ABI i jego rejestracji w GIODO. Stanowisko takie powiela wiele instytucji, wprowadzając dezinformację w tym zakresie. Niniejsze opracowanie przedstawia, w oparciu o wytyczne GIODO, oraz najlepszą wiedzę autora, obiektywne omówienie istniejących przepisów prawa w tym zakresie, na tle najczęściej zadawanych pytań zadawanych przez dyrektorów placówek oświatowych. 2. Czy powołanie ABI jest obowiązkowe? [ ] Administrator danych może powołać administratora bezpieczeństwa informacji [ ] Powołanie ABI nie jest obowiązkowe. Dyrektor może, ale nie musi, powoływać ABI. Prawo to, a nie obowiązek, zapisany jest w art. 36a.1 ustawy o ochronie danych osobowych (UODO), który stanowi: Administrator danych może powołać administratora bezpieczeństwa informacji. Potwierdzenie możliwości, a zarazem wyjaśnienie alternatywy działania w przypadku niepowołania ABI, określa dalej UODO w art. 36b, która wskazuje: W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych. Potwierdzenie na stronach GIODO: http://www.giodo.gov.pl/1520223/id_art/8344/j/pl/ Ponadto, często dyrektorzy mylnie są przekonywani, że powołując ABI zrzucą na nich odpowiedzialność za przetwarzanie danych. Tymczasem niezależnie od tego czy w placówce będzie ABI czy nie, to dyrektor nadal jest odpowiedzialny za stosowanie przepisów UODO w swojej placówce. Analizując rozporządzenie ministra administracji i cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji dostrzec można, jaką rzeczywistą rolę ma spełniać ABI. Jest on powołany, aby sprawdzać zgodność przetwarzania danych z UODO oraz nadzorować opracowanie i aktualizację dokumentacji oraz stosowanie zasad w niej zapisanych, a także zapewnić zapoznanie pracowników z przepisami UODO. Zatem ABI powinien być postrzegany jako ekspert, który wpiera dyrektora w zakresie stosowania UODO w placówce, a nie jako osoba, która bierze na siebie ciężar odpowiedzialności. ABI to swego rodzaju kontroler jakości, wskazujący dyrektorowi właściwe rozwiązania, organizujący lub prowadzący szkolenia. Jeśli więc, dyrektor potrzebuje takiego wsparcia merytorycznego powinien zastanowić się nad powołaniem ABI. Innym aspektem, poza omówionym wsparciem merytorycznym, jest pomoc organizacyjna, jaką ABI może świadczyć dyrektorowi. Taka sytuacja może mieć miejsce w dużych placówkach lub placówkach mających wiele lokalizacji. Jeżeli dyrektor nie jest w stanie samodzielnie nadzorować procesów przetwarzania ze względów logistycznych lub jest to utrudnione, powinien zastanowić się nad powołaniem ABI.
Powoływanie ABI dla zasady jest nieporozumieniem. ABI wyznaczony na siłę, który nie ma odpowiedniej wiedzy i doświadczenia, nie wniesie żadnej wartości. Jeżeli, dyrektor jest w stanie samodzielnie nadzorować procesy przetwarzania danych oraz aktualizację dokumentacji, powołanie ABI jest nieuzasadnione. 3. Jakie zadania spoczywają na dyrektorze kiedy nie powoła ABI? [ ] dyrektor nie musi prowadzić żadnej dodatkowej dokumentacji związanej z nowymi zadaniami [ ] Dyrektor, niezależnie od tego czy powoła ABI czy nie, ma szereg zadań określonych w UODO, które powinny być na bieżąco realizowane. Odpowiedzialność za ich przestrzeganie spoczywa na dyrektorze. Są nimi: Legalność stosowanie co najmniej jednej przesłanki uprawniającej do przetwarzania danych (art. 23 i 27). Staranność zachowanie staranności przetwarzania danych (art. 26). Informacja realizacja obowiązku informacyjnego (art. 24 i 25). Zabezpieczenia stosowanie odpowiednich zabezpieczeń technicznych i organizacyjnych (art. 36.1, 38 i 39a). Dokumentacja prowadzenie dokumentacji przetwarzania danych (art. 36.2, 37, 39 i 39a). Powierzenie przetwarzania danych dostrzeganie konieczności zawarcia umowy powierzenia. Zgłoszenia zbiorów do GIODO rejestracja zbiorów (art.40) z wyjątkiem zbiorów zwolnionych (art. 43.1 oraz 43.1a) Zatem, powołanie ABI nie ograniczy zadań i nie zmniejszy odpowiedzialności dyrektora, gdyż ABI nie jest powołany do wykonywania zadań dyrektora, ale do kontroli ich poprawności. Nowelizacja UODO od 1 stycznia 2015 r. wniosła dodatkowe zadania, które może wykonać ABI, jednak musi wykonać dyrektor, jeśli go nie powoła (z wyłączeniem sprawozdania ze sprawdzenia, o którym mowa w art. 36c UODO). Charakterystyka nowych zadań dyrektora, w przypadku nie powołania ABI: sprawdzanie zgodności przetwarzania danych z UODO to zadanie dyrektor sprawuje na bieżąco w ramach swoich codziennych zadań, gdyż ma stały kontakt z pracownikami, obserwuje ich zachowania, działania i nawyki. Może działać więc sprawniej, aniżeli ABI, gdyż uczestniczy aktywnie w całym procesie przetwarzania danych, a nie tak jak ABI, tylko w trakcie kontroli, nadzór nad wykonaniem i aktualizacją dokumentacji oraz stosowaniem zasad w niej zawartych wykonanie i aktualizacja dokumentacji to zadanie wymagające znajomości zasad dokumentowania, które może być przez dyrektora zlecane podmiotom wyspecjalizowanym. Gdyby dyrektor powołał ABI, dokumentację i tak musiałby wykonać podmiot zewnętrzny lub dyrektor, gdyż ABI sprawdza jedynie jej poprawność, a nie jest odpowiedzialny za jej wykonanie. Nadzór nad stosowaniem zasad określonych w dokumentacji dyrektor jest w stanie samodzielnie zapewnić na podobnych zasadach jak powyżej, zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych dyrektor powinien przeszkolić pracowników z zasad przetwarzania danych, a także mieć na uwadze, aby każdy nowy pracownik, przed rozpoczęciem pracy, również odbył szkolenie. Ustawa nie precyzuje, czy szkolenie ma prowadzić ABI, podmiot zewnętrzny, czy może zrobić to sam dyrektor, np. w ramach Rady pedagogicznej. Warto zwrócić uwagę, że mimo, iż przepisy nie podają w szczegółach jak udokumentować odbyte szkolenie, dobrze jest zadbać o potwierdzenie pisemne tego faktu, np. lista obecności na Radzie pedagogicznej lub też w przypadku szkoleń zewnętrznych, imienny certyfikat ze szkolenia dla pracownika. Przepisy nie określają czy dyrektor ma dokumentować nowe zadania i w jaki sposób ewentualnie ma to zrobić. Jedyną dokumentacją dotyczącą przetwarzania danych prowadzoną przez dyrektora jest polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym, które od lat powinny znajdować się w zasobach zgodnie z rozporządzeniem ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji 2
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) wydaną do art. 39a UODO. Dyrektor nie musi prowadzić żadnej dodatkowej dokumentacji związanej z nowymi zadaniami. Sposób pracy i dokumentowanie czynności są obowiązkowe tylko dla ABI. Szczegółowe wytyczne w tym zakresie zawarto w rozporządzeniu ministra administracji i cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji. 4. Jakie korzyści może przynieść placówce powołanie ABI? [ ] Dyrektor, na podstawie dokonanych przez ABI sprawdzeń i przedstawionych sprawozdań, ma obraz jakości pracy placówki w zakresie ochrony danych osobowych [ ] Powołanie ABI może przynieść dyrektorowi swobodę i harmonię pracy w zakresie prawidłowego przetwarzania danych w placówce oraz odciążyć go od koniecznego nadzoru i kontroli. Działania te ABI musi dokumentować sprawozdaniem z przeprowadzonego sprawdzenia, które powinno być wykonywane zgodnie z wcześniej ustalonym planem (szczegóły w rozporządzeniu ministra administracji i cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji). Dyrektor, na podstawie dokonanych przez ABI sprawdzeń i przedstawionych sprawozdań, ma obraz jakości pracy placówki w zakresie ochrony danych osobowych. Ponadto, dyrektor powołując ABI będzie korzystał z dodatkowego zwolnienia (zw. z art. 43.1a UODO) ze zgłoszeń zbiorów do GIODO. Z obowiązku rejestracji, w tym przypadku, zwolnione są zbiory, w których dane przetwarzane są elektronicznie, ale nie zawierają danych wrażliwych (art. 27 UODO). 5. Jakie mogą być negatywne skutki powołania ABI? [ ] GIODO może zwrócić się do ABI o dokonanie sprawdzenia dyrektora, który go powołał [ ] Zasadniczo, rola ABI może być pozytywna dla dyrektora, gdyż ABI pełniłby w procesach przetwarzania danych funkcje nadzorcze, doradcze oraz wpierał dyrektora wiedzą, sugerując wdrożenia lepszych rozwiązań technicznych czy organizacyjnych. Jednak niedogodnością dla dyrektora może być fakt, iż GIODO ma prawo zlecić ABI dokonanie sprawdzenia placówki pod kątem poprawności jej pracy w zakresie ochrony danych osobowych. ABI w takim przypadku staje się narzędziem kontrolnym GIODO. UODO: Art. 19b. 1. Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji wpisanego do rejestru, o którym mowa w art. 46c, o dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia. 3
6. Czy powołany ABI zwolni dyrektora z odpowiedzialności za ochronę danych osobowych w placówce? [ ] niezależnie od powołania ABI dyrektor nadal jest odpowiedzialny za stosowanie UODO [ ] Jak wspomniano wcześniej, powstało mylne przekonanie, że powołując ABI dyrektor zrzuci na niego odpowiedzialność za przetwarzanie danych. Tymczasem niezależnie od tego czy w placówce będzie ABI czy nie, to dyrektor nadal jest odpowiedzialny za stosowanie przepisów UODO w swojej placówce, zaś ABI tylko doradcą czy kontrolerem jakości. 7. Czy powołanie ABI rodzi skutki finansowe lub organizacyjne? [ ] Dyrektor powinien zapewnić środki finansowe dla ABI [ ] Dyrektor powinien zapewnić środki finansowe nie tylko na wynagrodzenie czy stanowisko pracy ABI, ale również na inne wydatki związane z wykonywanymi przez niego zadaniami, np. zakup komputera, oprogramowanie czy szkolenia. Niezwykle ważne jest również to, że ABI musi podlegać bezpośrednio dyrektorowi. Warunek ten jest niezbędny dla prawidłowego wykonywania zadań ABI związanych z prowadzeniem sprawdzeń poprawności pracy. UODO: Art. 36a.8. Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań, o których mowa w ust. 2. 8. Kto powinien zostać ABI? [ ] ABI może być osoba, która posiada odpowiednią widzę [ ] ABI może zostać każda osoba spełniająca wymagania określone w UODO. Podstawa prawna UODO: Art. 36a.5. Administratorem bezpieczeństwa informacji może być osoba, która: 1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych; 2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; 3) nie była karana za umyślne przestępstwo. Jednak w praktyce dyrektor będzie miał do wyboru, albo osobę z zewnątrz, która wykaże odpowiednią znajomość problematyki ochrony danych osobowych (nie trzeba jej dokumentować żadnymi uprawnieniami czy certyfikatami), albo też, co najczęściej brane jest pod uwagę, pracownika już zatrudnionego. Powołanie pracownika na ABI jest prostsze organizacyjnie i nie wymaga z reguły żadnych dodatkowych działań i wydatków. Jest jednak rozwiązaniem niekorzystnym w przypadku, kiedy wyznaczony ABI nie ma odpowiedniej wiedzy i przygotowania do pełnienia zadań, a musi nim zostać dla zasady. W tym miejscu należy jeszcze raz przypomnieć, że powoływanie ABI nie jest obowiązkiem lecz uprawnieniem dyrektora. Potwierdzenie na stronach GIODO: http://www.giodo.gov.pl/1520223/id_art/8346/j/pl/ 4
9. Czy do 30 czerwca 2015 r. należy zgłosić powołanie ABI do GIODO? [ ] Zgłoszenie ABI do GIODO jest dobrowolne i może nastąpić w każdym czasie [ ] Zgłoszenie ABI do GIODO jest dobrowolne i może nastąpić w każdym czasie. Ustawa z dnia 7.11.2014 r. o ułatwieniu wykonywania działalności gospodarczej w art. 35 wprowadziła okres przejściowy pozwalający dyrektorowi na zgłoszenie ABI powołanego przed 1 stycznia 2015 r. do rejestru GIODO do 30 czerwca 2015r. Ten termin dotyczy tylko tych dyrektorów, którzy powołali/wyznaczyli ABI przed dniem 1 stycznia 2015 r., czyli przed wejściem w życie nowych przepisów UODO. W takim przypadku, jeżeli dyrektor chce, aby nadal ta osoba pełniła funkcje ABI powinien zarejestrować ABI w GIODO do 30 czerwca 2015 r. Jeżeli tego nie zrobi to będzie sam pełnił zadania określone w UODO, które wcześniej zostały już omówione i nie poniesie żadnych konsekwencji. Jeżeli, dyrektor nie posiadał ABI przed 1 stycznia 2015 r., to nie ma on żadnego terminu na powołanie ABI, gdyż jak pisano wcześniej, w ogóle nie musi go powoływać. Kiedy, uzna za konieczne posiadanie ABI, może powołać go w każdej chwili. Po powołaniu lub odwołaniu ABI należy zgłosić ten fakt (zarejestrować ABI) w GIODO w terminie 30 dni. Potwierdzenie na stronach GIODO: http://www.giodo.gov.pl/1520223/id_art/8347/j/pl/ 10. Jak dokonać zgłoszenia lub odwołania ABI? Jeżeli dyrektor powoła lub odwoła ABI, zgłoszenie lub odwołanie należy dokonać zgodnie ze wzorem określonym w 4rozporządzeniu ministra administracji i cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (dz. u. 2014, poz. 1934), w terminie 30 dni. UODO: Art. 46b.1. Administrator danych jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania. 11. Czy można zgłosić ABI do GIODO po 30 czerwca 2015 r. [ ] Dyrektor może powołać ABI w dowolnym czasie [ ] Jeżeli, dyrektor (który, posiadał ABI przed 1 stycznia 2015 r.) i miał w związku z tym obowiązek zarejestrować go w GIODO, nie zdąży zgłosić tego faktu do 30 czerwca 2015 r., będzie mógł zrobić to w przyszłości w dowolnym czasie, nawet w dniu następnym, tj. 1 lipca 2015 r. Ustawa zakłada bowiem, że zawsze musi być osoba odpowiedzialna za nadzór nad bezpieczeństwem danych i może to być albo ABI, jeżeli powoła go dyrektor, lub sam dyrektor, jeśli nie wyznaczy on ABI. Ostatecznie, jeżeli dyrektor (który, posiadał ABI przed 1 stycznia 2015 r.) spóźni się z jego zgłoszeniem, to do czasu jego zgłoszenia w przyszłości, będzie pełni z mocy UODO nadzór nad bezpieczeństwem przetwarzania danych. 5
12. Podsumowanie [ ] Dyrektor jest w stanie, w ramach codziennych zadań, prowadzić skuteczny nadzór nad przetwarzaniem danych i nie potrzebuje do tego dodatkowej osoby - ABI [ ] Zdaniem autora, w małej lub średniej wielkości placówce oświatowej dyrektor nie będzie zainteresowany powołaniem ABI dlatego, że sam jest w stanie, w ramach codziennych zadań, prowadzić skuteczny nadzór nad przetwarzaniem danych. Zna dokładnie nawyki i przyzwyczajenia pracowników, umie wskazać słabe i silne strony. Żadna inna osoba nie zrobi tego lepiej. Jedyne, co może być w takiej sytuacji potrzebne dyrektorowi, to jednorazowy audyt specjalistyczny - zewnętrzny, wskazujący zagrożenia konieczne do uwzględniania. Ponadto, barierą w tego typu placówkach są środki finansowe. Wiele placówek nie stać na opłacenie choćby części nowego etatu lub zlecenia usług ABI podmiotom zewnętrznym. Z kolei, alternatywne powoływanie na ABI osób z grona pedagogicznego lub pracowników administracji tylko dla zasady jest, jak pisano wcześniej, zupełnie niezasadne. ABI ma być wsparciem i dawać wartość dodaną, nie zaś figurować tylko w ewidencji GIODO. Po co dyrektorowi ABI, o którego będzie trzeba się dodatkowo martwić, czy właściwie pracuje? Inna sytuacja może zaistnieć kiedy dyrektor ma odpowiednie środki finansowe. Wówczas, niezależnie od wielkości placówki, może powierzyć nadzór i szkolenia pracowników specjalistom. W najgorszej sytuacji są dyrektorzy dużych placówek, którzy nie są w stanie kontrolować wszystkich pracowników, a nie dysponują środkami umożliwiającymi na zatrudnienie ABI. Jedynym właściwym rozwiązaniem byłoby wyznaczenie pracownika, który zdaniem dyrektora najbardziej nadawałby się na ABI, a następnie skierowanie go na kilkudniowe szkolenie dla ABI, po którym zostałby powołany i zarejestrowany w GIODO. Jego zakres czynności musiałby zostać powiększony o zadania ABI (art. 36a.2 oraz UODO). Trzeba jednak zwrócić uwagę na fakt, iż bieżące zadania pracownika nie powinny kolidować z nowymi zadaniami ABI. UODO: Art. 36a.4. Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust.2. 6