> Administrator Bezpieczeństwa Informacji nie powinien wydawać upoważnień do przetwarzania danych osobowych

10.03.2018

Administrator Bezpieczeństwa Informacji nie powinien wydawać upoważnień do przetwarzania danych osobowych

Generalny Inspektor Ochrony Danych Osobowych opublikował 8 marca 2018 r. stanowisko, zgodnie z którym Administrator Bezpieczeństwa Informacji nie powinien wydawać w imieniu Administratora Danych upoważnień do przetwarzania danych osobowych. Wykładnia ta będzie miała znaczenie także dla osób wykonujących funkcję Inspektora Ochrony Danych, po wejściu w życie RODO.  

Opublikowana opinia jest istotną zmianą stanowiska, gdyż Generalny Inspektor Ochrony Danych Osobowych do tej aprobował takie rozwiązanie i nie kwestionował go w trakcie kontroli. Obecnie GIODO wskazał, że uodo-1997 nie zakazuje oczywiście Administratorowi Danych delegowania na inne osoby prawa do wydawania upoważnień do przetwarzania danych w jego imieniu, powinno to jednak zostać zrobione w sposób wyraźny, np. w drodze uchwały zarządu, zarządzenia lub pełnomocnictwa. Upoważnienie takie jednak nie powinno być wydawane Administratorowi Bezpieczeństwa Informacji.

Zdaniem GIODO takie rozwiązanie kłóci się z zapisami art. 36a ust. 4 uodo-1997, zgodnie z którym nakładając na ABI jakichkolwiek inne obowiązki niż wprost wskazane ustawie, należy starannie rozważyć, czy nie naruszy to prawidłowego wykonywania jego podstawowych zadań. A do tych należy m.in. nadzorowanie przez ABI opracowania i aktualizowania wewnętrznej dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ich ochronę. Wśród tych środków znajduje się także obowiązek zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo, zostały wprowadzone do zbioru oraz komu są przekazywane (art. 38 uodo-1997). Realizacja tego zadania przez Administratora Bezpieczeństwa Informacji prowadzi jednak wprost do sytuacji, gdy realizując nadzór, sprawdzałby on sam siebie.

Zdaniem GIODO: „dla zapewnienia właściwego systemu ochrony danych w jednostce najkorzystniejszym rozwiązaniem byłoby nadawanie upoważnienia do przetwarzania danych przez samego administratora danych lub – w zależności od wielkości podmiotu i jego struktury – przez np. kierownika działu kadr lub kierowników innych komórek organizacyjnych. Osoby te bowiem mogą najbardziej precyzyjnie określać, komu oraz w jakim zakresie, upoważnienie powinno zostać nadane i na bieżąco je aktualizować.”

Sama procedura nadawania upoważnień oraz ich treść, mogą, a nawet powinny zostać skonsultowane z Administratorem Bezpieczeństwa Informacji, który – jako specjalista z zakresu ochrony danych osobowych – powinien weryfikować zgodność przyjętych rozwiązań z przepisami o ochronie danych osobowych.

Należy ocenić, że to stanowisko GIODO będzie miało wpływ na sposób wykonywania funkcji przez Inspektorów Ochrony Danych, którzy będą obowiązkowo powoływani w części jednostek organizacyjnych po 25 maja 2018. Zgodnie z art. 39 RODO do zadań IOD należeć będzie informowanie Administratora Danych oraz pracowników o obowiązkach w zakresie ochrony danych osobowych, doradzanie im w tej sprawie oraz monitorowanie przestrzegania obowiązujących zapisów. Podobnie jak w przypadku ABI, rola Inspektora ma przede wszystkim charakter nadzorczo – kontrolny i doradczy, nie zaś wykonawczy. Potwierdzeniem tego jest  także art. 38 ust. 6 RODO wyraźnie zakazujący nakładania na Inspektora Ochrony Danych jakichkolwiek zadań  i obowiązków, które powodowałyby konflikt interesów.

Pełna treść stanowiska GIODO dostępna jest na stronie www:  https://abi.giodo.gov.pl/zadania-abi

Dodaj komentarz