Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: MAJ 2013

ZAKTUALIZOWANO: MARZEC 2015


Administrator bezpieczeństwa informacji w placówkach oświatowych


Opracował: Łukasz Zegarek, prawnik, ekspert kancelarii prawnej Lex Artist, specjalizujący się w dziedzinie ochrony danych osobowych


Podstawa prawna:


  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.),
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100 poz. 1024),
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. z 2014 r. poz. 1934).


Wielu dyrektorów szkół czy też przedszkoli, dbając o to, aby w ich placówkach dane osobowe przetwarzano zgodnie z wszelkimi wymogami przewidzianymi przez prawo, trafia w pewnym momencie na przepis dotyczący powołania administratora bezpieczeństwa informacji – ABI (pojęcie to nie jest tożsame z administratorem danych osobowych!). Kim w ogóle jest ABI? Kto może pełnić tę funkcję? Jakie kwalifikacje powinien posiadać? Co należy do jego obowiązków? Niniejszy artykuł odpowiada na te pytania i wskazuje, na co zwrócić szczególną uwagę, wyznaczając administratora bezpieczeństwa informacji.


Rozdział V Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (uodo.) dotyczy kwestii zabezpieczenia danych osobowych. Zawarty w nim art. 36 ust. 1 stanowi, że „administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem”. Najistotniejszy w kontekście funkcji administratora bezpieczeństwa informacji jest jednak art. 36a ust. 1 uodo. , w myśl którego „administrator danych może powołać  administratora bezpieczeństwa informacji” Dalsze unormowania zawarte w uodo. określają m.in. zadania ABI oraz jego pozycję w strukturze organizacyjnej administratora danych osobowych. 

W publicznych, jak i niepublicznych placówkach oświatowych funkcję ABI może pełnić:


  • dyrektor placówki (jako podmiot reprezentujący administratora danych osobowych) – jeśli sam realizuje zadania ustawowo przewidziane dla administratora bezpieczeństwa informacji,
  • wyznaczony pracownik placówki edukacyjnej,
  • osoba niebędąca pracownikiem danej jednostki (np. pracownik zewnętrznej firmy w ramach outsourcingu ABI).


W odniesieniu do pierwszej możliwości należy zauważyć, że rozwiązanie to z praktycznego punktu widzenia nie wydaje się korzystne. Trzeba mieć na uwadze, że ze względu na liczbę zadań, jakie spoczywają na dyrektorze placówki, obciążenie go kolejnymi powinnościami (w tym wypadku wynikającymi z pełnienia funkcji ABI) mogłoby stanowić zagrożenie dla prawidłowego wywiązywania się z każdego z nich. Ponadto wykonywanie wskazanych obowiązków przez administratora danych tak naprawdę prowadziłoby do tego, że podmiot ten kontrolowałby samego siebie. W związku z tym na ABI wyznacza się przeważnie inną osobę.

Częściej administratorem bezpieczeństwa informacji zostaje pracownik danej placówki. Jest to o tyle zasadne, że osoba ta będzie z reguły dobrze znała strukturę organizacyjną jednostki i sposób jej funkcjonowania. Minusem takiego rozwiązania stanowi konieczność wcześniejszego przeszkolenia pracownika. Potrzebny będzie również czas na zebranie doświadczenia i wdrożenie się do sprawowania nowej funkcji. Jest jeszcze jeden bardzo praktyczny aspekt – jeśli ABI to „nasz” pracownik – to może on mieć trudności ze zdobyciem autorytetu wśród kolegów i koleżanek.


Alternatywą może być zlecenie sprawowania kontroli w zakresie ochrony danych osobowych (w tym zadań ABI) podmiotowi z zewnątrz. Daje nam to możliwość kontroli naszej organizacji przez w pełni obiektywną osobę, dysponującą fachową wiedzą i dużym doświadczeniem. Minusem takiego rozwiązania może okazać się jego koszt, jednakże ze względu na coraz większą specjalizację firm doradczych – koszty te są coraz niższe.


Dokonując wyboru określonej osoby na omawiane stanowisko, szczególną wagę należy przywiązać do posiadanych przez nią kwalifikacji. Zgodnie z art. 36a ust. 5 uodo., administratorem bezpieczeństwa informacji może być osoba, która spełnia łącznie następujące warunki:


  • ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych – nie jest ubezwłasnowolniona częściowo lub całkowicie oraz nie została skazana wyrokiem na pozbawienie części lub całości praw publicznych,
  • posiada odpowiednią wiedzę w zakresie ochrony danych osobowych – jest to kryterium niedookreślone, za posiadanie takiej wiedzy może być uznane np. ukończenie kursów z zakresu ochrony danych osobowych lub posiadanie praktyki w tym zakresie,
  • nie była karana za umyślne przestępstwo.