OPUBLIKOWANO: PAŹDZIERNIK 2013
ZAKTUALIZOWANO: 25 MARCA 2018
Funkcja administratora danych osobowych i administratora bezpieczeństwa informacji w przedszkolu niepublicznym
Podstawa prawna:
- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.),
- Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100 poz. 1024).
W Ustawie o ochronie danych osobowych występują dwa istotne pojęcia, których znaczenie nie zawsze jest w pełni zrozumiałe. Chodzi o administratora danych osobowych (ADO) i administratora bezpieczeństwa informacji (ABI). Kim są te podmioty? Jaką funkcję pełnią w przedszkolu niepublicznym? Czym się od siebie różnią? Czy można pełnić jednocześnie obie te funkcje? Niniejszy artykuł ma na celu wyjaśnienie tych kwestii.
Administrator danych osobowych
Zgodnie z art. 7 pkt 4 Ustawy o ochronie danych osobowych przez administratora danych osobowych rozumie się „organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych”. Zatem podmiotami tymi są:
- organy państwowe lub samorządowe,
- państwowe lub komunalne jednostki organizacyjne,
- podmioty niepubliczne realizujące zadania publiczne,
- osoby prawne, jednostki organizacyjne nieposiadające osobowości prawnej lub osoby fizyczne, przetwarzające dane w związku ze swą działalnością zarobkową, zawodową albo dla realizacji celów statutowych.
Przedszkole niepubliczne należy zakwalifikować jako ADO. Spełnia ono bowiem wszystkie warunki definicyjne wskazane w art. 7 pkt 4 uodo., a więc jest administratorem danych z mocy prawa. Pełnienia tej funkcji nie można przenieść na kogoś innego (np. poprzez umowę), dlatego udzielenie przez ADO pełnomocnictwa (np. do złożenia wniosku rejestracyjnego do GIODO) nie pozbawia go statusu administratora danych. Inaczej mówiąc – określony podmiot albo jest, albo nie jest administratorem danych osobowych i nie ma w tym zakresie żadnej dobrowolności. Aby jednak przedszkole (jako ADO) mogło realizować nałożone na nie obowiązki (np. dotyczące nadawania upoważnień), potrzebna jest osoba wykonująca je w jego imieniu. Osobami tymi w odniesieniu do wskazanych placówek są ich dyrektorzy. To oni bowiem nimi kierują.
przedszkole = administrator danych osobowych
dyrektor = osoba reprezentująca administratora danych osobowych
Administrator bezpieczeństwa informacji
Z kolei o administratorze bezpieczeństwa informacji (ABI) jest mowa w art. 36 uodo. Zgodnie z ust. 3 wskazanego artykułu: „Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności”. Administrator danych osobowych może więc sam pełnić tę funkcję lub wyznaczyć inną osobę (np. innego pracownika przedszkola niepublicznego). Istnieje również możliwość outsourcingu ABI (w takiej sytuacji administratorem bezpieczeństwa informacji będzie pracownik zewnętrznej firmy, która zajmuje się ochroną danych osobowych). Zawsze jednak należy pamiętać, że niezależnie od tego, która z tych trzech możliwości zostanie wybrana, każde przedszkole musi mieć w swojej strukturze administratora bezpieczeństwa informacji – w postaci działającego w imieniu ADO dyrektora bądź innej wyznaczonej osoby.
Oprócz art. 36 ust. 3 uodo. dalsze przepisy Ustawy
