Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: KWIECIEŃ 2014
ZAKTUALIZOWANO: 4 WRZEŚNIA 2017

 

Funkcja administratora danych osobowych i administratora bezpieczeństwa informacji w szkole

 

Opracował: Łukasz Zegarek, ekspert kancelarii prawnej Lex Artist, specjalizujący się w dziedzinie ochrony danych osobowych

 

Podstawa prawna:

 

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922),
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100 poz. 1024),
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. z 2014 r. poz. 1934),
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015 r. poz. 719),
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745).

 

W Ustawie o ochronie danych osobowych występują dwa istotne pojęcia, których znaczenie nie zawsze jest w pełni zrozumiałe. Chodzi o administratora danych osobowych (ADO) i administratora bezpieczeństwa informacji (ABI). Kim są te podmioty? Jaką funkcję pełnią w szkole? Czym się od siebie różnią? Czy można pełnić jednocześnie obie te funkcje? Niniejszy artykuł ma na celu wyjaśnienie tych kwestii.

 

Administrator danych osobowych

 

Zgodnie z art. 7 pkt 4 Ustawy o ochronie danych osobowych przez administratora danych osobowych rozumie się „organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych”. Zatem podmiotami tymi są:

 

  • organy państwowe lub samorządowe,
  • państwowe lub komunalne jednostki organizacyjne,
  • podmioty niepubliczne realizujące zadania publiczne,
  • osoby prawne, jednostki organizacyjne nieposiadające osobowości prawnej lub osoby fizyczne, przetwarzające dane w związku ze swą działalnością zarobkową, zawodową albo dla realizacji celów statutowych.

 

Szkołę publiczną należy zakwalifikować jako ADO. Spełnia ona bowiem wszystkie warunki definicyjne wskazane w art. 7 pkt 4 uodo., a więc jest administratorem danych z mocy prawa. Pełnienia tej funkcji nie można przenieść na kogoś innego (np. poprzez umowę), dlatego udzielenie przez ADO pełnomocnictwa (np. do złożenia wniosku rejestracyjnego do GIODO) nie pozbawia go statusu administratora danych. Inaczej mówiąc – określony podmiot albo jest, albo nie jest administratorem danych osobowych i nie ma w tym zakresie żadnej dobrowolności. Aby jednak szkoła (jako ADO) mogła realizować nałożone na nie obowiązki (np. dotyczące nadawania upoważnień), potrzebna jest osoba wykonująca je w jego imieniu. Osobami tymi, w odniesieniu do wskazanych placówek, są ich dyrektorzy, bowiem to oni nimi kierują.

 

szkoła = administrator danych osobowych

dyrektor = osoba reprezentująca administratora danych osobowych

 

Administrator bezpieczeństwa informacji

 

Z kolei o administratorze bezpieczeństwa informacji (ABI) mowa jest w art. 36a uodo. Zgodnie z nowym, obowiązującym od 1 stycznia 2015 r., brzmieniem Ustawy o ochronie danych osobowych, administrator danych może powołać administratora bezpieczeństwa informacji (art. 36a ust. 1), a w przypadku jego niepowołania, sam realizuje jego zadania (art. 36b). Administrator danych osobowych może więc sam pełnić tę funkcję lub wyznaczyć inną osobę (np. innego pracownika szkoły). Istnieje również możliwość outsourcingu ABI (w takiej sytuacji administratorem bezpieczeństwa informacji będzie pracownik zewnętrznej firmy, która zajmuje się ochroną danych osobowych). Zawsze jednak należy pamiętać, że niezależnie od tego, która z tych trzech możliwości zostanie wybrana, każda szkoła musi w swojej strukturze mieć administratora bezpieczeństwa informacji – działającego w imieniu ADO dyrektora bądź innej wyznaczonej osoby.

 

Przy wyborze osoby mającej pełnić funkcję administratora bezpieczeństwa informacji w szkole, należy pamiętać o ustawowych wytycznych odnośnie jego kwalifikacji. Zgodnie z art. 36a ust. 5 uodo, administratorem bezpieczeństwa informacji może być osoba, która spełnia wszystkie następujące warunki:

 

  • ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
  • posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
  • nie była karana za umyślne przestępstwo.

 

Regulacje ustawowe określają również pozycję ABI w strukturze administratora danych. Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki, a administrator danych musi mu zapewnić środki oraz organizacyjną odrębność, niezbędne do niezależnego wykonywania jego zadań.

 

Należy pamiętać, że w przypadku ABI mamy do czynienia z powołaniem osoby sprawującej tę funkcję. Niezbędne jest zatem sporządzenie odpowiedniego dokumentu w tym zakresie (najlepiej w formie pisemnej) i wdrożenie go zgodnie z obowiązującymi w szkole wewnętrznymi procedurami.