Administrator Bezpieczeństwa Informacji

w krajowym porządku prawnym

adw. dr Grzegorz Sibiga

Instytut Nauk Prawnych PAN

Warszawa, 28.03.2011 r.

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI

(UJĘCIE HISTORYCZNE)

1) Rozporządzenie MSWiA z dnia 3.6.1998 r.

(Dz.U. Nr 80, poz. 521)

2) Ustawa o ochronie danych osobowych (od

1.5.2004 r.) – art. 36 ust.3. Funkcja ABI
nie występuje w przepisach
wykonawczych do u.o.d.o.

3) Propozycje zmiany ustawy w zakresie ABI

(projekt SABI)

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI

(aktualny stan prawny)

Administrator

danych

wyznacza

administratora

bezpieczeństwa

informacji

nadzorującego

przestrzeganie zasad ochrony … (odesłanie do

art. 36 ust.1 u.o.d.o.), chyba że sam wykonuje

te czynności

Podstawowe zasady:
1)

„Wyznaczenie”

2)

Zakres obowiązków („nadzór”)

3)

Brak obowiązku wyznaczenia ABI

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI

(ocena regulacji)

Przepis art. 36 ust.3 u.o.d.o. nie wyjaśnia:

a) „wyznaczenie”,
b) zakresu obowiązków w ramach

„nadzoru” i sposobu wykonywania tego
zadania,

c) usytuowania w strukturze jednostki

organizacyjnej.

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI

(praktyka wykonywania funkcji)

Różny sposoby wykonywania funkcji:
a) kontroler wewnętrzny
b) funkcja wykonawcza:

- obowiązków bezpieczeństwa
danych,
- innych ustawowych obowiązków
ochrony danych osobowych.

Porównania różnych rodzajów kontroli wewnętrznej

1) administrator bezpieczeństwa informacji

2) audytor wewnętrzny (ustawa o finansach

publicznych)

3) pełnomocnik ds. ochrony informacji

niejawnych - pełnomocnik ochrony
(ustawa o ochronie informacji niejawnych)

Propozycje

zmian

1) Status prawny: niezależne wykonywanie

zadań, podległość służbowa, usytuowanie
w strukturze zakładu pracy.

2) Zadania ABI: „kontrola” (środki kontrolne

i tryb wykonywania kontroli), zadania
wykonawcze (dokumenty wewnętrzne,
podnoszenie świadomości osób
upoważnionych, prowadzenie
wewnętrznego rejestru)

3) Wymogi wobec ABI
4) Brak obowiązku wyznaczenia ABI

Propozycje zmian

5) Konsekwencje wyznaczenia ABI:
a)

zwolnienie z obowiązku rejestracyjnego lub

aktualizacyjnego,

b)

udział ABI w kontroli wstępnej (brak wymogu

oczekiwania z rozpoczęciem przetwarzania danych

wrażliwych na czynność rejestracyjną GIODO),

c)

uproszczony tryb kontroli GIODO

(„przedkontrola”),

d)

uproszczony tryb załatwiania żądań osoby, której

dane dotyczą (wstępne załatwianie sprawy przez

ABI).

Punkty c) i d) mają charakter nieobligatoryjny.

Dziękuję za uwagę

gsibiga@inp.pan.pl