Administrator Bezpieczeństwa Informacji
w krajowym porządku prawnym
adw. dr Grzegorz Sibiga
Instytut Nauk Prawnych PAN
Warszawa, 28.03.2011 r.
ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI
(UJĘCIE HISTORYCZNE)
1) Rozporządzenie MSWiA z dnia 3.6.1998 r.
(Dz.U. Nr 80, poz. 521)
2) Ustawa o ochronie danych osobowych (od
1.5.2004 r.) – art. 36 ust.3. Funkcja ABI
nie występuje w przepisach
wykonawczych do u.o.d.o.
3) Propozycje zmiany ustawy w zakresie ABI
(projekt SABI)
ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI
(aktualny stan prawny)
Administrator
danych
wyznacza
administratora
bezpieczeństwa
informacji
nadzorującego
przestrzeganie zasad ochrony … (odesłanie do
art. 36 ust.1 u.o.d.o.), chyba że sam wykonuje
te czynności
Podstawowe zasady:
1)
„Wyznaczenie”
2)
Zakres obowiązków („nadzór”)
3)
Brak obowiązku wyznaczenia ABI
ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI
(ocena regulacji)
Przepis art. 36 ust.3 u.o.d.o. nie wyjaśnia:
a) „wyznaczenie”,
b) zakresu obowiązków w ramach
„nadzoru” i sposobu wykonywania tego
zadania,
c) usytuowania w strukturze jednostki
organizacyjnej.
ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI
(praktyka wykonywania funkcji)
Różny sposoby wykonywania funkcji:
a) kontroler wewnętrzny
b) funkcja wykonawcza:
- obowiązków bezpieczeństwa
danych,
- innych ustawowych obowiązków
ochrony danych osobowych.
Porównania różnych rodzajów kontroli wewnętrznej
1) administrator bezpieczeństwa informacji
2) audytor wewnętrzny (ustawa o finansach
publicznych)
3) pełnomocnik ds. ochrony informacji
niejawnych - pełnomocnik ochrony
(ustawa o ochronie informacji niejawnych)
Propozycje
zmian
1) Status prawny: niezależne wykonywanie
zadań, podległość służbowa, usytuowanie
w strukturze zakładu pracy.
2) Zadania ABI: „kontrola” (środki kontrolne
i tryb wykonywania kontroli), zadania
wykonawcze (dokumenty wewnętrzne,
podnoszenie świadomości osób
upoważnionych, prowadzenie
wewnętrznego rejestru)
3) Wymogi wobec ABI
4) Brak obowiązku wyznaczenia ABI
Propozycje zmian
5) Konsekwencje wyznaczenia ABI:
a)
zwolnienie z obowiązku rejestracyjnego lub
aktualizacyjnego,
b)
udział ABI w kontroli wstępnej (brak wymogu
oczekiwania z rozpoczęciem przetwarzania danych
wrażliwych na czynność rejestracyjną GIODO),
c)
uproszczony tryb kontroli GIODO
(„przedkontrola”),
d)
uproszczony tryb załatwiania żądań osoby, której
dane dotyczą (wstępne załatwianie sprawy przez
ABI).
Punkty c) i d) mają charakter nieobligatoryjny.
Dziękuję za uwagę
gsibiga@inp.pan.pl