Administrator Bezpieczeństwa Informacji
w krajowym porządku prawnym
adw. dr Grzegorz Sibiga
Instytut Nauk Prawnych PAN
Warszawa, 28.03.2011 r.
ADMINISTRATOR BEZPIECZEC
STWA INFORMACJI
(UJ
CIE HISTORYCZNE)
1) Rozporządzenie MSWiA z dnia 3.6.1998 r.
(Dz.U. Nr 80, poz. 521)
2) Ustawa o ochronie danych osobowych (od
1.5.2004 r.)  art. 36 ust.3. Funkcja ABI
nie występuje w przepisach
wykonawczych do u.o.d.o.
3) Propozycje zmiany ustawy w zakresie ABI
(projekt SABI)
ADMINISTRATOR BEZPIECZEC
STWA INFORMACJI
(aktualny stan prawny)
Administrator danych wyznacza administratora
bezpieczeństwa informacji nadzorującego
przestrzeganie zasad ochrony & (odesłanie do
art. 36 ust.1 u.o.d.o.), chyba że sam wykonuje
te czynności
Podstawowe zasady:
1)  Wyznaczenie
2) Zakres obowiązków ( nadzór )
3) Brak obowiązku wyznaczenia ABI
ADMINISTRATOR BEZPIECZEC
STWA INFORMACJI
(ocena regulacji)
Przepis art. 36 ust.3 u.o.d.o. nie wyjaśnia:
a)  wyznaczenie ,
b) zakresu obowiązków w ramach
 nadzoru i sposobu wykonywania tego
zadania,
c) usytuowania w strukturze jednostki
organizacyjnej.
ADMINISTRATOR BEZPIECZEC
STWA INFORMACJI
(praktyka wykonywania funkcji)
Różny sposoby wykonywania funkcji:
a) kontroler wewnętrzny
b) funkcja wykonawcza:
- obowiązków bezpieczeństwa
danych,
- innych ustawowych obowiązków
ochrony danych osobowych.
Porównania różnych rodzajów kontroli wewnętrznej
1) administrator bezpieczeństwa informacji
2) audytor wewnętrzny (ustawa o finansach
publicznych)
3) pełnomocnik ds. ochrony informacji
niejawnych - pełnomocnik ochrony
(ustawa o ochronie informacji niejawnych)
Propozycje zmian
1) Status prawny: niezależne wykonywanie
zadań, podległość służbowa, usytuowanie
w strukturze zakładu pracy.
2) Zadania ABI:  kontrola (środki kontrolne
i tryb wykonywania kontroli), zadania
wykonawcze (dokumenty wewnętrzne,
podnoszenie świadomości osób
upoważnionych, prowadzenie
wewnętrznego rejestru)
3) Wymogi wobec ABI
4) Brak obowiązku wyznaczenia ABI
Propozycje zmian
5) Konsekwencje wyznaczenia ABI:
a) zwolnienie z obowiązku rejestracyjnego lub
aktualizacyjnego,
b) udział ABI w kontroli wstępnej (brak wymogu
oczekiwania z rozpoczęciem przetwarzania danych
wrażliwych na czynność rejestracyjną GIODO),
c) uproszczony tryb kontroli GIODO
( przedkontrola ),
d) uproszczony tryb załatwiania żądań osoby, której
dane dotyczą (wstępne załatwianie sprawy przez
ABI).
Punkty c) i d) mają charakter nieobligatoryjny.
Dziękuję za uwagę
gsibiga@inp.pan.pl