Nie ma zakazu łączenia funkcji ABI i pełnomocnika ds. ochrony informacji niejawnych
Ustawa o ochronie danych osobowych nie zakazuje wprost łączenia funkcji administratora bezpieczeństwa informacji (ABI) i pełnomocnika do spraw ochrony informacji niejawnych – informuje GIODO.
Jak podkreśla GIODO, w każdym konkretnym przypadku konieczne jest jednak dokonanie rzetelnej oceny pod kątem spełnienia wszystkich ustawowych warunków gwarantujących ABI niezależne i prawidłowe wykonywanie swojej funkcji.
Połączenie funkcji nie może wpływać na prawidłowe umiejscowienie ABI w strukturze administratora danych i wykonywanie jego zadań w sposób niezależny.
W zakresie zapewniania przestrzegania przepisów o ochronie danych osobowych, ABI nie może podlegać ani otrzymywać poleceń od osób innych niż kierownik jednostki organizacyjnej lub osoba fizyczna będąca administratorem danych.
Taki wymóg dotyczy też pełnomocnika ds. ochrony informacji niejawnych, który zgodnie z prawem powinien podlegać bezpośrednio kierownikowi jednostki organizacyjnej, w której wykonuje swoje obowiązki.
Łączenie funkcji ABI i pełnomocnika do spraw ochrony informacji niejawnych nie może prowadzić do naruszenia prawidłowego wykonywania zadań administratora bezpieczeństwa informacji. Zadania te są określone w ustawie o ochronie danych osobowych.
Administrator danych nie może m.in. obarczać ABI obowiązkami, które utrudniałyby właściwe wykonywanie jego ustawowych obowiązków. W każdej sytuacji należy przeanalizować, czy ABI jest w stanie wykonywać swoje zadania w sposób prawidłowy przy pełnieniu obu funkcji jednocześnie.
Należy też wziąć pod uwagę ilość czasu potrzebnego na wykonywanie poszczególnych obowiązków, w tym na współpracę z innymi służbami kontrolnymi. Ważny jest także stopień skomplikowania i ważności zadań, rezerwa czasowa na nieplanowane zadania, ilość i rodzaj danych osobowych oraz procesów i systemów informatycznych służących do ich przetwarzania, obszary ryzyka związane z tymi procesami.
Według GIODO, pod rozwagę należy brać również wiele innych czynników, takich jak np. struktura, wielkość i zasoby kadrowe danego podmiotu, w tym również pod kątem obowiązku prowadzenia szkoleń personelu. Uwzględnienia i analizy wymagają obowiązki związane z pełnieniem funkcji pełnomocnika do spraw informacji niejawnych. Należy rozważyć również ilość informacji niejawnych oraz ich rodzaj, a także czas i możliwości wykonywania wszystkich zadań określonych w ustawie o ochronie informacji niejawnych.
Należy do nich m.in. zapewnienie ochrony informacji niejawnych, w tym stosowanie środków bezpieczeństwa fizycznego, ochrona systemów teleinformatycznych, w których są przetwarzane, zarządzanie ryzykiem bezpieczeństwa i kontrola ich ochrony.
GIODO zaznacza, że zadania ABI dotyczą wszystkich danych osobowych przetwarzanych przez administratora danych, natomiast zadania pełnomocnika ds. informacji niejawnych koncentrują się na szczególnej kategorii informacji, jakimi są informacje niejawne. Zadania przypisywane obu funkcjom wykazują pewne podobieństwa, a wiedza i doświadczenie potrzebne do pełnienia jednej z tych funkcji mogą być pomocne w pełnieniu drugiej.
Administrator danych musi zapewnić administratorowi bezpieczeństwa informacji środki i organizacyjną odrębność niezbędne do niezależnego wykonywania zadań. Zbliżone rozwiązanie przewidziane jest w ustawie o ochronie informacji niejawnych dla pełnomocnika ds. informacji niejawnych, który realizuje swoje zadania przy pomocy wyodrębnionej i podległej mu komórki organizacyjnej do spraw ochrony informacji niejawnych, jeżeli jest ona utworzona w jednostce organizacyjnej.
Komórką taką może być też kancelaria tajna. W przypadku utworzenia takiej komórki, pełnomocnik ds. informacji niejawnych może dysponować pomocą i wsparciem pracowników „pionu ochrony” przy realizacji swoich zadań w związku z pełnioną funkcją. W konkretnych przypadkach może to pozytywnie wpłynąć na ocenę możliwości łączenia obu funkcji.
Zostań ABI, przyjedź na kurs podstawowy z ochrony danych osobowych https://www.ksoin.pl/kurs-podstawowy-ochrony-danych-osobowych/.
Źródło: GIODO