Żeby ustalić, czy informatyk będzie mógł pełnić funkcję IOD po 25 maja, należy przeanalizować, za co odpowiada i jaki jest zakres jego zadań – uważa ekspertka
Żeby ustalić, czy informatyk będzie mógł pełnić funkcję IOD po 25 maja, należy przeanalizować, za co odpowiada i jaki ma zakres zadań – uważa ekspertka.
„Chciałbym uzyskać konkretną odpowiedź w sprawie: czy informatyk może sprawować rolę ABI w urzędzie po 25 maja 2018 r. Przecież zadaniowo jest to fakt sprzeczny!” – napisał do nas informatyk. „Czy Administrator Systemów Informatycznych może pełnić funkcję Inspektora Ochrony danych Osobowych”? – pyta inny czytelnik.
Według ekspertki z Biura GIODO w coraz większej liczbie przypadków osoby, które obecnie są administratorami bezpieczeństwa informacji, a w przyszłości będą inspektorami ochrony danych, dostrzegają przeszkody związane z łączeniem tej funkcji z innymi obowiązkami. W grupie tej są m.in. informatycy gminni.
Jak podkreśliła Monika Młotkiewicz, zastępca dyrektora Departamentu Rejestracji ABI i Zbiorów Danych Osobowych w Biurze GIODO, świadomość w zakresie wymagań dotyczących prawidłowego i skutecznego realizowania funkcji ABI rośnie. Według niej dotyczy to nie tylko ABI, ale i administratorów danych.
„Żeby ustalić, czy informatyk może pełnić jednocześnie funkcję ABI, należy przeanalizować, za co obecnie odpowiada i jaki jest zakres jego zadań” – zaznaczyła ekspertka.
Jak dodała, łączenie funkcji ABI (administratora bezpieczeństwa informacji) i ASI (administratora systemów informatycznych) wymaga takiej analizy, bo w większości przypadków pozycja ASI jest „definiowana w sferze wewnętrznej danego administratora danych”. Może np. wynikać z zakresu obowiązków pracownika, bądź z umowy o świadczenie usług zawartej z osobą niezatrudnioną w jednostce.
Ekspertka podkreśliła, że najczęściej funkcji informatyka przypisywane jest administrowanie serwerami służącymi do przetwarzania danych, określanie sposobów zabezpieczeń w systemach informatycznych, identyfikacja potencjalnych zagrożeń i podatności dla systemów informatycznych czy wykrywanie nieautoryzowanego dostępu do systemu i rola ta w większości przypadków powierzana jest informatykowi lub kierownikowi działu IT.
W opinii Moniki Młotkiewicz, jeśli ta sama osoba miałaby jednocześnie sprawować funkcję ABI, prowadziłoby to do konfliktu interesów. „W takiej sytuacji osoba odpowiadająca za przetwarzanie danych osobowych i ich bezpieczeństwo w systemach informatycznych jednocześnie sprawowałaby nadzór nad zgodnością z prawem wykonywanych przez siebie działań. To właśnie wskazywane jest jako przeszkoda uniemożliwiająca łączenie tych dwóch funkcji” – wyjaśnia.
Według ekspertki, zarówno w przypadku ABI, jak i jego przyszłego odpowiednika, czyli inspektora ochrony danych (IOD), nie powinno się jednocześnie wykonywać żadnych funkcji, które z jednej strony wiążą się z określaniem celów i sposobów przetwarzania danych osobowych i ich zabezpieczenia, a z drugiej ze sprawdzaniem zgodności podejmowanych w tym zakresie decyzji z przepisami o ochronie danych osobowych.
„Taka osoba, np. dyrektor departamentu IT, kontrolowałaby więc samą siebie, co powodowałoby faktyczny brak nadzoru nad zgodnością przetwarzania danych z przepisami prawa, w tym przepisami określającymi wymogi co do bezpieczeństwa danych osobowych” - dodała.
Zdaniem ekspertki wszystko zależy więc od tego, na czym polegają np. zadania informatyka czy kierownika działu, który miałby być jednocześnie ABI lub IOD. „Jeśli nie podejmuje decyzji w zakresie sposobów przetwarzania i środków zabezpieczenia danych osobowych w systemach informatycznych, które potem miałby weryfikować to nie ma przeszkód, by łączył te funkcje, a wykształcenie informatyczne jest bardzo przydatne do pełnienia funkcji ABI (IOD)” - zaznaczyła.
W opinii Moniki Młotkiewicz, potencjalny konflikt interesów to tylko jedna z przeszkód, która uniemożliwia łączenie funkcji ABI z wykonywaniem innych zadań. Administrator danych, wyznaczając do pełnienia funkcji ABI osobę, która jednocześnie wykonuje inne zadania w danym podmiocie, powinien wziąć pod uwagę jeszcze inne kryteria.
„Organizacyjne, ABI powinien podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych, i czasowe, ABI powinien dysponować czasem wystarczającym do wykonywania swoich zadań, przy uwzględnieniu m.in. liczby obowiązków czy stopnia ich skomplikowania” - zaznaczyła.
Prosimy o Państwa opinie i pytania k.kubicka@pap.pl.
Kkż/