W obecnie obowiązującym stanie prawnym przepisy dotyczące Administratora Bezpieczeństwa Informacji dotyczące jego pozycji prawnej wskazują, że „podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych” (art. 36a ust. 7) a „administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań” (art. 36a ust. 8).
Z kolei RODO w art. 38 ust. 6 wskazuje, że „Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów”.
Ciekawej wskazówki w zakresie niezależności ABI dostarczył bawarski organ ochrony danych osobowych, który wskazał, że niedopuszczalne jest łączenie funkcji Inspektora ochrony danych (ABI) z menadżerem IT (ASI) z uwagi na konflikt interesów. W takim przypadku nadzoruje on bowiem samego siebie (https://globalcompliancenews.com/germany-data-protection-officer-conflict-of-interest-20161121/).
Rozdzielenie funkcji ABI od ASI było od jakiegoś czasu podawane jako przykład dobrej praktyki zapewniającej prawidłowe funkcjonowanie systemu ochrony danych osobowych.
Interpretacja jest ciekawa także o tyle, że naruszenie przepisu o statusie inspektora ochrony danych skutkować może po 25 maja 2018 roku nałożeniem administracyjnej kary pieniężnej.
z poważaniem,
Tomasz Cygan