ABI/IOD a ASI

W obecnie obowiązującym stanie prawnym przepisy dotyczące Administratora Bezpieczeństwa Informacji dotyczące jego pozycji prawnej wskazują, że „podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych” (art. 36a ust. 7) a „administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań” (art. 36a ust. 8).

Z kolei RODO w art. 38 ust. 6 wskazuje, że „Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów”.

Ciekawej wskazówki w zakresie niezależności ABI dostarczył bawarski organ ochrony danych osobowych, który wskazał, że niedopuszczalne jest łączenie funkcji Inspektora ochrony danych (ABI) z menadżerem IT (ASI) z uwagi na konflikt interesów. W takim przypadku nadzoruje on bowiem samego siebie (https://globalcompliancenews.com/germany-data-protection-officer-conflict-of-interest-20161121/).

Rozdzielenie funkcji ABI od ASI było od jakiegoś czasu podawane jako przykład dobrej praktyki zapewniającej prawidłowe funkcjonowanie systemu ochrony danych osobowych.

Interpretacja jest ciekawa także o tyle, że naruszenie przepisu o statusie inspektora ochrony danych skutkować może po 25 maja 2018 roku nałożeniem administracyjnej kary pieniężnej.

z poważaniem,
Tomasz Cygan

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

seventeen + 9 =