ADO to nie ABI!

Znowu w swojej pracy jako ABI spotkałem ciekawą konstrukcje w jednej z placówek „oświatowych” którą chwiałbym opisać- dodam, że BŁĘDNĄ.

Konstrukcja wyglądała następująco:

Dyrektor placówki „oświatowej” oznajmił że jest Administratorem Bezpieczeństwa Informacji podobno zgodnie z Art. 36a ust. 1 UODO:

„Administrator danych może powołać administratora bezpieczeństwa informacji.”

Co za tym idzie, Dyrektor jako samo-mianowany ABI wyznaczył sobie zastępcę w rozumieniu Art. 36a ust. 6 Administrator danych może powołać zastępców administratora bezpieczeństwa informacji, którzy spełniają warunki określone w ust. 5., który to miał wykonywać wszystkie zadania ABI opisane w Art. 36a ust. 2:

„1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,

c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7.”

Motywacją do stworzenia takiej konstrukcji przez Dyrektora była chęć skorzystania z profitów jakie daje wyznaczenie funkcji ABI (np. nowe podstawy zwolnienia z rejestracji zbirów danych) oraz oddelegowanie zadań ABI osobie która nie spełnia wymogów określonych w art. 36 a ust. 7 i 8:

„7. Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych

8. Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań, o których mowa w ust. 2.”

Z całej tej układanki jedynym aspektem który nie jest błędnym podejście to fakt, iż zastępcy ABI nie muszą spełniać wymagań dotyczących samego ABI tylko jedynie wymagania opisane w ust. 5 art. 36a:

„Administratorem bezpieczeństwa informacji może być osoba, która:

„1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;

2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;

3) nie była karana za umyślne przestępstwo. „

ADO nie jest ABI, i nie może się nim wyznaczyć – w tym przypadku ADO jest Dyrektor Placówki – skrót myślowy – Administratorem danych osobowych uczniów jest ten, kto decyduje o celach i środkach przetwarzania danych czyli szkoła, którą reprezentuje dyrektor szkoły (dopisane 30.30.2016). Jeżeli Dyrektor nie wyznacza innej osoby na ABI, to jedynie co będzie miał wspólnego z tą funkcją to wykonywanie jego obowiązków (poza sprawozdaniami w rozumieniu art. 36a ust. 2 pkt 1 lit. A), co nie może być mylone z byciem ABI:

„Art. 36b. W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych.”

Z poważaniem,
Michał Geilke

2 Comments

  1. Dodzina

    Dyrektor szkoly nie jest przecież ADO… tylko organ zalozycielski tej szkoly!

    Reply
    1. Michał (Post author)

      Dzień dobry,

      W treści wpisu faktycznie jest użyty skrót myślowy „że ADO jest Dyrektor szkoły”. Administratorem danych osobowych uczniów jest ten, kto decyduje o celach i środkach przetwarzania danych czyli szkoła, którą reprezentuje dyrektor szkoły i on decyduje w jej imieniu.

      Może się mylę, dlaczego ADO jest według Pani Organ założycielski?

      Pozdrawiam,

      Reply

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

nineteen + fifteen =