ABI – Administrator Bezpieczeństwa Informacji – kto to?

To stanowisko stworzone na podstawie Ustawy o Ochronie Danych Osobowych z 1997 roku. Jest to osoba, która nadzoruje z upoważnienia administratora danych osobowych, przestrzeganie przez firmy przepisów dotyczących przetwarzania i ochrony danych osobowych. Podmiot taki posiada kompetencje opisane nie tylko w ustawie, ale i w dokumentach wewnętrznych danej firmy. 

Kim jest ABI?

Według art. 36a ust. 2 ustawy o Ochronie Danych Osobowych ABI to osoba zapewniająca przestrzeganie przepisów za pomocą określonych czynności. Należy do nich m.in. sprawdzanie zgodności przetwarzania danych z przepisami ustawy czy nadzorowanie, sprawdzanie i przygotowywanie wymaganych do tego celu dokumentacji. Dba też o to, aby osoby upoważnione do przetwarzania danych były zaznajomione z przepisami. 

ADO a ABI – różnice między Administratorem Danych Osobowych, a Administratorem Bezpieczeństwa Informacji

Te dwa pojęcia w praktyce czasami trudno od siebie odróżnić. O ADO możemy przeczytać bezpośrednio w przepisach i jest to organ, jednostka organizacyjna, podmiot lub osoba, która  podejmuje decyzje o celach i środkach przetwarzania danych osobowych. Czyli – dla jednoosobowej działalności gospodarczej jest to przedsiębiorca, a dla spółki – spółka (w praktyce zarząd, który ją reprezentuje). Dla ABI taka definicja nie istnieje – w ustawie możemy przeczytać jedynie o zadaniach Administratora.  

ADO nie może przekazywać swojej funkcji na kogoś innego i jest organem stałym. Ustawa mówi jednak, że może on powoływać Administratorów Bezpieczeństwa Informacji, którym przekazuje konkretne zadania. Powołany zatem przez administratora danych ABI nie zastępuje go w pełni i nie ponosi takiej samej odpowiedzialności. Wykonuje jedynie powierzone przez niego zadania.  

Ważne jest, że w świetle przepisów wyznaczenie Administratora Bezpieczeństwa Informacji nie jest obowiązkowe. W przypadku niepowołania ABI, czynności wymienione w ustawie wykonuje administrator danych osobowych. Jeżeli jednak firma zdecyduje się na powołanie osoby na to stanowisko obowiązkowe jest dokonanie rejestracji – w ciągu 30 dni. 

Zmiany związane z wejściem w życie RODO

Rozporządzenie o Ochronie Danych Osobowych wchodzi w życie 25 maja 2018 roku. Jedną ze zmian, jakie wprowadza jest zastąpienie Administratora Bezpieczeństwa Informacji (ABI) przez IOD, czyli Inspektora Ochrony Danych Osobowych. Jak wiemy, ABI nie był urzędem obligatoryjnym, jednak mimo to był przez wiele firm powoływany. Po wejściu RODO w życie przedsiębiorcy nie będą mieli już wyboru – w firmie będzie musiał zostać powołany IOD.  Co więcej – dotyczy to nie tylko przedsiębiorstw, ale także wszystkich instytucji publicznych, które w swojej działalności gromadzą i przetwarzają dane.