Administrator bezpieczeństwa informacji związany jest z ustawą o ochronie danych osobowych. Choć prawo mówi o takim stanowisku, sama ustawa nie definiuje dokładnie tego pojęcia. Przepisy wskazują jednak zakres obowiązków administratora bezpieczeństwa informacji. Jest on przede wszystkim odpowiedzialny za przestrzeganie przepisów o ochronie danych osobowych. W związku z tym administrator bezpieczeństwa informacji:
- sprawdza zgodność przetwarzania danych osobowych z przepisami zawartymi w ustawie;
- opracowuje sprawozdania dla administratora danych;
- nadzoruje stworzenie i aktualizowanie dokumentacji związanej z ochroną danych osobowych;
- odpowiada za to, by osoby przetwarzające dane znały przepisy związane z ochroną danych osobowych;
- prowadzi rejestr zbiorów danych, które są przetwarzane przez administratora.
Zdarza się, że administrator bezpieczeństwa informacji (ABI) mylony jest z tzw. administratorem danych (ADO).
Administrator bezpieczeństwa informacji i administrator danych osobowych
Wyjaśnienie pojęcia administratora danych znajduje się wprost w przepisach. Według nich administrator danych osobowych to organ, podmiot albo osoba, która decyduje o celu, w jakim przetwarzane są dane osobowe. W przypadku jednoosobowej działalności gospodarczej administratorem danych będzie sam przedsiębiorca. W przypadku spółki będą to członkowie zarządu, ponieważ to te osoby odpowiadają za działania spółki.
Administrator danych jest stały i nie można przekazać tej funkcji innej osobie. Zgodnie z prawem może on jednak powołać sobie administratorów bezpieczeństwa informacji, którzy będą odpowiedzialni za wykonanie i nadzór nad konkretnymi zadaniami wynikającym z ustawy. Zgodnie z tym administrator bezpieczeństwa informacji nie może przejąć odpowiedzialności przynależnej do administratora danych. W praktyce administrator bezpieczeństwa odpowiada za zabezpieczenie danych w taki sposób, by nie zostały one udostępnione osobom nieupoważnionym, albo nie były przetwarzane w sposób niezgodny z prawem.
Gdzie znaleźć dane administratora bezpieczeństwa informacji?
Rejestr administratorów bezpieczeństwa informacji jest jawny. Prowadzi go GIODO, czyli Generalny Inspektor Ochrony Danych Osobowych. Wpisanie do tego rejestru poprzedzone jest zgłoszeniem dokonywanym przez administratora danych (czyli określoną firmę). Administrator bezpieczeństwa informacji musi być oficjalnie powołany na to stanowisko, a potem zarejestrowany przez GIODO. Administrator bezpieczeństwa informacji może realizować swoje zadania po zarejestrowaniu przez GIODO. Według ustawy Generalny Inspektor Danych Osobowych ma na to 30 dni. Od tego momentu administrator kontroluje przebieg przetwarzania danych osobowych przez administratora danych i informuje go o wszelkich niedogodnościach.
Czy administrator bezpieczeństwa informacji jest potrzebny?
Powołanie administratora bezpieczeństwa informacji jest prawem ale nie obowiązkiem. Jeśli w firmie nie będzie administratora bezpieczeństwa informacji, to te zadania i tam musi wykonać* administrator danych osobowych*. Jeśli administrator zostanie powołany, nie ma obowiązku rejestracji danych osobowych u Generalnego Inspektora Ochrony Danych Osobowych. Taki rejestr jest bowiem prowadzony przez administratora bezpieczeństwa informacji. Wyjątek stanowią dane wrażliwe. Takie muszą być za każdym razem zgłaszane i rejestrowane w GIODO.