Fajgielski Paweł, Odwołanie administratora bezpieczeństwa informacji

Odwołanie administratora bezpieczeństwa informacji

Zgodnie z art. 175 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), art. 1, art. 2, art. 3 ust. 1, art. 4-7, art. 14-22, art. 23-28, art. 31 oraz rozdziały 4, 5 i 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723) zachowują moc w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie, w terminie do dnia wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89).

Zgodnie z art. 166 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), z dniem wejścia w życie przedmiotowej ustawy Generalny Inspektor Ochrony Danych Osobowych staje się Prezesem Urzędu Ochrony Danych Osobowych. Osoba, która została powołana na stanowisko Generalnego Inspektora Ochrony Danych Osobowych, na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723), pozostaje na stanowisku do czasu upływu kadencji, na którą została powołana.

Administrator danych podejmuje decyzję, czy sam będzie sprawował nadzór nad zgodnością przetwarzania danych osobowych z przepisami prawa, czy też powierzy realizację tych zadań administratorowi bezpieczeństwa informacji (ABI).

W przypadku, gdy administrator danych powołał ABI, a następnie zmienił zdanie i chciałby zrezygnować z pomocy ABI, powinien go odwołać. Przyczyną odwołania ABI może być również to, że osoba pełniąca funkcję ABI przestała spełniać ustawowe wymogi, o których mowa w art. 36a ust. 5 u.o.d.o.

Przepisy u.o.d.o. nie określają szczegółowo procedury odwołania ABI, należy jednak przyjąć, że odwołanie powinno nastąpić formalnym aktem (np. zarządzeniem), podobnie jak dokonano powołania ABI.

W przypadku ABI powołanych przed wejściem w życie nowelizacji u.o.d.o. z dnia 7 listopada 2014 r. (tj. przed dniem 1 stycznia 2015 r.) administrator danych ma czas do dnia 30 czerwca 2015 r. (zgodnie z art. 35 ustawy o ułatwieniu wykonywania działalności gospodarczej) na podjęcie decyzji, czy ABI ma kontynuować swoją działalność - wówczas należy zgłosić dotychczasowego ABI do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, czy też zrezygnować z ABI - w tym przypadku ustawodawca nie określił szczegółowej regulacji, co pociąga za sobą wątpliwości interpretacyjne. Niezgłoszenie ABI do GIODO przed upływem wskazanego powyżej terminu pociąga za sobą skutek polegający na tym, że dotychczasowy ABI przestaje być administratorem bezpieczeństwa informacji z mocy samego prawa (por. art. 35 ustawy o ułatwieniu wykonywania działalności gospodarczej). Odwołanie osoby pełniącej funkcję ABI wyznaczonej przed dniem 1 stycznia 2015 r. należy zgłosić do GIODO w ramach zgłoszenia aktualizacyjnego dotyczącego zbioru danych osobowych do rejestracji.

Od dnia 1 stycznia 2015 r. (termin wejścia w życie nowelizacji u.o.d.o.) przepisy jednoznacznie rozstrzygają, że powołanie osoby do pełnienia funkcji administratora bezpieczeństwa informacji jest fakultatywne (art. 36a u.o.d.o.), a zatem administrator danych może samodzielnie decydować o powołaniu i odwołaniu ABI.

Przyczyną odwołania ABI z pełnionej funkcji może być decyzja administratora danych bądź zaistnienie przesłanek uniemożliwiających danej osobie pełnienie funkcji ABI.