Do końca 2014 r., zgodnie z interpretacją GIODO wyrażaną m.in. w sprawozdaniu za rok 2011, administrator danych osobowych mógł wykonywać zadania administratora bezpieczeństwa informacji jedynie wówczas, gdy był osobą fizyczną prowadzącą działalność gospodarczą. Natomiast administrator danych niebędący osobą fizyczną prowadzącą działalność gospodarczą był zobowiązany wyznaczyć na administratora bezpieczeństwa informacji konkretną osobę fizyczną – tylko taka osoba, w świetle art. 37 ustawy o ochronie danych osobowych, mogła zostać upoważniona do przetwarzania danych osobowych, a takie upoważnienie było niezbędne do prawidłowego wykonywania czynności nadzorczych przez administratora bezpieczeństwa informacji.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Otwartym pozostaje natomiast pytanie o wybór najlepszego wariantu działania. Biorąc pod uwagę generalny cel funkcjonowania systemu ochrony danych osobowych w organizacji, jakim jest przetwarzanie posiadanych danych osobowych zgodnie z obowiązującym prawem oraz w warunkach zapewniających ich poufność, integralność oraz dostępność, należy stwierdzić, iż jest to jedna z kluczowych kwestii. Ekstrapolacja dotychczasowego orzecznictwa pozwala uważać, iż możliwość samodzielnego nadzorowania systemu ochrony danych przez ADO jest ukłonem w stronę małych i średnich przedsiębiorstw, których profil działalności nie jest bezpośrednio związany z przetwarzaniem danych osobowych.
Decydując się na samodzielne pełnienie nadzoru nad systemem ochrony danych osobowych, kierownictwo danej organizacji musi ocenić, czy posiada wiedzę i rzeczywiste możliwości nadzorcze nad procesami dotyczącymi przepływu danych osobowych oraz wziąć pod uwagę następujące kryteria:
- liczbę pracowników w organizacji,
- kategorie osób, których dane dotyczą,
- kategorie posiadanych danych osobowych (zwykłe, wrażliwe),
- złożoność wykorzystywanej w organizacji infrastruktury IT,
- znajomość przepisów prawa, dotyczących bezpieczeństwa informacji (w tym danych osobowych),
- outsourcing usług poza organizację,
- skalę działań marketingowych,
- zabezpieczenia fizyczne.
Przetwarzanie danych osobowych
pod kontrolą
Zanim będzie za późno.
Należy przy tym pamiętać, iż samodzielne nadzorowanie systemu ochrony danych osobowych nie zdejmuje z ADO pozostałych obowiązków wynikających z ustawy o ochronie danych osobowych, a więc:
- spełnienia przesłanek legalności przetwarzania danych osobowych,
- wypełnienia obowiązku informacyjnego,
- stworzenia i stałego aktualizowania dokumentacji wymaganej przez przepisy,
- zarejestrowanie zbiorów danych osobowych w rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych,
- właściwego fizycznego zabezpieczenia przetwarzanych zbiorów,
- odpowiedniego przeszkolenia pracowników.