Pytanie:
Czy dzień 30 czerwca 2015 r., to data do której należy ostatecznie dokonać zmian w dokumentacji Ośrodka, stanowiącej system ochrony danych osobowych? W Ośrodku funkcję administratora bezpieczeństwa informacji pełni informatyk, który służbowo jest podległy kierownikowi jednostki Organizacyjnej Ośrodka. Czy zmiany zobowiązują do zmiany struktury organizacyjnej Ośrodka, która sprawi, że informatyk będzie podległy jedynie Dyrektorowi / Kierownikowi Ośrodka?
Art. 35. ustawy zmieniajacej „Administrator bezpieczeństwa informacji wyznaczony na podstawie art. 36 ust. 3 ustawy zmienianej w art. 9, w brzmieniu dotychczasowym, pełni funkcję administratora bezpieczeństwa informacji w rozumieniu art. 36a ust. 1 ustawy zmienianej w art. 9, w brzmieniu nadanym niniejszą ustawą, do czasu zgłoszenia go do rejestru, o którym mowa w art. 46c ustawy zmienianej w art. 9, w brzmieniu nadanym niniejszą ustawą, nie dłużej jednak niż do dnia 30 czerwca 2015 r.”
Art. 36. „Do postępowań rejestracyjnych prowadzonych przez Generalnego Inspektora Ochrony Danych Osobowych na podstawie zgłoszeń, o których mowa w art. 41 ust. 1 i 2 ustawy zmienianej w art. 9, wszczętych i niezakończonych przed dniem wejścia w życie niniejszej ustawy stosuje się przepisy dotychczasowe.”
Jak pozwalają twierdzić powyżej przywołane przepisy, termin 30 czerwca 2015 r. dotyczy jedynie osób, które wykonują funkcję administratora bezpieczeństwa informacji. Ewentualne zmiany w dokumentacji stanowiącej system ochrony danych osobowych w Ośrodku, powinny były zostać wprowadzone ze skutkiem od 1 stycznia 2015 r.
Analiza przepisów zmieniających, pozwala uznać, że zmiany w dokumentacji Ośrodka, podyktowane zmianami w ustawie o ochronie danych osobowych nie będą stanowić podstawy do wielkich modyfikacji systemu ochrony danych osobowych w Ośrodku.
Jezeli chodzi o podległość administratora bezpieczeństwa informacji, wydaje się, że ustawodawca niezbyt fortunnie zredagował przepis, który nakazuje, by administrator bezpieczeństwa informacji podlegał bezpośrednio i tylko „kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych”.
Celem, który chciał osiągnąć ustawodawca, był zamiar wyeliminowania jakichkolwiek nacisków, także ze strony kierowników niższego szczebla np. w trakcie ewentualnej kontroli przestrzegania przepisów ustawy o ochronie danych osobowych.
Dlatego moim zdaniem, informatyk podległy kierownikowi jednostki organizacyjnej, który to kierownik nie występuje w charakterze administratora danych osobowych, powinien zostać „nobilitowany” do rangi pracownika, który podlega bezpośrednio osobie reprezentującej Ośrodek, w tym w charakterze Administratora Danych Osobowych.
Stanowisko Generalnego Inspektora Ochrony Danych Osobowych, w powyżej rozważanym przypadku, nie jest jeszcze znane. Można więc zastanowić się nad rozwiązaniem, które „rozszczepi” podległość osób zależnych od kierowników niższych szczebli, piastujących jednocześnie funkcję administratora bezpieczeństwa informacji.
Taką możliwość daje zmiana regulaminu organizacyjnego Ośrodka, którą to w sprawach dotyczących „normalnych” obowiązków pracowniczych osoba ta będzie podlegać kierownikowi jednostki organizacyjnej Ośrodka, nie zaś osobie występującej w charakterze Administratora Danych Osobowych. W pozostałym zakresie, tj. w zakresie w którym pracownik ten realizuje zadania administratora bezpieczeństwa informacji, pracownik ten będzie podległy tylko i wyłącznie osobie występującej w charakterze Administratora Danych Osobowych.
W moim mniemaniu, rozwiązanie to jest niewystarczające, a co najważniejsze nie spełnia funkcji , którą chciał osiągnąć ustawodawca, przyznając administratorowi bezpieczeństwa informacji, pełną niezależność od pracowników, których w rzeczywistości pracę będzie oceniał.
Stan prawny na dzień: 2 lutego 2015 r.
