Kto jest kim w systemie ochrony danych osobowych – ADO, ABI, ASI, GIODO, Inspektor GIODO, procesor danych osobowych, odbiorca danych osobowych, osoba upoważniona do przetwarzania danych osobowych.

Każdy system prawa posiada swoją własną terminologię i definicje poszczególnych funkcji. Przykładowo, w prawie pracy mamy pracodawcę i pracownika, w prawie cywilnym mamy zleceniodawcę i zleceniobiorcę, a w prawie ochrony danych osobowych mamy administratora danych osobowych (ADO), administratora bezpieczeństwa informacji (ABI) oraz osoby upoważnione do przetwarzania danych osobowych. Poniżej wyjaśniamy, kto pełni poszczególne funkcje oraz czym się w ich ramach zajmuje. Generalny Inspektor Ochrony Danych Osobowych (GIODO) Jest to organ funkcyjny w randzie ministra, który przy pomocy biura GIODO pełni nadzór nad przestrzeganiem przepisów prawa w zakresie ochrony danych osobowych. Innymi słowy, dokonuje kontroli przestrzegania przepisów za pośrednictwem swoich inspektorów. Warto wiedzieć, iż GIODO posiada uprawnienia w zakresie egzekucji administracyjnej, stosowane w celu przymuszenia do wykonanie decyzji administracyjnej. Dodatkowo, GIODO jest organem właściwym w kwestii składania skarg o naruszenie praw osób fizycznych wynikających z ustawy o ochronie danych osobowych oraz organem dokonującym rejestracji zbiorów danych osobowych. Siedziba główna GIODO znajduje się w Warszawie. Administrator danych osobowych (ADO) Administrator danych osobowych to osoba lub podmiot decydujący o celach i środkach przetwarzania danych osobowych. Najprościej rzecz ujmując jest to właściciel danych osobowych. Może nim być zarówno osoba fizyczna (np. jednoosobowa działalność gospodarcza) jak i osoba prawna (np. spółka akcyjna). ADO stajemy się automatycznie w momencie, gdy zaczynamy przetwarzać dane osobowe w związku z wykonywaną działalnością zawodową lub zarobkową. Nie będziemy więc ADO przetwarzając dane osobowe jedynie na użytek osobisty. Na administratorze danych osobowych spoczywają wszelkie obowiązki wynikające z przepisów prawa i to on decyduje o kształcie wewnętrznego systemu ochrony danych osobowych. Większość przepisów prawa odnosi się właśnie do ADO. Możliwe jest jednak przekazanie realizacji obowiązków ADO administratorowi bezpieczeństwa informacji (ABI). Od administratorów danych przetwarzających dane w systemach informatycznych, wymagane jest opracowanie instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Zgodnie z § 5 rozporządzenia o warunkach technicznych instrukcja ta, powinna zawierać w szczególności: a) procedury nadawania i rejestrowania uprawnień do przetwarzania danych w systemach informatycznych oraz wskazanie osoby odpowiedzialnej za te czynności; b) opis stosowanych metod i środków uwierzytelnienia, c) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; d) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; e) opis sposobu, miejsca i okresu przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz ich kopii zapasowych, f) opis sposobu zabezpieczania systemów informatycznych przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego; g) opis sposobu realizacji wymogów stawianych systemom informatycznym h) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. W przypadku stosowania podwyższonego poziomu bezpieczeństwa instrukcję zarządzania należy rozszerzyć o sposób stosowania środków mających na celu zabezpieczenie danych szczególnie chronionych, przekazywanych poza obszar przetwarzania danych.

Administrator bezpieczeństwa informacji (ABI) Przepisy prawa pozwalają, a nawet zachęcają do przekazania nadzoru nad systemem ochrony danych osobowych osobie fizycznej, pełniącej funkcję ABI. Administratorem bezpieczeństwa informacji może być osoba z wewnątrz organizacji (np. pracownik etatowy) lub ktoś spoza niej (tzw. outsourcing ABI). W praktyce ABI przejmuje wszystkie obowiązki nałożone przez przepisy prawa na ADO. Innymi słowy, jeżeli ADO powoła ABI, wówczas ABI zajmuje się audytem początkowym, przygotowaniem i wdrażaniem dokumentacji ochrony danych osobowych oraz przygotowywaniem wniosków rejestrowych do GIODO (od stycznia br. powołując ABI, administrator danych osobowych ma obowiązek rejestrowania jedynie danych osobowych wrażliwych). Administrator systemów informatycznych (ASI) Funkcja ASI wynika bardziej z praktyki niż z samych przepisów prawa. Osoba pełniąca tę funkcje nadzoruje bezpieczeństwo przetwarzania danych osobowych w systemach informatycznych. Do głównych obowiązków ASI należy zapewnienie bezpieczeństwa systemu informatycznego, ciągłości działania systemu oraz sprawne realizowanie procedur tworzenia kopii zapasowych. W strukturze danych osobowych, w związku z koniecznością zapewnienia jednoosobowej odpowiedzialności za nadzór nad danymi, ASI powinien podlegać ABI. Do najważniejszych zadań formalnych, prowadzonych na bieżąco przez ASI powinno należeć prowadzenie tzw. „Dziennika ASI”, czyli sprawozdania z bieżących zdarzeń, mających miejsce w systemie informatycznym i pośrednio lub bezpośrednio dotyczą danych osobowych. Osoba upoważniona do przetwarzania danych osobowych Osobą upoważnioną będzie każdy, kto na polecenie i pod nadzorem ADO przetwarza dane osobowe. Jak ustalić, kto przetwarza dane osobowe? Metoda jest dość prosta. Jeżeli w zakresie obowiązków pracownika występuje jakiekolwiek działanie, które wymaga przetwarzania danych osobowych, to z pewnością mamy do czynienia z osobą, która musi zostać upoważniona. To samo w przypadku współpracy na podstawie umów cywilnoprawnych – jeżeli z umowy wynika konieczność przetwarzania danych osobowych, to taką osobę również należy upoważnić do ich przetwarzania. Oczywiście przed nadaniem upoważnień, każda osoba musi zostać zapoznana z wewnętrzną dokumentacją ochrony danych osobowych, czyli procedurami bezpieczeństwa obowiązującymi u konkretnego ADO. Procesor danych osobowych Pojęcie procesora oznacza podmiot, któremu administrator danych powierzył przetwarzanie danych osobowych. Powierzenie danych jest związane z podpisaniem stosownej umowy, która powinna zawierać przynajmniej zakres i cel powierzonych danych osobowych (zgodnie z art. 31 ustawy o ochronie danych osobowych). Obowiązki procesora Procesor jest zobowiązany do podjęcia środków zabezpieczających opisanych w art. 36-39c Ustawy o ochronie danych osobowych w stosunku do otrzymanych danych, co oznacza:  stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną,  zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,  prowadzenie dokumentacji w postaci Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym,  wyznaczenie Administratora Bezpieczeństwa Informacji nadzorującego przestrzeganie zasad ochrony lub samodzielnie wykonywanie tych czynności,  dopuszczenie do przetwarzania danych jedynie osoby posiadające upoważnienie do przetwarzania danych osobowych,  prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,  zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru danych oraz komu zostały przekazane.

Odbiorca danych osobowych W rozumieniu ustawy o ochronie danych osobowych za odbiorcę danych uważa się każdego, komu udostępnia się dane osobowe, z wyłączeniem:
• osoby, której dane dotyczą,
• osoby upoważnionej do przetwarzania danych,
• przedstawiciela, o którym mowa w art. 31a, • podmiotu, o którym mowa w art. 31, • organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem. Osoba upoważniona do przetwarzania danych osobowych Upoważnienie do przetwarzania danych osobowych co do zasady nadaje administrator danych osobowych lub osoba go reprezentująca. Zatem w przypadku jednoosobowych działalności gospodarczych upoważnienie do przetwarzania danych będzie nadawał przedsiębiorca, a w przypadku spółek z.o.o. członek zarządu. Warto, by w procesie nadawania upoważnień uczestniczył również kierownik danego działu, nadzorując zakres nadawanego upoważnienia w odniesieniu do faktycznych zadań, jakie będą przez daną osobę wykonywane. Jakie informacje powinny znaleźć się w upoważnieniu? W upoważnieniu powinny znaleźć się obligatoryjne informacje takie, jak: • data nadania upoważnienia; • imię i nazwisko osoby, której upoważnienie jest nadawane; • cel przetwarzania danych (może nim być powołanie na konkretne stanowisko w firmie); • zakres, czyli do jakich konkretnie zbiorów danych, kategorii danych osobowych daną osobę upoważniamy; • identyfikator osoby upoważnionej, jeżeli dane osobowe, na jakich pracuje, przetwarzane są w systemie informatycznym; • podpis administratora lub osoby go reprezentującej.

Dopuszczenie przez administratora danych do przetwarzania danych osób nielegitymujących się wymaganym upoważnieniem może narazić go na zarzut niewłaściwego zabezpieczania danych, a tym samym naruszenia przepisów ustawy o ochronie danych osobowych.