Czy placówka oświatowa musi zatrudnić administratora bezpieczeństwa informacji na umowę o pracę, czy może to być osoba zatrudniona na umowę zlecenia?
Zgodnie z art. 36a ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych – dalej u.o.d.o., administrator danych osobowych może powołać administratora bezpieczeństwa informacji (ABI). Przepisy prawa nie wskazują, jaki stosunek prawny ma łączyć administratora bezpieczeństwa informacji oraz ABI; w szczególności zaś z przepisów prawa nie wynika, że ABI ma wykonywać swoje zadania na w ramach łączącego strony stosunku pracy. Wobec tego nie jest wykluczone, by ABI wykonywał swoje zadania na podstawie umowy zlecenia.
Przypomnieć wypada, iż administratorem bezpieczeństwa informacji może być osoba fizyczna, która spełnia określone prawem wymagania (art. 36a ust. 5 u.o.d.o.), tj.:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.
Istotne jest też podkreślenie, że ABI – w celu niezależnego wykonywania przez niego działań – powinien zostać organizacyjnie wyodrębniony w strukturze organizacyjnej jednostki i powinien podlegać bezpośrednio kierownikowi jednostki organizacyjnej, czyli w tym przypadku dyrektorowi szkoły (art. 36a ust. 7 i 8 u.o.d.o.).
W przypadku powołania ABI administrator danych jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych powołanie ABI w terminie 30 dni od dnia jego powołania, zgodnie z art. 46b u.o.d.o.
Powołanie ABI nie jest obowiązkowe, ale może ułatwić pracę>>
Wzór zgłoszenia określony został w rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji. Administratorzy bezpieczeństwa informacji wpisywani są do ogólnokrajowego, jawnego rejestru prowadzonego przez GIODO.
Wspomnieć też można, iż administrator danych osobowych nie ma obowiązku powoływania ABI. Jeśli jednak ABI nie zostanie powołany, to wówczas niektóre zadania ustawowo określone dla ABI wykonuje administrator danych (zob. nowy art. 36b u.o.d.o.). Niepowołanie ABI wiązać też się będzie z obowiązkiem zgłaszania zbiorów danych do rejestracji GIODO (z wyłączeniem zbiorów danych wymienionych w art. 43 ust. 1 u.o.d.o.).
Kwalifikacje ABI: wykształcenie nie ma znaczenia>>
Dowiedz się więcej z książki | |
Ochrona danych osobowych w szkole i przedszkolu. Prawo oświatowe w pytaniach i odpowiedziach
|