Czy w szpitalu powinien być powołany ABI?
Szpital ma możliwość, a nie obowiązek powołania ABI. Decyzja o powołaniu ABI wymaga gruntownej analizy za i przeciw, korzyści i kosztów, jakie wiążą się z sytuacją konkretnego podmiotu.
Aktualnie obowiązujący art. 36a ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - dalej u.o.d.o., jednoznacznie wskazuje na możliwość powołania administratora bezpieczeństwa informacji. Ustawa nie nakłada zatem obowiązku powołania ABI, niezależnie od tego, w jakiej formie działalność prowadzi administrator danych osobowych. Ta jednoznaczność przepisu jest o tyle istotna, że przed nowelizacją ustawy o ochronie danych osobowych, która zaczęła obowiązywać 1 stycznia 2015 r. pojawiały się wątpliwości, czy w przypadku administratora danych osobowych niebędącego osobą fizyczną (a np.: spółką, SP ZOZ-em, stowarzyszeniem, itd.) można zrezygnować z powołania tej osoby.
W aktualnie obowiązującym stanie prawnym (art. 36a ust. 1 u.o.d.o.) takich wątpliwości już nie ma i odpowiedź na pytanie, czy w szpitalu powinien być powołany ABI brzmi: administrator danych osobowych (szpital) nie ma obowiązku powołania ABI, ale warto rozważyć argumenty za i przeciw, bo w każdej organizacji decyzja o powołaniu ABI powinna zależeć właśnie od tej analizy, uwzględniającej potrzeby w zakresie realizacji standardów i procedur ochrony danych osobowych.
Powołanie ABI wiąże się oczywiście z pewnym wysiłkiem "organizacyjnym". Nie może być to osoba przypadkowa, a spełniająca ustawowe warunki (art. 36a ust. 5 u.o.d.o.: pełna zdolność do czynności prawnych, pełnia praw publicznych, osoba niekarana za umyślne przestępstwo i posiadająca odpowiednią wiedzę w zakresie ochrony danych osobowych - chociaż nie jest wymagane potwierdzenie tej okoliczności w jakiś określony ustawowo sposób). Administrator danych osobowych musi zapewnić ABI odpowiednie miejsce w swojej strukturze organizacyjnej. Po pierwsze, ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej (np.: kierownikowi SP ZOZ, zarządowi w spółce), a po drugie administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji. ABI może wykonywać inne obowiązki, przy czym nie mogą one kolidować (wpływać negatywnie) na wykonywanie obowiązków w zakresie ochrony danych osobowych. Warunki wykonywania funkcji ABI mają zatem konsekwencje praktyczne: trzeba zdecydować, czy funkcję ABI może wykonywać jeden z dotychczasowych pracowników, odpowiedzialny także za inne zadania, czy też zadań w zakresie ochrony danych osobowych będzie tak dużo, że konieczne jest stworzenie nowego etatu dla takiej osoby. Jeśli funkcję ABI ma wykonywać dotychczasowy pracownik, to czy nie będzie on kontrolował "sam siebie" (czyli jego dotychczasowe obowiązki mają taki charakter, że wymagają sprawdzenia przez ABI, np.: informatyk odpowiedzialny za wprowadzanie danych do systemu informatycznego), czy bezpośrednia podległość kierownikowi nie będzie iluzoryczna, bo np.: przy dotychczasowych obowiązkach ma jeszcze 2 innych przełożonych). Zapewnienie środków do wykonywania funkcji ABI może wiązać się np.: z koniecznością organizacji stanowiska pracy. Wreszcie fakt powołania ABI należy zgłosić do jawnego rejestru administratorów bezpieczeństwa informacji (art. 46b u.o.d.o.)
Powołanie ABI jest także źródłem korzyści. Przede wszystkim, ABI prowadzi lokalny rejestr zbiorów danych przetwarzanych przez administratora danych osobowych. Powołanie i zarejestrowanie ABI, zgodnie z art. 43 ust. 1a u.o.d.o., zwalnia administratora danych osobowych z konieczności rejestracji zbiorów danych u GIODO, chyba że chodzi o dane wrażliwe, a nie zachodzi inna podstawa zwolnienia z rejestracji takiego zbioru (np.: z art. 43 ust. 1 pkt 5 u.o.d.o. - zbiór dotyczący osób korzystających z usług medycznych administratora danych). ABI na zlecenie GIODO jest uprawniony do przeprowadzenia sprawdzenia zgodności przetwarzania danych, czyli przeprowadzenia "wewnętrznego audytu" i przekazania jego wyników GIODO. Przeprowadzenie takiego sprawdzenia nie gwarantuje uniknięcia kontroli GIODO, ale jego wyniki mogą okazać się wystarczające dla organu i kontrola nie będzie przeprowadzona. Wreszcie, administrator danych, który nie powołał ABI jest zobowiązany częściowo przejąć jego obowiązki (bez korzyści, o których była mowa wcześniej), to jest: nadzorowanie opracowania i aktualizowania dokumentacji przetwarzania danych osobowych oraz przestrzegania zasad w niej określonych, a także zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Decyzja o powołaniu ABI wymaga zatem rozważnego podejścia i gruntownej analizy konkretnej organizacji, jej sytuacji, zakresu przetwarzanych danych i możliwości finansowych.