Administrator Bezpieczeństwa Informacji

Wyznaczenie ABI w Spółce….

Ustawa z dnia 29 sierpnia 1997 roku w brzmieniu obowiązującym od dnia 1 stycznia 2015 roku nie wymaga powołania administratora bezpieczeństwa informacji. Do dnia 31 grudnia 2014 roku przyjmowano, że administrator danych musi powołać administratora bezpieczeństwa informacji zawsze, gdy nie jest osobą fizyczną.

Obecnie, zgodnie z treścią art. 36 a ust. 1 ustawy administrator danych może powołać administratora bezpieczeństwa informacji. Natomiast, zgodnie z art. 36 b ustawy w przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych.

Powstaje jednak pytanie, w jaki sposób administrator danych będący osobą prawną będzie wykonywał obowiązki administratora bezpieczeństwa informacji w sytuacji, gdy zrezygnuje z jego powołania?

W takiej sytuacji administrator danych będzie wykonywał obowiązki zgodnie z zasadami reprezentacji osoby prawnej, co w przypadku zarządu wieloosobowego może nastręczać kłopotów organizacyjnych. Wydaje się, że celowym okazać się może dokonanie wewnętrznego podziału zadań i przydzielenie zadań administratora bezpieczeństwa informacji jednemu z członków zarządu. Wymagać to będzie jednak stosownych regulacji wewnątrzorganizacyjnych.

Oznacza to, że w sytuacji, gdy administratorem danych jest osoba prawna, która nie zdecydowała się na powołanie administratora bezpieczeństwa informacji volens nolens będzie ona musiała wskazać osoby wykonujące jego zdania. W takim przypadku, warto rozważyć premie wynikające z powołania i zarejestrowania administratora bezpieczeństwa informacji w postaci zwolnienia z obowiązku zgłaszania zbiorów do rejestracji oraz możliwości prowadzenia kontroli wewnętrznej.