Wraz z wejściem w życie 1 stycznia 2015 roku nowych przepisów w zakresie ochrony danych osobowych każdy dyrektor szkoły lub innej placówki oświatowej – jako administrator danych – stoi przed dylematem: czy powołać Administratora Bezpieczeństwa Informacji (w skrócie ABI) w swojej placówce, czy też go nie powoływać?
Świadoma, przemyślana decyzja
Przede wszystkim wybór jednej z tych dróg powinien być przemyślany i świadomy. Z każdą z nich wiążą się bowiem określone konsekwencje, które warto uświadomić sobie już na wstępie, jeszcze przed podjęciem decyzji. Nie chodzi tu tylko o wykonanie formalnej operacji powołania, ale o realne działania, wpływające na codzienną pracę dyrektora i szkoły.
Nie powołuję ABI
Wybierając drogę działania placówki bez powołanego ABI, dyrektor po pierwsze przyjmuje na siebie nowe zadania do realizacji (nałożone znowelizowaną ustawą). Należy wyraźnie podkreślić, iż w takiej sytuacji są to zadania wprost przypisane do dyrektora, jako kierownika jednostki (a nie zadania placówki, które może wykonać ktokolwiek). Oznacza to, że z realizacji tych zadań dyrektor może być rozliczany nie tylko w ramach kontrolnych uprawnień GIODO, ale także przez wszystkie inne podmioty uprawnione do weryfikacji pracy dyrektora, jako kierownika jednostki sektora finansów publicznych.
Funkcjonując bez powołanego ABI, dyrektor świadomie też rezygnuje z pewnych przywilejów, które znowelizowane przepisy dają tym administratorom, którzy zdecydują się powołać u siebie ABI.
O przywilejach tych piszemy dalej.
Powołuję ABI
Argumentów przemawiających za powołaniem w swojej placówce ABI oraz zalet wyboru tej drogi jest bardzo wiele. Na poziomie formalnym, po pierwsze nałożone nowymi przepisami zadania wykonuje ABI, a nie osobiście dyrektor. Po drugie placówka korzysta z przywilejów, które ustawodawca przewidział dla administratorów danych, którzy powołali ABI – ograniczony obowiązek zgłaszania zbiorów danych do rejestracji GIODO oraz dostępna ścieżka zwrócenia się GIODO do lokalnego ABI o wykonanie sprawdzenia i przedstawienia sprawozdania. Ten drugi element – jakkolwiek oczywiście w żaden sposób nie ogranicza możliwości i uprawnień kontrolnych GIODO – statystycznie obniża ryzyko kontroli GIODO w placówce.
Na poziomie praktycznym powołanie ABI także niesie wiele zalet. Poza realizacją konkretnych zadań, które muszą być w tym temacie wykonane, przede wszystkim dyrektor posiada bieżące wsparcie w zagadnieniach związanych z ochroną danych.
W kontekście ciągłego zwiększania ilości przetwarzanych danych oraz sposobów ich przetwarzania, a także wzrostu świadomości po stronie rodziców, uczniów i nauczycieli zarówno problemu ochrony prywatności, jak i obowiązujących przepisów, takie wsparcie dla dyrektora wydaje się niezmiernie cenne.
Decyzja odpowiedzialna
Oczywiście decyzja o powołaniu ABI w placówce powinna być odpowiedzialna. Dyrektor przekazując realizację przewidzianych prawem zadań, zarówno z formalnego punktu widzenia, jak i ogólnych standardów profesjonalnego zarządzania powinien zapewnić osobie, która tę funkcję będzie pełnić warunki do jej realizacji oraz niezbędne wsparcie.
O tym, kto może być ABI w placówce oraz zakresie i sposobie wsparcia, jakie dyrektor może mu udzielić będziemy pisali w najbliższych wydaniach Biuletynu.