Obowiązujące od 1 stycznia 2015 roku nowe przepisy w zakresie ochrony danych osobowych sprawiają, że powołanie w szkole Administratora Bezpieczeństwa Informacji (ABI) – o czym pisaliśmy w poprzednich wydaniach Biuletynu – jest w interesie zarówno placówki, jak i jej dyrektora. Nie może jednak być to przypadkowa osoba. Aby odpowiedzieć na postawione w tytule pytanie, trzeba spojrzeć z dwóch perspektyw – formalnej, obejmującej wymogi stawiane przez przepisy prawa oraz praktycznej, patrząc na możliwości kadrowe szkoły. W pierwszej kolejności przyjrzyjmy się wymogom formalnym.

Wymogi łatwe - do spełnienia i do oceny

Wszystkie wymogi formalne stawiane osobie, która ma pełnić funkcję Administratora Bezpieczeństwa Informacji, określone są w art. 36a ust. 5 ustawy o ochronie danych osobowych. Punkty 1 i 3 tego przepisu stanowią, iż ten, kto obejmuje funkcję ABI musi posiadać pełną zdolność do czynności prawnych i korzystać z pełni praw publicznych oraz nie może być karany za przestępstwo popełnione umyślnie. Wymogi te wydają się naturalne, oczywiste i prawdopodobnie nie wymagają szerszego komentarza. Osoba, która ma wspierać dyrektora w zagadnieniach związanych z ochroną danych osobowych powinna móc ponosić odpowiedzialność i jednocześnie wzbudzać, także na płaszczyźnie formalnej, pewien poziom zaufania.

Wymóg trudniejszy - do spełnienia i do oceny

Wspomniany przepis przewiduje jednak jeszcze jeden wymóg stawiany osobie, która ma być ABI – musi ona posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych. W pierwszej chwili można rzec: oczywiste i zrozumiałe. W istocie, trudno wyobrazić sobie, by funkcję o takim charakterze mogła pełnić osoba, która nie ma pojęcia o tej tematyce. Jeżeli jednak zastanowimy się nad praktycznym zastosowaniem tego przepisu, zwłaszcza wypełniając wniosek zgłaszający powołanie naszego ABI do GIODO, na którym dyrektor musi podpisać oświadczenie, że powoływana osoba spełnia omawiany wymóg, czyli posiada odpowiednia wiedzę w zakresie ochrony danych osobowych, to zrozumiałość i oczywistość tego przepisu ulega zmąceniu. Zadajemy sobie wówczas dwa proste pytania: co to znaczy odpowiednia wiedza oraz kto ma ocenić, czy przyszły ABI posiada tę odpowiednią wiedzę?

Dyrektor - wybiera i ocenia

Administrator Bezpieczeństwa Informacji jest funkcją wspierającą dyrektora, który jako administrator danych ponosi odpowiedzialność za całość przetwarzania danych w swojej placówce, w tym za efekty działania ABI. W związku z tym to dyrektor dobierając sobie osobę, wspierającą go we wszystkich sprawach związanych z ochroną danych osobowych powinien dokonać wyboru takiego kandydata, który będzie realizował te zadania na oczekiwanym poziomie jakościowym. W przepisach nie znajdziemy żadnych dodatkowych wskazówek czy kryteriów dokonywania wspomnianego wyboru. Każdy z dyrektorów musi samodzielnie dokonać indywidualnej oceny w każdym przypadku, uwzględniając różnorodne czynniki i informacje, analogicznie, jak w trakcie procesu rekrutacji pracownika. Oczywiście – zwłaszcza w sytuacji, gdy decydujemy się powołać na ABI osobę, która dotychczas nie miała wiele do czynienia z tematyką ochrony danych osobowych – ukończenie odpowiedniego szkolenia wydaje się niezbędne.

Warto tylko pamiętać, by szkolenie, na które będziemy kierować naszego ABI było dedykowane dla osób pełniących tę funkcje w placówkach oświatowych. W naszym przypadku najważniejszy obszar kompetencji Administratora Bezpieczeństwa Informacji to umiejętność odnoszenia ogólnych przepisów do oświatowej rzeczywistości i praktycznego ich stosowania w codziennej pracy szkoły. Szkolenie ogólne, nieuwzględniające szkolnej specyfiki, bez cienia wątpliwości byłoby niewystarczające. Powyżej omówione zostały pokrótce wymogi formalne określone w ustawie. Praktycznym aspektem, kto może być ABI w szkole zajmiemy się w kolejnym wydaniu Biuletynu.

O autorze:

Radosław Wiktorski, ekspert zarządzania oświatą, specjalizujący się w tematach ochrony danych osobowych w oświacie oraz rekrutacji do szkół i przedszkoli. Autor publikacji, analiz oraz wielu wystąpień konferencyjnych.