Gdy powołuje się w placówce Administratora Bezpieczeństwa Informacji, trzeba określić jego zadania. Wydaje się, iż zakres obowiązków ABI można podzielić na dwie grupy:

• zadania przewidziane przez przepisy prawa (ustawę, rozporządzenia),
• zadania wprost nieprzewidziane przez przepisy, ale powierzone przez dyrektora, w tym doprecyzowanie zadań określonych w przepisach prawa.

Zadania wynikające z przepisów prawa

Pierwszą grupę zadań spośród wymienionych powyżej można znaleźć w art. 36a ust. 2 Ustawy o ochronie danych osobowych:

Art. 36a
(…)
2. Do zadań administratora bezpieczeństwa informacji należy:
1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7.

Z przywołanego przepisu wynika, iż Administrator Bezpieczeństwa Informacji jest zobowiązany do szeregu działań mających zapewnić właściwe i zgodne z prawem przetwarzanie danych w placówce. Na początek należy zauważyć, iż katalog zadań zapewniających przestrzeganie przepisów (wskazany w lit. a–c) jest wprowadzony wyrażeniem „w szczególności”, czyli nie można go traktować jako zamkniętego ani kompletnego. Wymienione przez ustawodawcę zadania trzeba rozumieć jako konieczne do realizacji, ale jednocześnie nie można zakładać, iż są wystarczające (choć oczywiście nie można wykluczyć, że w konkretnym przypadku się takie okażą).

Cztery podstawowe grupy zadań ABI obejmują:

• regularne sprawdzanie stanu zabezpieczeń i realizacji wymogów w zakresie ochrony danych oraz przygotowywanie sprawozdań dla dyrektora w tym zakresie,
• zadania dotyczące funkcjonującej w placówce dokumentacji związanej z ochroną danych osobowych,
• zadania związane z kompetencjami pracowników,
• prowadzenie rejestru zbiorów danych.

Rozporządzenia

Ustawowa regulacja dość ogólnie określa zadania ABI, zawierając jednocześnie w art. 36a ust. 9 delegację dla ministra administracji i cyfryzacji do wydania rozporządzenia dokładnie regulującego te kwestie:

Art. 36a
(…)
9. Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia:
1) tryb i sposób realizacji zadań, o których mowa w ust. 2 pkt 1 lit. a i b,
2) sposób prowadzenia rejestru zbiorów danych, o którym mowa w ust. 2 pkt 2 – uwzględniając konieczność zapewnienia prawidłowości realizacji zadań administratora bezpieczeństwa informacji oraz niezależności i organizacyjnej odrębności w wykonywaniu przez niego zadań.

Rozporządzenia, o których mowa powyżej to:

• Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 poz. 745),
• Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015 poz. 719).
• Rozporządzenia te określają szczegółowe zasady i sposoby wykonywania zadań ABI wskazanych w ustawie. W naturalny sposób – ze względu na kształt delegacji ustawowej – nie wprowadzają nowych zadań. Zatem na gruncie formalnym i najwyższym poziomie ogólności katalog zadań Administratora Bezpieczeństwa Informacji określony został w ustawie i obejmuje:
• sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
• nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36a ust. 2, oraz przestrzegania zasad w niej określonych,
• zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
• prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów zawierających dane wrażliwe.

Zadania powierzone przez dyrektora

Dobrze ukształtowane zadania Administratora Bezpieczeństwa Informacji powinny być efektem świadomej decyzji dyrektora. Przepisy prawa do szeregu kwestii odnoszą się w sposób ogólny. Doprecyzowanie czy umiejscowienie tych regulacji w środowisku konkretnej placówki jest obowiązkiem dyrektora i może znacznie pomóc w dobrym funkcjonowaniu ABI.

Ze względu na dużą różnorodność lokalnej specyfiki dość trudno jest sformułować ogólne sugestie czy zalecenia w zakresie określania zadań Administratora Bezpieczeństwa Informacji przez dyrektora, a tym bardziej zaproponować gotowe rozwiązanie, na przykład w postaci załącznika do zarządzenia powołującego ABI. Poniżej zostaną omówione kluczowe obszary, które warto rozważyć w trakcie definiowania szczegółowych zadań ABI.

Okresy planowania i realizacji sprawdzeń

Pierwszym zadaniem, które dla ABI przewiduje ustawa, jest dokonywanie regularnych sprawdzeń oraz przedstawianie raportu z nich administratorowi danych. Przepisy aktu wykonawczego ustalają ramy okresów, w jakich muszą się odbywać sprawdzenia (nie rzadziej niż raz w roku) oraz na okresy, w jakich należy planować sprawdzenia (plan obejmuje co najmniej kwartał, co najwyżej rok).

Jak się wydaje, informacja, na jaki okres będzie przygotowywany plan sprawdzeń oraz ile ma ich być (przepisy wyznaczają tylko dolny limit), powinna znaleźć się w określeniu zakresu zadań ABI. Przepisy mówiące o okresach rocznych nie odnoszą się do sposobu liczenia roku. W większości przypadków oczywistym odniesieniem jest rok kalendarzowy, natomiast w wypadku szkoły dużo bardziej naturalny wydaje się rok szkolny. Przy wprowadzaniu do zadań ABI zapisów o wykonywaniu danych obowiązków w okresach rocznych warto rozważyć, czy rok będzie tożsamy z rokiem szkolnym, czy kalendarzowym.

W zakresie przygotowywania sprawozdań ze sprawdzeń zapisy ustawy są dość szczegółowe i trudno w tym miejscu zaproponować jakiekolwiek sensowne doprecyzowanie. Rozporządzenie dopuszcza dwie postaci sporządzania sprawozdań – papierową i elektroniczną. Prawdopodobnie w większości przypadków w szkołach wybierana będzie postać papierowa. W związku z tym określenia może wymagać, gdzie ta dokumentacja będzie przechowywana – nie jest to wprost związane z zakresem zadań ABI, ale warto pamiętać także o tym.

Dokumentacja ochrony danych osobowych

Drugim elementem zadań ABI wskazanych w art. 36a ust. 2 ustawy jest nadzór nad opracowaniem i aktualizowaniem dokumentacji oraz przestrzeganiem zasad w niej opisanych. Zadanie to określone jest bardzo szeroko i zdecydowanie rekomenduje się doprecyzowanie go w zakresie obowiązków lokalnego Administratora Bezpieczeństwa Informacji.

Przede wszystkim należy zauważyć, iż ustawa nie nakłada na ABI obowiązku opracowania dokumentacji, a jedynie nadzór nad tym procesem. Taka regulacja wydaje się uzasadniona, jeśli brać pod uwagę, że w bardzo dużych organizacjach może to być zadanie, któremu jedna osoba nie jest w stanie podołać. W przypadku szkoły takie sformułowanie przepisu powoduje konieczność doprecyzowania zadań.

Prawdopodobnie większość dyrektorów będzie oczekiwała – co zresztą całkowicie zrozumiałe – że to właśnie ich ABI będzie osobiście aktualizował, a być może nawet tworzył, tę dokumentację. Aby takie rozwiązanie było jasne i nie wzbudzało niepotrzebnych wątpliwości, kwestia ta powinna zostać uregulowana w zakresie obowiązków Administratora Bezpieczeństwa Informacji.

W tym miejscu trzeba jednak zauważyć, że opracowanie, w szczególności zupełnie od podstaw, dokumentacji przetwarzania danych osobowych – Polityki bezpieczeństwa oraz Instrukcji zarządzania systemami informatycznymi – może być dla ABI zadaniem bardzo trudnym, zwłaszcza gdy dopiero zaczął pełnić tę funkcję. Biorąc więc pod uwagę, że stworzenie takiej dokumentacji jest działaniem jednorazowym, a jej aktualizacja działaniem wielokrotnie powtarzalnym, rekomenduje się nałożenie na Administratora Bezpieczeństwa Informacji obowiązku aktualizowania dokumentacji bez jej stworzenia. Jeżeli w momencie powołania ABI w placówce nie ma dokumentacji lub jest ona nieużyteczna, sugeruje się wprowadzenie we współpracy z ABI indywidualnych ustaleń dotyczących sposobu i trybu jej utworzenia (zwłaszcza na przykład skorzystania ze wsparcia zewnętrznego w przygotowaniu dokumentów lub dostarczeniu wiedzy w zakresie tworzenia takiej dokumentacji).

Kompetencje pracowników

Trzecią sferą zadań Administratora Bezpieczeństwa Informacji, o której mowa w przepisach ustawy, jest zapoznanie pracowników z obowiązującymi przepisami o ochronie danych osobowych. Podobnie jak w przypadku nadzoru nad dokumentacją warto zauważyć ogólność tego uregulowania i nieprzypisanie wprost do ABI konieczności wykonywania tych obowiązków. Analogicznie także w tej sytuacji jest to zrozumiałe, jeśli weźmiemy pod uwagę, że ABI w dużych firmach regularnie musieliby osobiście szkolić na przykład kilkanaście tysięcy pracowników.

W przypadku jednostki oświatowej ten obszar zadań ABI jest nieco problematyczny. Obarczanie osoby pełniącej tę funkcję koniecznością szkolenia wszystkich pracowników rodzi bowiem dwa rodzaje problemów. Duże zaangażowanie potrzebne do osobistego szkolenia (kwestia opracowania pomysłu, programu, prezentacji, materiałów itd.) może zniechęcać ABI do wykonywania tych zadań (zwłaszcza w kontekście braku dodatkowego wynagrodzenia). Alternatywnie możemy mieć do czynienia z sytuacją działania najmniejszym możliwym nakładem i realizację tzw. sztuki na przykład przez przygotowanie przeciętnej jakości materiałów i rozesłanie ich do zapoznania się jako zdalnej formy szkoleniowej. Oba te zachowania są niekorzystne dla placówki i realnego bezpieczeństwa danych.

W związku z powyższym szczególnego lokalnego rozważenia wymaga kwestia zadań ABI związanych z zapewnieniem pracownikom przeszkolenia. Niekwestionowanym elementem obowiązków ABI wydaje się nadzór nad tym, który z pracowników i w jaki sposób został przeszkolony. Z kolei kwestie realizacji szkoleń, ich częstotliwości, formy oraz innych okoliczności powinny chyba podlegać indywidualnym decyzjom dyrektora we współpracy z Administratorem Bezpieczeństwa Informacji. Zależnie od realnego zapotrzebowania i aktualnych możliwości finansowych szkolenia mogą być organizowane przez dostawców zewnętrznych lub w jakimś zakresie zapewniane przez ABI – to prawdopodobnie najlepsza opcja. Sztywne określenie przygotowania szkolenia jako obowiązku Administratora Bezpieczeństwa Informacji zdecydowanie nie jest rozwiązaniem godnym polecenia.

Upoważnienia do przetwarzania danych

Przepisy ustawy nakładają obowiązek dopuszczenia do przetwarzania danych jedynie tych osób, którym wcześniej nadano upoważnienie do przetwarzania danych osobowych. Zgodnie z ustawową regulacją nadawanie upoważnień jest zadaniem administratora danych, czyli w przypadku szkoły, przedszkola czy innej placówki oświatowej – dyrektora. Ten sam przepis wprowadza zarazem obowiązek prowadzenia ewidencji osób upoważnionych.

Jednocześnie żaden przepis nie ogranicza możliwości przydzielania tego zadania innemu pracownikowi. Oczywistym odbiorcą takiej delegacji jest Administrator Bezpieczeństwa Informacji, a nadawanie i odbieranie upoważnień do przetwarzania danych osobowych oraz prowadzenie ich ewidencji w naturalny sposób uzupełnia jego obowiązki związane z tym tematem, szczególnie w zakresie dokumentacji formalnej.

W związku z tym zdecydowanie można rekomendować, by katalog zadań ABI uzupełnić o nadawanie i odbieranie upoważnień do przetwarzania danych osobowych oraz prowadzenie ich ewidencji. Trzeba tylko pamiętać, że ponieważ nie jest to zadanie ABI przewidziane przepisami, będzie on formalnie potrzebował jeszcze wystawionego przez dyrektora pełnomocnictwa umożliwiającego nadawanie i odbieranie upoważnień do przetwarzania danych osobowych.

Umowy powierzenia przetwarzania danych

Jak wspomniano na początku rozważań, ABI to funkcja, której głównym celem jest wspieranie dyrektora, jako administratora danych, w kwestiach związanych z ochroną danych osobowych. Jeden z ważniejszych obszarów, w których dyrektor może potrzebować takiego wsparcia, to treść zawieranych przez szkołę umów, gdy ich elementem jest jakiekolwiek przetwarzanie danych osobowych.

Realizacja większości tych umów wiąże się z przetwarzaniem danych, których administratorem jest szkoła, przez podmioty trzecie świadczące placówce dane usługi (na przykład przez podmioty organizujące lub współorganizujące wycieczki czy podwykonawców w organizacji konkursów). Będą to zatem umowy powierzenia przetwarzania danych osobowych. Przepisy prawa określają szereg wymogów dla tego typu umów, a Administrator Bezpieczeństwa Informacji spośród wszystkich pracowników szkoły powinien być najbardziej kompetentny, żeby ocenić ich spełnienie w przypadku konkretnej umowy. Z tego względu rekomenduje się, by wśród zadań ABI znalazł się obowiązek analizy i kontrasygnaty wszystkich umów, przy których realizacji następuje przetwarzanie danych osobowych, w szczególności zaś wszystkich umów powierzenia przetwarzania danych osobowych.

Wnioski o udostępnienie danych

Udostępnianie danych, czyli przekazywanie określonych danych osobie trzeciej (innej niż osoba, której dane dotyczą lub innej niż osoba upoważniona do ich przetwarzania) bądź zewnętrznemu podmiotowi (takiemu, z którym nie zawarto umowy powierzenia przetwarzania), w praktyce sprawia dyrektorom wiele trudności. Na administratorze danych spoczywa bowiem obowiązek oceny, czy udostępnienie będzie legalne, a zwłaszcza czy istnieje podstawa prawna do wykonania tej czynności.

Wbrew pozorom wiele przypadków wniosków o udostępnienie obejmuje sytuacje, które są niejednoznaczne i niełatwe do rozpatrzenia. Jednocześnie pełną odpowiedzialność za przekazanie danych ponosi zawsze dyrektor jako administrator danych. W związku z tym z jego punktu widzenia fachowe wsparcie w podejmowaniu decyzji o udostępnianiu danych jest niezmiernie cenne. Z tego powodu wśród zakresu obowiązków Administratora Bezpieczeństwa Informacji powinny się znaleźć dokonywanie analizy wniosków o udostępnienie danych oraz przygotowywanie rekomendacji decyzji dla dyrektora w tym zakresie.