Odpowiedzialność ABI (Administratora Bezpieczeństwa Informacji) i ADO (Administratora Danych Osobowych)

Administrator Bezpieczeństwa Informacji (ABI) to osoba nadzorująca z upoważnienia Administratora Danych Osobowychprzestrzeganie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych w sposób odpowiedni do zagrożeń oraz kategorii danych objętych ochroną na gruncie przepisów ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych.

ABI jest zatem osobą, która zatrudniona w danej firmie na podstawie umowy o pracę lub umowy cywilnoprawnej odpowiada za odpowiednie wywiązywanie się przez pracodawców z obowiązku rejestracji zbiorów danych w rejestrze GIODO. Zakres kompetencji osoby zatrudnionej na tym stanowisku jest dość szeroki, ale przede wszystkim dotyczy odpowiedniego zabezpieczenia technicznego oraz przedsięwzięcia wszelkich niezbędnych czynności wskazanych prawem w celu należytej ochrony danych osobowych.

Zakres obowiązków ABI powoduje, że może on ponieść odpowiedzialność na podstawie przytoczonej wyżej ustawy, jeżeli wykaże się, że zaniechał, bądź zachował się w sposób, który jest niezgodny z prawem i w sposób nieprawidłowy chronił dane osobowe. ABI może ponieść odpowiedzialność cywilnoprawną (przed ADO) oraz w określonych przypadkach odpowiedzialność karną. Jeżeli działanie lub zaniechanie ABI spowodowało określone szkody, ADO może zażądać naprawienia jej maksymalnie do wysokości trzymiesięcznego wynagrodzenia, ale i również doprowadzić do rozwiązania stosunku pracy. Jeżeli ABI wykonywał swoje zadania bez umowy o pracę, ale na podstawie umowie cywilnoprawnej, ADO może dochodzić naprawienia szkody w pełnej wysokości. ADO przed nawiązaniem współpracy z ABI może natomiast wymagać zabezpieczenia w postaci polisy OC, ponieważ w przypadku kiedy nie może ponieść do odpowiedzialności ABI to on (ADO) odpowiada za szkody.

W przypadku odpowiedzialności ADO odpowiednie regulacje znajdują się w rozdziale 8 ustawy o ochronie danych osobowych. W przypadku umyślnego naruszenie przepisów ustawy grozi grzywna w wysokości 10 tys. zł dla osób fizycznych prowadzących działalność gospodarczą oraz do 200 tys. zł dla osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej, a także kara ograniczenia wolnościlub jej pozbawienia do lat 2. ADO może odpowiadać również za działanie nieumyślne (wynikające z niewiedzy, lekkomyślności lub niedbalstwa). Są one zagrożone karą grzywny oraz ograniczenia bądź pozbawienia wolności do roku. Naruszenie artykułów 49–54a przedmiotowej ustawy stanowi przestępstwo i jest ścigane z urzędu.

ADO ponosi odpowiedzialność nawet jeżeli nie naruszył bezpośrednio ustawy, ponieważ błąd pracownika traktowany jest jako zaniedbanie obowiązków przez ADO. I choć powołany przez niego ABI pełni funkcję nadzorująca nad ochroną danych osobowych, nie zwalnia to jednak ADO z odpowiedzialności. Jednakże GIODO może zażądać wszczęcia postępowania dyscyplinarnego względem pracowników naruszających ustawę o ochronie danych osobowych. Co więcej, na podstawie art. 51 osoba taka (również gdy nie jest pracownikiem firmy) może zostać pociągnięta do odpowiedzialności karnej, np. gdy udostępni dane lub umożliwi do nich dostęp osobom nieupoważnionym i w takim przypadku ABI może również odpowiadać karnie.

Źródłofot.: Pixabay, TBIT, licencja: CC0 Public Domain