Czy nazwa ABI jest zastrzeżona tylko dla osoby zarejestrowanej w GIODO?
Pytanie od Pani Moniki:
Nie chcemy powoływać Administratora Bezpieczeństwa Informacji (i zgłaszać go do GIODO), jednak administrator danych chce kogoś oddelegować do pomocy – czy w polityce bezpieczeństwa i w instrukcji zarządzania systemami może funkcjonować nazwa „ABI” czy zastosować jakieś inne nazewnictwo?
Jeżeli nie powołujecie Państwo Administratora Bezpieczeństwa Informacji, nie możecie posługiwać się, wobec osoby nadzorującej przestrzeganie przepisów ochrony danych osobowych, nazwą ABI. Jest to nazwa stanowiska, dla którego obowiązki są wyraźnie wskazane w art. 36 a w ustawie o ochronie danych osobowych, czyli zastrzeżona tylko i wyłącznie dla osób zarejestrowanych w GIODO. Wobec tego, jeżeli administrator danych, nie chce zarejestrować swojego pracownika w GIODO, nie powinien używać wobec niego oraz w stworzonej dokumentacji nazwy ABI. Można użyć innego, dowolnego określenia.
W zarządzeniu wyznaczającym tę osobę do pełnienia roli osoby nadzorującej zasady bezpieczeństwa danych w bibliotece, należy powołać się na politykę bezpieczeństwa danych osobowych biblioteki (a nie ustawę) i wskazać obowiązki (jeżeli są określone w polityce, to odwołać się do faktur realizacji zadań z polityki).
Pragnę też zwrócić uwagę, że napisanie w polityce, że ta osoba ma realizować zadania ABI opisane w ustawie i rozporządzeniu, powinno skutkować zarejestrowaniem tej osoby w GIODO (gdyż realizuje wszystkie zadania ABI). W związku z tym należałoby samodzielnie określić te obowiązki (można w sposób ogólny, jako sprawowanie nadzoru, kontrola zabezpieczeń, itd. lub szczegółowo).