Podstawy prawne

COLLEGIUM CIVITAS

Administrator Bezpieczeństwa Informacji po raz pierwszy pojawił się w przepisach prawa polskiego w przepisach rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 roku w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych .

W § 3 rozporządzenia wskazano, że administrator danych wyznacza osobę, zwaną dalej „administratorem bezpieczeństwa informacji”, odpowiedzialną za bezpieczeństwo danych osobowych w systemie informatycznym, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe, oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń. Nowelizacja ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych wprowadzona ustawą z dnia 22 stycznia 2004 roku o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe, która weszła w życie z dniem 1 maja 2004 roku, zmieniła status administratora bezpieczeństwa informacji podnosząc go do rangi ustawowej. Nowo dodany art. 36 ust. 3 stanowił, że administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności. Ten model funkcjonowania administratora bezpieczeństwa informacji funkcjonował do dnia 31 grudnia 2014 roku. Uchwalona w dniu 9 listopada 2014 roku ustawa o ułatwianiu wykonywania działalności gospodarczej dokonała kolejnej zmiany statusu administratora bezpieczeństwa informacji.

Od 1 stycznia 2015 roku zaczęły obowiązywać nowe przepisy dotyczące obowiązków oraz roli administratora bezpieczeństwa informacji w organizacji. W tym celu do ustawy dodano art. 36 a – 36 c, a także wydano stosowne akty wykonawcze. Jednocześnie od dnia 1 stycznia 2015 roku administrator bezpieczeństwa informacji został zaliczony do grupy specjalistów w rozporządzeniu Ministra Pracy i Polityki Społecznej z dnia 7 sierpnia 2014 roku w sprawie klasyfikacji zawodów i specjalności na potrzeby rynku pracy oraz zakresu jej stosowania pod pozycję 242111 . W nieodległej perspektywie czasu – po 25 maja 2018 roku – status ten ulegnie jeszcze zmianie. Gruntowną zmianę modelu funkcjonowania administratora bezpieczeństwa informacji przewiduje bowiem rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), które oprócz poszerzenia zakresu obowiązków oraz wyliczenia sytuacji obligatoryjnego wyznaczenia go przez administratora danych oraz podmiot przetwarzający, zmienią także jego nazwę. W miejsce administratora bezpieczeństwa informacji zostanie bowiem wprowadzony inspektor ochrony danych, a jego zadaniom zostanie poświęcona sekcja 4 rozporządzenia (art. 37 – 39).