Facebook

Jak szukać?»

Uwaga: Do 2 kwietnia 2024 r. część płatników składek przekazuje do ZUS zgłoszenia o pracy "szczególnej" ZUS ZSWA za 2023 r. Do 31 marca 2024 r. należy sporządzić i podpisać sprawozdanie finansowe za 2023 r. 2 kwietnia 2024 r. (wtorek) mija ostateczny termin złożenia do US zeznań: CIT-8 i CIT-8AB za 2023 r. 2 kwietnia 2024 r. (wtorek) mija ostateczny termin złożenia do US deklaracji: CIT-8E i CIT-8FR za 2023 r. 2 kwietnia 2024 r. (wtorek) mija ostateczny termin złożenia do US informacji: IFT-2R, CIT-RB i CIT-CSR za 2023 r. 2 kwietnia 2024 r. (wtorek) mija ostateczny termin złożenia do US informacji: CIT-8ST, CIT-N1, CIT-N2, PIT-N1 i PIT-N2 według stanu na 31 grudnia 2023 r.
Aktualnie jesteś: Gofin.pl (strona główna)  »  Firma  »  Inne zagadnienia  »   Obowiązki administratora bezpieczeństwa informacji
POLECAMY
A A A  drukuj artykuł

Obowiązki administratora bezpieczeństwa informacji

Gazeta Podatkowa nr 15 (1160) z dnia 19.02.2015
Andrzej Janowski

Od 1 stycznia 2015 r. w ustawie o ochronie danych osobowych zamieszczone są przepisy szczegółowo regulujące zadania administratorów bezpieczeństwa informacji. Te firmy i podmioty, które zdecydują się na powołanie administratora bezpieczeństwa informacji (ABI) i zgłoszenie go w GIODO, nie będą musiały rejestrować w GIODO zbiorów danych osobowych. Zamiast tego to ABI będzie prowadzić jawny rejestr zbiorów danych osobowych przetwarzanych u administratora danych. Nie dotyczy to tylko takich zbiorów, które zawierają tzw. dane wrażliwe - je nadal trzeba zgłaszać w GIODO przed rozpoczęciem przetwarzania danych.

Koniec z rejestrowaniem zbiorów w GIODO

Prowadzony przez ABI rejestr zbiorów danych powinien obejmować wszystkie zbiory danych. To oznacza, że w swoim rejestrze ABI powinien ująć także te zbiory, które zostały wcześniej zarejestrowane w GIODO. Z informacji na stronie internetowej GIODO wynika, że jeśli firma ma zarejestrowane w GIODO zbiory danych osobowych, a następnie powoła ABI, to dane o zbiorach takiej firmy będą usuwane z rejestru GIODO. Ma to na celu zapobiec sytuacji, w której ABI musiałby z jednej strony prowadzić i aktualizować "wewnętrzny", jawny zbiór danych, a z drugiej - w odniesieniu do tego samego zbioru danych pilnować jego aktualizowania w GIODO. GIODO wyjaśnia, że od 1 stycznia 2015 r. informacje umieszczone w jawnym rejestrze zbiorów prowadzonym przez ABI nie muszą być aktualizowane w rejestrze GIODO, z wyjątkiem zbiorów zawierających tzw. dane wrażliwe, np. dotyczące poglądów politycznych, stanu zdrowia (art. 27 ustawy). ABI nie są także zobowiązani do wnioskowania o wykreślenie z rejestru GIODO prowadzonych u siebie zbiorów z danymi zwykłymi.

Obowiązki ABI

Jeśli ABI zostanie powołany, to będzie na nim spoczywać szereg obowiązków. Podstawowym obowiązkiem będzie zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez:

a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

b) nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych i środki techniczne oraz organizacyjne zapewniające jej ochronę i przestrzegania zasad w niej określonych,

c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Do obowiązków ABI należy też prowadzenie rejestru zbioru danych przetwarzanych przez administratora danych. Dzięki powołaniu ABI nie trzeba już zgłaszać zbiorów danych do rejestracji w GIODO. Zamiast tego jawny rejestr prowadzi ABI.

ABI powinien też być przygotowany na to, że może się do niego zwrócić GIODO z żądaniem dokonania sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. W takim przypadku po dokonaniu sprawdzenia ABI opracowuje sprawozdanie, które za pośrednictwem administratora danych przekazywane jest GIODO.

Treść sprawozdań ABI

Sprawozdanie ABI powinno zawierać:

1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania,

2) imię i nazwisko administratora bezpieczeństwa informacji,

3) wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach,

4) datę rozpoczęcia i zakończenia sprawdzenia,

5) określenie przedmiotu i zakresu sprawdzenia,

6) opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych,

7) stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem,

8) wyszczególnienie załączników stanowiących składową część sprawozdania,

9) podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej - dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania,

10) datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.

Jeśli ABI nie zostanie powołany, to jego zadania wykonuje sam administrator danych (art. 36b ustawy) - z wyjątkiem obowiązku sporządzania sprawozdania i prowadzenia wewnętrznego rejestru zbiorów danych przetwarzanych przez administratora danych (bo w braku ABI takiego wewnętrznego rejestru w ogóle się nie prowadzi).

Wymogi dla kandydatów

Funkcję ABI można powierzyć osobie, która łącznie spełnia następujące warunki:

1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,

2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,

3) nie była karana za umyślne przestępstwo.

Ustawa nie wymaga, aby posiadanie wiedzy z zakresu ochrony danych było udokumentowane egzaminami czy certyfikatami. Jak wyjaśnia GIODO, ustawa nie wymaga posiadania przez ABI jakichkolwiek certyfikatów czy zaświadczeń ukończenia szkoleń z zakresu danych osobowych. To administrator danych, który powołuje ABI, powinien ocenić, czy powierza tę funkcję kompetentnej osobie. GIODO wskazuje, że poziom wiedzy ABI z zakresu ochrony danych powinien być dostosowany do prowadzonych u administratora danych operacji przetwarzania danych oraz wymogów ich ochrony.

Powołując ABI należy pamiętać o stawianym przez ustawę wymogu, że ABI musi podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych, oraz musi mieć zapewnione środki i organizacyjną odrębność niezbędne do niezależnego wykonywania przez niego zadań z zakresu ochrony danych osobowych.

Zarejestrowanie ABI w GIODO

Należy pamiętać o tym, że w razie powołania ABI trzeba w terminie 30 dni zgłosić ten fakt do rejestracji GIODO. Zostanie on wpisany do ogólnokrajowego, jawnego rejestru ABI. Publiczny dostęp do ogólnopolskiego, jawnego rejestru administratorów bezpieczeństwa informacji udostępniony został w ramach rozbudowy funkcjonującej od 2006 r. elektronicznej platformy komunikacji e-GIODO.

Zgłoszenia powołania ABI do rejestracji Generalnemu Inspektorowi oraz zgłoszenia odwołania ABI należy dokonać przy użyciu wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji, które stanowią załączniki do rozporządzenia Ministra Administracji i Cyfryzacji w tej sprawie (Dz. U. z 2014 r. poz. 1934). Wzór zgłoszenia powołania może być także wykorzystany do zgłoszenia zmian w tym rejestrze. 

W wielu firmach ABI został powołany jeszcze przed 1 stycznia 2015 r., a więc przed nowelizacją ustawy o ochronie danych osobowych. Przepisy przejściowe przewidują, że ABI wyznaczony przed dniem 1 stycznia 2015 r. powinien zostać zgłoszony do rejestracji Generalnemu Inspektorowi do 30 czerwca 2015 r. Jeśli nie zostanie zarejestrowany, to po 30 czerwca 2015 r. automatycznie przestanie pełnić swoją funkcję. Jego zadania przejdą na administratora danych.

Podstawa prawna

Ustawa z dnia 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 ze zm.)

Inne zagadnienia - czytaj także:

 
Przydatne linki
 
Sklep internetowy - sklep.gofin.pl
 
Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • niezbędnego zapewnienia prawidłowego działania Serwisów (utrzymania sesji),
  • realizacji funkcjonalności ułatwiających obsługę Serwisu,
  • analizy statystyk ruchu i reklam w Serwisach,
  • zbierania i przetwarzania danych osobowych w celu wyświetlenia reklam produktów własnych i klientów reklamowych.
Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z Serwisu, w celu administrowania Serwisem, dostosowania treści Serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika Serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z Serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o. Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam są partnerzy Wydawnictwa Podatkowego GOFIN sp. z o.o., Google Inc, Facebook Inc.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych
  • Niezbędność przetwarzania danych w związku z wykonaniem umowy.

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora.

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora.

  • Dobrowolna zgoda.

    Aby móc realizować cele:
    - zapamiętania Pani/Pana decyzji w Serwisach w zakresie korzystania z dostępnych opcjonalnie funkcjonalności,
    - analiz statystyk ruchu i reklam w Serwisach,
    - wyświetlania spersonalizowanych reklam produktów własnych i klientów reklamowych w związku z odwiedzaniem niniejszego Serwisu internetowego partnerzy Wydawnictwa Podatkowego Gofin sp. z o.o. muszą mieć możliwość przetwarzania Pani/Pana danych.

Potrzebna jest Nam Pani/Pana dobrowolna zgoda na zapisy w plikach cookies w celach realizacji powyższych celów.
W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na zapisywanie informacji w plikach cookies przez kliknięcie przycisku „Zgadzam się” lub „Nie teraz” w przypadku braku zgody. Istnieje możliwość skorzystania z „ustawień zaawansowanych” plików cookies w celu określenia indywidualnych zgód na zapis wybranych plików cookies realizujących wybrane cele.