Od 1 stycznia 2015 r. w ustawie o ochronie danych osobowych zamieszczone są przepisy szczegółowo regulujące zadania administratorów bezpieczeństwa informacji. Te firmy i podmioty, które zdecydują się na powołanie administratora bezpieczeństwa informacji (ABI) i zgłoszenie go w GIODO, nie będą musiały rejestrować w GIODO zbiorów danych osobowych. Zamiast tego to ABI będzie prowadzić jawny rejestr zbiorów danych osobowych przetwarzanych u administratora danych. Nie dotyczy to tylko takich zbiorów, które zawierają tzw. dane wrażliwe - je nadal trzeba zgłaszać w GIODO przed rozpoczęciem przetwarzania danych.
Prowadzony przez ABI rejestr zbiorów danych powinien obejmować wszystkie zbiory danych. To oznacza, że w swoim rejestrze ABI powinien ująć także te zbiory, które zostały wcześniej zarejestrowane w GIODO. Z informacji na stronie internetowej GIODO wynika, że jeśli firma ma zarejestrowane w GIODO zbiory danych osobowych, a następnie powoła ABI, to dane o zbiorach takiej firmy będą usuwane z rejestru GIODO. Ma to na celu zapobiec sytuacji, w której ABI musiałby z jednej strony prowadzić i aktualizować "wewnętrzny", jawny zbiór danych, a z drugiej - w odniesieniu do tego samego zbioru danych pilnować jego aktualizowania w GIODO. GIODO wyjaśnia, że od 1 stycznia 2015 r. informacje umieszczone w jawnym rejestrze zbiorów prowadzonym przez ABI nie muszą być aktualizowane w rejestrze GIODO, z wyjątkiem zbiorów zawierających tzw. dane wrażliwe, np. dotyczące poglądów politycznych, stanu zdrowia (art. 27 ustawy). ABI nie są także zobowiązani do wnioskowania o wykreślenie z rejestru GIODO prowadzonych u siebie zbiorów z danymi zwykłymi.
Jeśli ABI zostanie powołany, to będzie na nim spoczywać szereg obowiązków. Podstawowym obowiązkiem będzie zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych i środki techniczne oraz organizacyjne zapewniające jej ochronę i przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
Do obowiązków ABI należy też prowadzenie rejestru zbioru danych przetwarzanych przez administratora danych. Dzięki powołaniu ABI nie trzeba już zgłaszać zbiorów danych do rejestracji w GIODO. Zamiast tego jawny rejestr prowadzi ABI.
ABI powinien też być przygotowany na to, że może się do niego zwrócić GIODO z żądaniem dokonania sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. W takim przypadku po dokonaniu sprawdzenia ABI opracowuje sprawozdanie, które za pośrednictwem administratora danych przekazywane jest GIODO.
Sprawozdanie ABI powinno zawierać:
1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania,
2) imię i nazwisko administratora bezpieczeństwa informacji,
3) wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach,
4) datę rozpoczęcia i zakończenia sprawdzenia,
5) określenie przedmiotu i zakresu sprawdzenia,
6) opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
7) stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem,
8) wyszczególnienie załączników stanowiących składową część sprawozdania,
9) podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej - dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania,
10) datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.
Jeśli ABI nie zostanie powołany, to jego zadania wykonuje sam administrator danych (art. 36b ustawy) - z wyjątkiem obowiązku sporządzania sprawozdania i prowadzenia wewnętrznego rejestru zbiorów danych przetwarzanych przez administratora danych (bo w braku ABI takiego wewnętrznego rejestru w ogóle się nie prowadzi).
Funkcję ABI można powierzyć osobie, która łącznie spełnia następujące warunki:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
3) nie była karana za umyślne przestępstwo.
Ustawa nie wymaga, aby posiadanie wiedzy z zakresu ochrony danych było udokumentowane egzaminami czy certyfikatami. Jak wyjaśnia GIODO, ustawa nie wymaga posiadania przez ABI jakichkolwiek certyfikatów czy zaświadczeń ukończenia szkoleń z zakresu danych osobowych. To administrator danych, który powołuje ABI, powinien ocenić, czy powierza tę funkcję kompetentnej osobie. GIODO wskazuje, że poziom wiedzy ABI z zakresu ochrony danych powinien być dostosowany do prowadzonych u administratora danych operacji przetwarzania danych oraz wymogów ich ochrony.
Powołując ABI należy pamiętać o stawianym przez ustawę wymogu, że ABI musi podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych, oraz musi mieć zapewnione środki i organizacyjną odrębność niezbędne do niezależnego wykonywania przez niego zadań z zakresu ochrony danych osobowych.
Należy pamiętać o tym, że w razie powołania ABI trzeba w terminie 30 dni zgłosić ten fakt do rejestracji GIODO. Zostanie on wpisany do ogólnokrajowego, jawnego rejestru ABI. Publiczny dostęp do ogólnopolskiego, jawnego rejestru administratorów bezpieczeństwa informacji udostępniony został w ramach rozbudowy funkcjonującej od 2006 r. elektronicznej platformy komunikacji e-GIODO.
Zgłoszenia powołania ABI do rejestracji Generalnemu Inspektorowi oraz zgłoszenia odwołania ABI należy dokonać przy użyciu wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji, które stanowią załączniki do rozporządzenia Ministra Administracji i Cyfryzacji w tej sprawie (Dz. U. z 2014 r. poz. 1934). Wzór zgłoszenia powołania może być także wykorzystany do zgłoszenia zmian w tym rejestrze.
W wielu firmach ABI został powołany jeszcze przed 1 stycznia 2015 r., a więc przed nowelizacją ustawy o ochronie danych osobowych. Przepisy przejściowe przewidują, że ABI wyznaczony przed dniem 1 stycznia 2015 r. powinien zostać zgłoszony do rejestracji Generalnemu Inspektorowi do 30 czerwca 2015 r. Jeśli nie zostanie zarejestrowany, to po 30 czerwca 2015 r. automatycznie przestanie pełnić swoją funkcję. Jego zadania przejdą na administratora danych.
Podstawa prawna
Ustawa z dnia 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 ze zm.)
|