NOWE REGULACJE DOTYCZĄCE ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI

Szkolenia - Cognitio Centrum Przedsiębiorczości i Szkoleń

ABI to skrót od “administratora bezpieczeństwa informacji”. Od stycznia 2015 r. jednostki  przetwarzające dane osobowe same decydują  o tym, czy zgłaszać rejestrację zbiorów danych do GIODO, czy powołać ABI, który będzie swoistym wewnętrznym inspektorem ochrony danych osobowych.

 

Czy istnieje obowiązek powołania ABI?

Zgodnie z art. 36a ust. 1 znowelizowanej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych „administrator danych może  ( nie musi) powołać administratora bezpieczeństwa informacji” (ABI). W przypadku niepowołania administratora bezpieczeństwa informacji – zadania przypisane ABI w art. 36a ust. 2 pkt 1 (z wyłączeniem obowiązku sporządzania sprawozdania) wykonuje administrator danych – stanowi o tym art. 36b.

Z tej normy jednoznacznie wynika, że nie ma obowiązku powoływania Administratora Bezpieczeństwa Informacji.

Generalny Inspektor Ochrony Danych Osobowych niejednokrotnie już podkreślał, że powołanie administratora bezpieczeństwa informacji jest prawem, a nie obowiązkiem administratora danych. Takie stanowisko można odnaleźć na stronie GIODO: http://www.giodo.gov.pl/1520223/id_art/8344/j/pl/. W przypadku powołania przez administratora danych ABI musi zostać zarejestrowany w GIODO.

Więcej na temat powoływania  ABI czytaj tutaj: Czy  warto powołać ABI? 

 

Kto może pełnić funkcję ABI?

Administratorem Bezpieczeństwa Informacji może pełnić tylko i wyłącznie osoba, która spełnia wymagania określone art. 36 ust 5:

1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.

GIODO wyjaśnia (więcej tutaj: http://www.giodo.gov.pl/1520223/id_art/8346/j/pl), że każdy administrator danych sam decyduje, czy osoba, mająca w organizacji pełnić funkcję ABI, ma wiedzę wystarczającą do jej pełnienia u konkretnego administratora danych.  Należy podkreślić, że znowelizowana ustawa nie wymaga od kandydatów  na ABI-ch posiadania certyfikatów, ani zaświadczeń o ukończeniu odpowiednich szkoleń.


Obowiązki  ABI

Obowiązki ABI określa ustawa w  art. 36 ust. 2 pkt 1:

1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

Akty wykonawcze określające szczegółowo realizację tych obowiązków to:

1) Rozporzadzenie w sprawie trybu i sposobu realizacji zadań ABI

2) ROZPORZĄDZENIE MAIC w sprawie sposobu prowadzenia przez abi rejestru zbiorów danych


ABI prowadzi jawny rejestr zbiorów danych osobowych swojego administratora danych osobowych zamiast GIODO (art. 36 ust. 2 pkt 2)

ABI przeprowadza kontrolę przestrzegania przepisów z zakresu ochrony danych osobowych, z której przygotowuje sprawozdania dla administratora danych


Sprawozdanie  powinno zawierać:

  1. oznaczenie ADO i adres jego siedziby;
  2. imię i nazwisko ABI;
  3. wykaz czynności podjętych przez ABI w toku sprawdzenia oraz imiona, nazwiska
    i stanowiska osób biorących udział w tych czynnościach;
  4. datę rozpoczęcia i zakończenia sprawdzenia;
  5. określenie przedmiotu i zakresu sprawdzenia;
  6. opis stwierdzonego stanu faktycznego oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
  7. stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem;
  8. wyszczególnienie załączników stanowiących składową część sprawozdania;
  9. podpis ABI, a w przypadku sprawozdania w postaci papierowej – dodatkowo parafy ABI na każdej stronie sprawozdania;
  10. datę i miejsce podpisania sprawozdania przez ABI.

Powołując ABI jednostka zdejmuje z siebie ciężar ustawowych obowiązków związanych z ochroną danych osobowych – przenosi je na ABI.

Należy podkreślić, że GIODO może zlecić ABI przeprowadzenie kontroli u swojego ADO w jego imieniu. Przygotowanie i przekazanie sprawozdania nie wyłącza prawa GIODO do przeprowadzenia w organizacji kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych. W związku z powyższym należy uznać także  do obowiązków ABI uczestniczenie podczas kontroli  i udzielanie wyjaśnień inspektorom Biura GIODO przeprowadzającym kontrolę.

ABI jest swoistym  „łącznikiem” w kontaktach pomiędzy organizacją a GIODO. W razie wystąpienia uzasadnionej konieczności skontaktowania się z  jednostką GIODO będzie zwracał się bezpośrednio do powołanego ABI ( art. 19b.ust1 ustawy).

 Zwolnienie z obowiązku rejestracji zbiorów danych

Administratorzy danych, którzy powołają i zgłoszą ABI będą zwolnieni ich z obowiązku rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane wrażliwe.

Innymi słowy , wprowadzane zmiany takie jak określenie kompetencji ABI, a tym samym zakresu jego odpowiedzialności, zwolnienie z obowiązku rejestracji zbiorów,  wprowadzenie rejestru ABI należy zaliczyć do plusów nowelizacji.


Zgłoszenie ABI

Zgłoszenie powołania ABI do GIODO, w terminie 30 dni od dnia powołania, musi zawierać:

1) oznaczenie AD i adres jego siedziby, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej (REGON), jeżeli został mu nadany;

2) dane ABI:

a) imię i nazwisko;
b) numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość;
c) adres do korespondencji, jeżeli jest inny niż adres siedziby ADO;

3) datę powołania;

4) oświadczenie ADO o:

a) spełnianiu przez ABI wymogów (pełna zdolność do czynności prawnych oraz korzystanie z pełni praw publicznych; posiadanie odpowiedniej wiedzy w zakresie ochrony danych osobowych; niekaralność za umyślne przestępstwo);
b) podleganiu ABI bezpośrednio kierownikowi jednostki organizacyjnej lub ADO

Na żądanie ADO lub ABI GIODO wydaje zaświadczenie o zarejestrowaniu ABI.

Zgłaszanie zmian dotyczących ABI odbywa się zgodnie z procedurą zgłoszenia powołania ABI do rejestracji GIODO w terminie 14 dni od dnia zmiany.


Zgłoszenie odwołania ABI

Zgłoszenie odwołania ABI do GIODO (w terminie 30 dni od dnia jego odwołania) powinno zawierać:

1) oznaczenie AD i adres jego siedziby, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej (REGON), jeżeli został mu nadany;

2) dane ABI:
a) imię i nazwisko;
b) numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość;

3) datę i przyczynę odwołania.

Wzór zgłoszenia powołania i odwołania ABI określa rozporządzenie Rozporządznie MAIC z dnia 10 grudnia 2014 w sprawie zgłoszenia powołania i odwołania abi

Lista zmian w przepisach o ochronie danych osobowych oraz prawach i obowiązkach ABI jest znacznie większa.  Dlatego też zapraszamy Państwa na kompleksowe szkolenie z ABI prowadzone przez wysokiej klasy eksperta. Szczegółowe informacje dotyczące programu znajdziecie Państwo na stronach:

OBOWIĄZEK POWOŁYWANIA ABI- PRAWDA CZY FAŁSZ?

CZY JEST OBOWIĄZEK POWOŁYWANIA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI?


Podstawa prawna:

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182, z późń. zm.):

Art. 36a.ust 1. 

Administrator danych może powołać administratora bezpieczeństwa informacji.

Art. 36b.

W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania,
o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych.

Ułatwienia dostępu

Web Accessibility plugin by DJ-Extensions.com