ABI to skrót od “administratora bezpieczeństwa informacji”. Od stycznia 2015 r. jednostki przetwarzające dane osobowe same decydują o tym, czy zgłaszać rejestrację zbiorów danych do GIODO, czy powołać ABI, który będzie swoistym wewnętrznym inspektorem ochrony danych osobowych.
Czy istnieje obowiązek powołania ABI?
Zgodnie z art. 36a ust. 1 znowelizowanej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych „administrator danych może ( nie musi) powołać administratora bezpieczeństwa informacji” (ABI). W przypadku niepowołania administratora bezpieczeństwa informacji – zadania przypisane ABI w art. 36a ust. 2 pkt 1 (z wyłączeniem obowiązku sporządzania sprawozdania) wykonuje administrator danych – stanowi o tym art. 36b.
Z tej normy jednoznacznie wynika, że nie ma obowiązku powoływania Administratora Bezpieczeństwa Informacji.
Generalny Inspektor Ochrony Danych Osobowych niejednokrotnie już podkreślał, że powołanie administratora bezpieczeństwa informacji jest prawem, a nie obowiązkiem administratora danych. Takie stanowisko można odnaleźć na stronie GIODO: http://www.giodo.gov.pl/1520223/id_art/8344/j/pl/. W przypadku powołania przez administratora danych ABI musi zostać zarejestrowany w GIODO.
Więcej na temat powoływania ABI czytaj tutaj: Czy warto powołać ABI?
Kto może pełnić funkcję ABI?
Administratorem Bezpieczeństwa Informacji może pełnić tylko i wyłącznie osoba, która spełnia wymagania określone art. 36 ust 5:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.
GIODO wyjaśnia (więcej tutaj: http://www.giodo.gov.pl/1520223/id_art/8346/j/pl), że każdy administrator danych sam decyduje, czy osoba, mająca w organizacji pełnić funkcję ABI, ma wiedzę wystarczającą do jej pełnienia u konkretnego administratora danych. Należy podkreślić, że znowelizowana ustawa nie wymaga od kandydatów na ABI-ch posiadania certyfikatów, ani zaświadczeń o ukończeniu odpowiednich szkoleń.
Obowiązki ABI
Obowiązki ABI określa ustawa w art. 36 ust. 2 pkt 1:
1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
Akty wykonawcze określające szczegółowo realizację tych obowiązków to:
1) Rozporzadzenie w sprawie trybu i sposobu realizacji zadań ABI
2) ROZPORZĄDZENIE MAIC w sprawie sposobu prowadzenia przez abi rejestru zbiorów danych
ABI prowadzi jawny rejestr zbiorów danych osobowych swojego administratora danych osobowych zamiast GIODO (art. 36 ust. 2 pkt 2)
ABI przeprowadza kontrolę przestrzegania przepisów z zakresu ochrony danych osobowych, z której przygotowuje sprawozdania dla administratora danych
Sprawozdanie powinno zawierać:
Powołując ABI jednostka zdejmuje z siebie ciężar ustawowych obowiązków związanych z ochroną danych osobowych – przenosi je na ABI.
Należy podkreślić, że GIODO może zlecić ABI przeprowadzenie kontroli u swojego ADO w jego imieniu. Przygotowanie i przekazanie sprawozdania nie wyłącza prawa GIODO do przeprowadzenia w organizacji kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych. W związku z powyższym należy uznać także do obowiązków ABI uczestniczenie podczas kontroli i udzielanie wyjaśnień inspektorom Biura GIODO przeprowadzającym kontrolę.
ABI jest swoistym „łącznikiem” w kontaktach pomiędzy organizacją a GIODO. W razie wystąpienia uzasadnionej konieczności skontaktowania się z jednostką GIODO będzie zwracał się bezpośrednio do powołanego ABI ( art. 19b.ust1 ustawy).
Zwolnienie z obowiązku rejestracji zbiorów danych
Administratorzy danych, którzy powołają i zgłoszą ABI będą zwolnieni ich z obowiązku rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane wrażliwe.
Innymi słowy , wprowadzane zmiany takie jak określenie kompetencji ABI, a tym samym zakresu jego odpowiedzialności, zwolnienie z obowiązku rejestracji zbiorów, wprowadzenie rejestru ABI należy zaliczyć do plusów nowelizacji.
Zgłoszenie ABI
Zgłoszenie powołania ABI do GIODO, w terminie 30 dni od dnia powołania, musi zawierać:
1) oznaczenie AD i adres jego siedziby, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej (REGON), jeżeli został mu nadany;
2) dane ABI:
a) imię i nazwisko;
b) numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość;
c) adres do korespondencji, jeżeli jest inny niż adres siedziby ADO;
3) datę powołania;
4) oświadczenie ADO o:
a) spełnianiu przez ABI wymogów (pełna zdolność do czynności prawnych oraz korzystanie z pełni praw publicznych; posiadanie odpowiedniej wiedzy w zakresie ochrony danych osobowych; niekaralność za umyślne przestępstwo);
b) podleganiu ABI bezpośrednio kierownikowi jednostki organizacyjnej lub ADO
Na żądanie ADO lub ABI GIODO wydaje zaświadczenie o zarejestrowaniu ABI.
Zgłaszanie zmian dotyczących ABI odbywa się zgodnie z procedurą zgłoszenia powołania ABI do rejestracji GIODO w terminie 14 dni od dnia zmiany.
Zgłoszenie odwołania ABI
Zgłoszenie odwołania ABI do GIODO (w terminie 30 dni od dnia jego odwołania) powinno zawierać:
1) oznaczenie AD i adres jego siedziby, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej (REGON), jeżeli został mu nadany;
2) dane ABI:
a) imię i nazwisko;
b) numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość;
3) datę i przyczynę odwołania.
Wzór zgłoszenia powołania i odwołania ABI określa rozporządzenie Rozporządznie MAIC z dnia 10 grudnia 2014 w sprawie zgłoszenia powołania i odwołania abi
Lista zmian w przepisach o ochronie danych osobowych oraz prawach i obowiązkach ABI jest znacznie większa. Dlatego też zapraszamy Państwa na kompleksowe szkolenie z ABI prowadzone przez wysokiej klasy eksperta. Szczegółowe informacje dotyczące programu znajdziecie Państwo na stronach:
OBOWIĄZEK POWOŁYWANIA ABI- PRAWDA CZY FAŁSZ?
CZY JEST OBOWIĄZEK POWOŁYWANIA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI?
Podstawa prawna:
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182, z późń. zm.):
Art. 36a.ust 1.
Administrator danych może powołać administratora bezpieczeństwa informacji.
Art. 36b.
W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania,
o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych.
Ułatwienia dostępu