Nowy ABI, czyli ku inspektorowi danych osobowych

Wymogi formalne dla ABI

Aby zostać administratorem bezpieczeństwa informacji należy spełnić następujące kryteria:

• posiadać pełną zdolność do czynności prawnych i korzystania z praw publicznych,
• nie być karanym za przestępstwo popełnione z winy umyślnej,
• mieć odpowiednią wiedzę z zakresu ochrony danych osobowych.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.

ODBIERZ PAKIET

Posiadając takiego ABI, przedsiębiorca jest zwolniony z obowiązku rejestracji zbiorów zwykłych danych w GIODO (zbiory danych wrażliwych, z wyjątkiem zbiorów ujętych w art. 43 ustawy o ochronie danych osobowych, nadal podlegają rejestracji). Musi jednak zarejestrować w GIODO swojego ABI!

Rejestracja ABI w GIODO

Od 1 stycznia 2015 r. administrator danych osobowych (ADO) jest zobowiązany każdorazowo zgłaszać do GIODO powołanie i odwołanie administratora bezpieczeństwa informacji. Termin takiego zgłoszenia to 30 dni od powołania lub odwołania. Zgłoszenie powołania administratora bezpieczeństwa informacji zawiera:

1. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany,
2. dane administratora bezpieczeństwa informacji:
   a) imię i nazwisko,
   b) numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość,
   c) adres do korespondencji, jeżeli jest inny niż adres administratora danych osobowych,
3. datę powołania,

1. oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków niezbędnych do pełnienia wskazanej funkcji.

Zmiany informacji objętych powyższym zgłoszeniem należy aktualizować w terminie 14 dni od dnia ich zaistnienia.

Formularz zgłoszenia powołania administratora bezpieczeństwa informacji zamieszczamy poniżej. Uwagę zwraca jego niewielka objętość, zdecydowanie mniejsza niż zgłoszenie do rejestracji zbioru danych osobowych. W miejsce osiemnastu, administrator danych wypełnia dwie, stosunkowo proste i intuicyjne strony formularza. Takie rozwiązanie jest zdecydowanie przyjaźniejsze zgłaszającemu i, dodatkowo, minimalizuje koszty po stronie ADO.

Powyższy formularz umożliwia GIODO kontrolę, czy ADO faktycznie spełnił warunki niezbędne do zwolnienia go z obowiązku zgłaszania zbiorów do rejestracji. Informacje zawarte w zgłoszeniu będą podstawą dokonania odpowiednich wpisów w rejestrze administratorów bezpieczeństwa informacji oraz wykreślenia z tego rejestru.

Wpis lub wykreślenie ABI następuje w drodze czynności materialno-technicznej (przekazanie informacji przez ADO). Wykreślenie ABI z rejestru może być dokonane również na podstawie decyzji administracyjnej wydawanej z urzędu. Dzieje się tak w trzech przypadkach:

• gdy ADO nie powiadomi GIODO o odwołaniu ABI,
• gdy ABI nie spełnia ustawowych wymogów,
• gdy ABI nie wykonuje swoich ustawowych zadań.

W przypadku administratorów bezpieczeństwa informacji powołanych przed 31 grudnia 2014 r., ADO ma czas na ich rejestrację do 30 czerwca br. Do tego czasu, niezależnie od rejestracji, ABI pełni swoją funkcję zgodnie z nowymi przepisami.

Status i zadania ABI

Nowelizacja ustawy o ochronie danych osobowych doprecyzowała status administratora bezpieczeństwa informacji w organizacji. Najważniejsze zmiany to:

• określenie podległości służbowej ABI – podlega bezpośrednio administratorowi danych osobowych (właściciel firmy, zarząd, itp.),
• możliwość nałożenia na ABI przez przełożonego innych zadań niż te określone w ustawie, o ile nie utrudniają one prawidłowego wykonywania obowiązków ustawowych,
• możliwość powołania zastępcy administratora bezpieczeństwa informacji, spełniającego te same wymagania co ABI (może mieć to ogromne znaczenie szczególnie w sytuacjach kryzysowych, gdy ABI przejściowo nie może realizować swoich zadań).

Nowelizacja dookreśliła też obowiązki administratora bezpieczeństwa informacji. Skupiają się one wokół dwóch głównych kwestii: zapewnienie przestrzegania przepisów o ochronie danych osobowych, w tym:

• sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
• nadzorowanie opracowania i aktualizowania dokumentacji ochrony danych osobowych, (czyli polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym) oraz przestrzegania zasad w niej określonych,
• zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,

oraz prowadzenie jawnego rejestru zbiorów zwykłych danych osobowych przetwarzanych przez ADO.

ABI w modelu kontroli GIODO

Zgodnie z nowelizacją GIODO może powierzać administratorom bezpieczeństwa informacji sprawdzanie zgodności przetwarzania danych osobowych w obsługiwanych przez nich przedsiębiorstwach. Stanowi to istotne odciążenie dla administratorów danych osobowych (w tym przedsiębiorców), którzy wcześniej podlegali bezpośredniej kontroli GIODO. Warto zaznaczyć, że kontrola wykonywana przez ABI w żaden sposób nie narusza kompetencji GIODO, który jedynie uznaniowo dopuszcza uproszczoną kontrolę i nie jest ograniczony w możliwości późniejszego przeprowadzenia własnej.

Nie należy przy tym mylić tego sprawdzenia z corocznym raportem przygotowywanym na potrzeby ADO. W pierwszym przypadku ABI na zlecenie GIODO dokonuje sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych u administratora danych, który go powołał. Sprawozdanie z takiego sprawdzenia jest przedstawiane, za pośrednictwem administratora danych, GIODO. W drugim przypadku sprawdzenie przeprowadzone przez ABI ma charakter kontroli wewnętrznej, a zatem powstałe w jego wyniku sprawozdanie jest dokumentem wewnętrznym administratora danych.