ABI po nowemu…

Z dniem 1 stycznia 2015 r. wejdą w życie przepisy zmieniające ustawę o ochronie danych osobowych. Zmiany będą dość istotne i dotyczyć będą między innymi pozycji administratora bezpieczeństwa informacji (ABI). Ustawa w dotychczasowym brzmieniu nie reguluje szczegółowo kompetencji ABI. Niemniej jednak praktyka wypracowała określony dla tej funkcji zakres obowiązków.

Faktem jest też, że wiele firm decyduje się na zlecenie zadań ABI firmie zewnętrznej.

Ustawa w brzmieniu dotychczasowym lakonicznie reguluję pozycję ABI ograniczając się do stwierdzenia, że administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony. Z kolei nowe przepisy szczegółowo wymieniają zakres zadań należący do kompetencji ABI.

Zadania ABI

Do zadań ABI należy zapewnianie przestrzegania przepisów o ochronie danych osobowych. ABI będzie zobowiązany do sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, nadzorowania opracowywania i aktualizowania dokumentacji, zapewniania zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Powołanie ABI

Administrator danych osobowych może, ale nie musi wyznaczyć ABI. W przypadku niepowołania ABI jego zadania wykonuje jednak sam, co oznacza, że ponosi również odpowiedzialność za wszelkie uchybienia w zakresie przetwarzania danych osobowych.

Powołanie ABI jest dla wielu firm kuszące. Sfera zapewnienia zgodności przetwarzania danych osobowych z przepisami jest przez przedsiębiorców mało znana.  Chętnie, więc wyznaczają ABI poza swoją organizacją zawierając stosowną umowę cywilno-prawną. W umowie takiej  regulowane są prawa i obowiązki stron. Wobec braku dotychczas katalogu ustawowych zadań, strony same w umowie precyzowały ich zakres.

 Nowe przepisy w dalszym ciągu, w zakresie powołania ABI, pozostawiają swobodę wyboru administratorowi danych. Administrator danych jednak, jest obowiązany zgłosić do rejestracji GIODO powołanie i odwołanie ABI w terminie 30 dni od dnia jego powołania lub odwołania.

W świetle nowych przepisów ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Zwolnienie z obowiązku rejestracji

Dla administratorów danych, którzy powołają i zgłoszą ABI ustawa przewiduje bonus w postaci zwolnienia ich z obowiązku rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane wrażliwe.

Reasumując, wprowadzane zmiany takie jak określenie kompetencji ABI, a tym samym zakresu jego odpowiedzialności, zwolnienie z obowiązku rejestracji zbiorów,  wprowadzenie rejestru ABI należy zaliczyć do plusów noweli.

Z uwagi na ogromne zainteresowanie tematem a jednocześnie niezbyt dużą podaż informacji w omawianym zakresie, postanowiłam stworzyć profesjonalny Poradnik, który w sposób kompleksowy omówi najważniejsze zagadnienia oraz te, które wzbudzają najwięcej wątpliwości i nie są powszechnie komentowane.

Poradnik jest dostępny odpłatnie, po zapisaniu się na listę subskrybentów bloga i złożeniu zamówienia drogą elektroniczną na adres kancelaria@przetwarzaniedanych.pl  Zachęcam i zapraszam do zamawiania tego kompleksowego materiału pozwalającego na rozwianie wielu mitów już krążących wokół nowelizacji. Więcej informacji o poradniku znajdziesz tutaj.

{ 7 komentarze… przeczytaj je poniżej albo dodaj swój }

Andrzej 18.11.Listopad o 10:17

A jak w świetle nowelizacji jest z aktualizacją już zarejestrowanych w GIODO zbiorów?
Aktualnie o ile rejestracja zbiorów przebiega jeszcze względnie szybko, o tyle opóźnienia w aktualizacjach sięgają chyba 2 lat. Z tego co słyszałem po nowelizacji, informacje o nowych zbiorach będzie można zamieszczać na własnej stronie w postaci odpowiedniej informacji, a co z aktualizacjami zbiorów zgłoszonych do GIODO, też będzie można je zamieszczać na stronie czy jednak będzie je trzeba aktualizować w GIODO?

Mariola Malicka 18.11.Listopad o 20:00

Moim zdaniem aktualizowanie zbiorów już zgłoszonych przez ABIego, który został zgłoszony do GIODO czyli korzysta z dobrodziejstwa zwolnienia, jest nieuzasadnione. W takim przypadku moim zdaniem nie ma obowiązku aktualizowania zbiorów wcześniej zgłoszonych do GIODO.

Andrzej 19.11.Listopad o 08:44

Ale mi chodzi o zbiory już zarejestrowane, będące w bazie GIODO. Aktualizacje zgłoszone do końca grudnia GIODO bierze na siebie, ale co potem?
Chodzi mi o sytuację kiedy po 1 stycznia, będąc zgłoszonym do GIODO, będę chciał zaktualizować zbiór już u nich zgłoszony. Czy nadal aktualizację wysyłam do nich, czy korzystając z dobrodziejstw nowelizacji zamiast wysyłać aktualizację do nich, zaktualizowaną informację o zbiorze zamieszczam na stronie?

Mariola Malicka 23.11.Listopad o 21:33

Dokładnie to chciałam wyrazić:-) Moim zdaniem w takiej sytuacji, jak Pan opisuje wystarczająca będzie aktualizacja na stronie. Z przepisów nie wynika, aby po 1 stycznia, w przypadku zbiorów już zgłoszonych pozostał obowiązek aktualizacji tych zbiorów do GIODO. Byłoby to zresztą bez sensu.
pozdrawiam
Mariola Malicka

Andrzej 24.11.Listopad o 09:11

Też mam nadzieję, że tak to będzie właśnie wyglądać. Tylko w takim razie będzie sytuacja, gdzie ten sam zbiór będzie występował w dwóch odmiennych wersjach, jednej na stronie GIODO, drugiej, zaktualizowanej na naszej stronie.

Mariola Malicka 28.11.Listopad o 13:21

To prawda:-) I z tym GIODO coś będzie musiał zrobić. Napiszę na temat tych wątpliwości, które Pan zasygnalizować, bo to rzeczywiście jest zagwozdka:-)

Andrzej 28.11.Listopad o 13:31

Czekam zatem z niecierpliwością na dalsze informacje 😉

Dodaj komentarz

Poprzedni wpis:

Następny wpis: