ABI jakiego nie znamy

“Jak kontrolować przetwarzanie danych osobowych przez ABI.”

Frazy o treści dokładnie takiej jak w tytule są wpisywane do wyszukiwarek. Oznacza to, że mnożą się kolejne pytania dotyczące funcjonowania nowego ABI. Bowiem podniesienie rangi ABI przez wyznaczenie katalogu zadań, zapewnienie niezależności, wyposażenie w środki prawne to jedno. Inną kwestią jest to, że przepisy właściwie nie wymagają, aby ABI legitymował się konkretnymi kwalifikacjami na przykład był prawnikiem czy informatykiem, miał certyfikaty czy inne dokumenty potwierdzające jego kompetencje.

W stanie prawnym sprzed nowelizacji, gdy przepisy poświęcały regulacji ABI w sumie jedno zdanie, jego kwalifikacje nie miały aż tak wielkiego znaczenia. Sam ABI w organizacji nie był specjalnie na świeczniku a jego wybór był zupełnie odformalizowany, no poza samym obowiązkiem jego powołania.

Aktualnie oblicze ABI przechodzi totalną metamorfozę. I nie ma znaczenia fakt, że profesjonalnie świadczące usługę ABI firmy wykonywały już wcześniej większość zadań w zakresie i w sposób określony w nowych przepisach. Metamorfoza ABI jest niekwestionowana w świetle prawa.

W stanie prawnym sprzed nowelizacji instytucji ABI przepisy prawne poświęcały jedno zdanie. W aktulanym stanie prawnym jest to cały rozdział w ustawie oraz trzy rozporządzenia wykonawcze. I tak rozbudowana regulacja prawna kładzie podwaliny moim zdaniem pod rozwój bardzo ważnej w organizacji funcji.

Większość firm w zakresie ochrony danych osobowych oczywiście śpi i nie jest w ogóle świadoma, że coś się zmienia. Inne wiedzą, że coś się zmienia, ale nie są świadome jakie ma to dla nich znaczenie i niechętnie zajmują się tematem. Nieliczne tylko już wiedzą, że wkracza nowe.

I taka jest prawda. Wkracza zupełnie nowy ABI, w nowym prawnym uniformie, uzbrojony w narzędzia służące do wykonywania jego funkcji.

Jednak od takiego ABI można i trzeba dużo wymagać. Taki ABI będzie wobec administratora odpowiedzialny za zapewnianie zgodności przetwarzania danych osobowych z prawem. Administrator w szczególności od zewnętrzengo ABI ma prawo wymagać nie tylko potwierdzenia kompetencji, ale też i odpowiedniej polisy OC związanej z wykonywaną działalnością. Napiszę o tym jeszcze szerzej, gdyż ta fraza również jest wpisywana w wyszukiwarkę na moim blogu.

Reasumując jak kontrolować czy ABI właściwie wypełnia swoje obowiązki. Najpierw należy wybrać odpowiednią osobę, firmę. Poprosić o potwierdzenie wykształcenia, doświadczenia, rekomendacje, ukończone szkolenia, kursy, certyfikaty.

W aktualnym stanie prawnym oraz w przeddzień wprowadzenia w życie unijnego rozporządzenia w sprawie ochrony danych osobowych ABI nie może być osobą przypadkową. Z funkcją ABI bowiem związana będzie większa niż dotychczas odpowiedzialność. Dodatkowo w momencie wejścia w życie rozporządzenia a wraz z nim kar pieniężnych, kwestia odpowiedzialności ABI za powierzone w ramach funkcji zadania stanie się z pewnością ważnym zagadnieniem prawnym.

Rejestracja ABI – nowelizacja ustawy o ochronie danych osobowych z dniem 1 stycznia 2015 r.

Nowelizacja ustawy o ochronie danych osobowych (OchrDanOsobU) wejdzie  w życie już lada chwila, bo z dniem 1 stycznia 2015 r. Długo oczekiwana nowelizacja, której przedmiotem jest w głównej mierze uregulowanie statusu administratora bezpieczeństwa informacji (ABI) stanie się faktem.

Jednak już w przeddzień wejścia w życie nowych przepisów nie brakuje głosów krytycznych czy wątpliwości rzucających pewien cień na nową regulację. Wszyscy są zgodni, że stanowi ona istotne novum w krajowym prawie ochrony danych osobowych. Bezsprzecznie nowelizacja podnosi rangę ABI przez wyznaczenie katalogu jego zadań, podległość bezpośrednio kierownikowi jednostki organizacyjnej, obowiązek zapewnienia ABI środków niezbędnych do realizacji jego zadań.

Mnożą się wątpliwości odnośnie wprowadzanych nowelą instytucji. Jakie skutki w odniesieniu do wcześniej zgłoszonych zbiorów danych będzie miało wyznaczenie ABI i zgłoszenie tego faktu do GIODO, czy zbiory wcześniej zgłoszone podlegają aktualizacji a może tylko wykreśleniu.

Jaka będzie praktyka GIODO w zakresie prawa zlecenia ABI przeprowadzenia kontroli i przedstawienia organowi sprawozdania z tej kontroli.

Jaki status ma ABI w okresie przejściowym tj. do 30 czerwca 2015 r. Jakie zadania musi a jakie może w tym okresie wykonywać. To najważniejsze, ale niestety nie jedyne zagadnienia wzbudzające najwięcej emocji i kontrowersji.

Wszystkich zainteresowanych pogłębieniem lub usystematyzowaniem wiedzy w zakresie ochrony danych osobowych oraz przygotowaniem do pełnienia funkcji ABI i wypełnianiem obowiązków zgodnie z najnowszymi przepisami zapraszam na szkolenie 3-4 sierpnia do Warszawy. Więcej na:

Szkolenie ABI 3-4 sierpnia Warszawa

Rejestracja ABI – okres przejściowy

Nowelizacja ustawy o ochronie danych osobowych wprowadzająca zmiany w zakresie funkcjonowania ABI wchodzi w życie 1 stycznia 2015 r. Przewiduje ona jednak okres przejściowy dla ABI wyznaczonych na dotychczasowych zasadach, w brzmieniu przepisów przed nowelizacją. Jednak trzeba powiedzieć wprost jest to najmniej klarowna część całej nowelizacji.

 Interpretacja przepisu przejściowego sprowadza się jednak do tego, że do ABI wyznaczonych na dotychczasowych zasadach powinno stosować się nową regulację, do czasu zgłoszenia do rejestru, nie dłużej jednak niż do 30 czerwca 2015 r.

 I tutaj zaczynają się schody, bo część obowiązków wynikająca z nowelizacji wprost przypisana jest do ABI zgłoszonego np. prowadzenie uproszczonej kontroli dla GIODO, ale inne już wprost się do tego kryterium nie odwołują, jak na przykład prowadzenie wewnętrznego rejestru.

 Na forum ADO/ABI Generalny Inspektor powiedział, że nie będzie prosił niezgłoszonych ABI o przeprowadzenie kontroli, ale zapytany o obowiązek prowadzenia wewnętrznego rejestru zbiorów danych odpowiedział retorycznie, że chyba takie rejestry to i tak są już dzisiaj przez ABI prowadzone.

 Przepis przejściowy sformułowany jest niefortunnie. Interpretowanie, że dotychczasowy ABI w okresie przejściowym, przed zgłoszeniem go do rejestru, część obowiązków ma wypełniać a części nie, jest w mojej opinii nieuzasadniona. Wybieranie, które obowiązki wobec tego dotyczą ABI niezgłoszonego w okresie przejściowym a które nie, według kryterium rejestracji jest próbą wyjścia z niejasnej sytuacji. Objęcie nową regulacją dotychczasowych ABI, niezgłoszonych w okresie przejściowym wymagało bardziej precyzyjnego uregulowania. Wspomniany przepis przejściowy na pewno nie spełnia tego warunku.

Z uwagi na ogromne zainteresowanie tematem a jednocześnie niezbyt dużą podaż informacji w omawianym zakresie postanowiłam stworzyć poradnik, który w sposób kompleksowy omówi najważniejsze zagadnienia oraz te, które wzbudzają najwięcej wątpliwości i nie są powszechnie komentowane.

Poradnik skierowany jest przede wszystkim do przedsiębiorców rozważających wpływ nowych przepisów na dotychczasową praktykę w swojej organizacji, rozważających “za” i “przeciw” powołania ABI, również do  praktyków tj. samych ABI czy prawników zajmujących się tematyką ochrony danych osobowych zawodowo.

Poradnik jest dostępny nieodpłatnie, po zapisaniu się na listę subskrybentów bloga i złożeniu zamówienia drogą elektroniczną na adres kancelaria@przetwarzaniedanych.pl  Zachęcam i zapraszam do zamawiania tego kompleksowego materiału pozwalającego na rozwianie wielu mitów już krążących wokół nowelizacji.