kancelaria@przetwarzaniedanych.pl

Kancelaria na Facebooku

Kancelaria na Linkedin

Rejestracja ABI i wprowadzenie uproszczonej kontroli

Trwają prace nad ustawą o ułatwieniu warunków wykonywania działalności gospodarczej tzw. IV ustawą deregulacyjną, w ramach której znowelizowana zostanie również ustawa o ochronie danych osobowych.
W projekcie proponuje się kompleksowe zwolnienie z obowiązku rejestracyji zbiorów danych przez administratora danych, który powołał i zgłosił do rejestracji Generalnemu Inspektorowi administratora bezpieczeństwa informacji (ABI). Zmianie ulegają przepisy odnoszące się do zadań ABI i jego usytuowania organizacyjnego w jednostce administratora danych. Powyższe zwolnienie z obowiązku rejestracyjnego nie dotyczy jednakże zbiorów zawierających dane wrażliwe.

Zgodnie z nowelizacją administrator danych będzie obowiązany zgłosić Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji (ABI), a także zmian objętych zgłoszeniem.

Projekt ustawy przewiduje rozszerzenie kompetencji rejestracyjnych Generalnego Inspektora Ochrony Danych Osobowych, który będzie zobowiązany do prowadzenia jawnego rejestru ABI.
Wykreślenie ABI z rejestru następuje po złożeniu przez administratora danych zawiadomienia o jego odwołaniu. GIODO może z urzędu wydać administratorowi danych decyzję o wykreśleniu ABI z rejestru, jeżeli ABI nie spełnia określonych prawem warunków lub nie wykonuje zadań, dla których został powołany.

 W przypadku wykreślenia ABI z rejestru administratorów bezpieczeństwa informacji administrator danych traci prawo do zwolnienia go z obowiązku rejestracji zbiorów. Oznacza to, iż obowiązany będzie w takim przypadku zgłosić wszystkie zbiory danych osobowych, które przetwarza. Nowelizacja przewiduje jednak możliwość ponownego zgłoszenia do rejestracji ABI wykreślonego z rejestru.

System rejestracji ABI ma w prosty sposób zapewnić kontrolę, czy administrator danych faktycznie spełnił warunki niezbędne do zwolnienia go z obowiązku rejestracyjnego.

Jednocześnie w ramach proponowanych rozwiązań określony zostaje status ABI, na który składają się: wymogi stawiane osobie mającej pełnić omawianą funkcję, organizacyjne usytuowania funkcji oraz dopuszczenie nałożenia na ABI innych zadań niż określonych w ustawie o ochronie danych osobowych. Projektowana nowelizacja przyjmuje, że ABI może wykonywać inne nałożone na niego zadania, które nie naruszają jego obowiązków dotyczących ochrony danych osobowych.  Celowo projektowana zmiana unika regulowania kwestii zmierzającej w kierunku tworzenia nowej grupy zawodowej

Jeśli chodzi o wymagania stawiane ABI to projekt stanowi, iż administratorem bezpieczeństwa informacji może być osoba, która:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
3) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
4) nie była karana za przestępstwo popełnione z winy umyślnej.

Natomiast do zadań ABI należało będzie:

1) zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji (polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym)
c) zapoznawanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
2) prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych, zawierającego nazwę zbioru oraz informacje oraz inne informacje identyfikujące zbiór.

W świetle regulacji ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych, którzy zapewniają środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez administratora bezpieczeństwa informacji powierzonych mu zadań.

Niezależnie od zwolnienia z obowiązku rejestracyjnego administratora danych, który powołał i zgłosił do rejestracji Generalnemu Inspektorowi administratora bezpieczeństwa informacji, proponuje się wprowadzenie zwolnienia w odniesieniu do zbiorów danych, które nie są prowadzone w systemie informatycznym, za wyjątkiem zbiorów zawierających dane szczególnie chronione.

Nowelizacja wprowadza możliwość uproszczonej kontroli przestrzegania przepisów o ochronie danych osobowych, która będzie wykonywana – na wniosek GIODO przez niezależnego ABI, zastępując w tym zakresie bezpośrednią kontrolę Generalnego Inspektora.

Po przeprowadzonej kontroli ABI będzie sporządzał sprawozdanie zawierające informacje określone w ustawie, które następnie przedstawi Generalnemu Inspektorowi.

Nowe przepisy niosą za sobą również szereg wątpliwości, którym nierzadko towrzyszą krytyczne refleksje. Wszyscy są zgodni, że stanowi nowa regulacja to istotne novum w krajowym prawie ochrony danych osobowych. Bezsprzecznie nowelizacja podnosi rangę ABI przez wyznaczenie katalogu jego zadań, podległość bezpośrednio kierownikowi jednostki organizacyjnej, obowiązek zapewnienia ABI środków niezbędnych do realizacji jego zadań.

Mnożą się pytania dotyczące wprowadzanych nowelą instytucji. Jakie skutki w odniesieniu do wcześniej zgłoszonych zbiorów danych będzie miało wyznaczenie ABI i zgłoszenie tego faktu do GIODO, czy zbiory wcześniej zgłoszone podlegają aktualizacji a może tylko wykreśleniu.

Jaka będzie praktyka GIODO w zakresie prawa zlecenia ABI przeprowadzenia kontroli i przedstawienia organowi sprawozdania z tej kontroli.

Jaki status ma ABI w okresie przejściowym tj. do 30 czerwca 2015 r. Jakie zadania musi a jakie może w tym okresie wykonywać. To najważniejsze, ale niestety nie jedyne zagadnienia wzbudzające najwięcej emocji i kontrowersji.

Z uwagi na ogromne zainteresowanie tematem a jednocześnie niezbyt dużą podaż informacji w omawianym zakresie postanowiłam stworzyć profesjonalny Poradnik, który w sposób kompleksowy omówi najważniejsze zagadnienia oraz te, które wzbudzają najwięcej wątpliwości i nie są powszechnie komentowane.

Poradnik jest dostępny odpłatnie, po zapisaniu się na listę subskrybentów bloga i złożeniu zamówienia drogą elektroniczną na adres kancelaria@przetwarzaniedanych.pl  Zachęcam i zapraszam do zamawiania tego kompleksowego materiału pozwalającego na rozwianie wielu mitów już krążących wokół nowelizacji. Więcej informacji o poradniku znajdziesz tutaj.

6 comments

    1. Zgłoszenia ABI dokonuje się na formularzu, wzór takiego zgłoszenia zawiera rozporządzenie w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. z 2014 r. poz. 1934).

  1. Witam,
    czy wniosek zgłoszenia ABI do GIODO można przesłać tylko za pomocą tradycyjnej poczty czy można przesłać go mailowo? na jaki adres? Czy jest jakiś formularz z prośba o potwierdzenie dostarczenia zgłoszenia?

    1. Wniosek na razie można przesłać tylko pocztą. Aktualnych informacji w tej kwestii proszę szukać na stronach GIODO.

    1. Nie bardzo rozumiem pytanie. Przepis mówi, że w przypadku powołania ABI i zgłoszenia go do rejestru GIODO, ADO jest zwolniony ze zgłaszania zbiorów danych do Rejestru zbiorów GIODO z wyjątkiem zbiorów zawierających dane wrażliwe. Znaczy, że za zgłoszenie odpowiedzialny jest ADO, ale skoro ABI ma zapewnić zgodność przetwarzania danych z przepisami to w mojej ocenie musi pamiętać o tych zbiorach i wypełnić formularz zgłoszeniowy, który oczywiście podpisze ADO.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: