Nowe obowiązki Administratora Bezpieczeństwa Informacji od 2015 roku

Instytucja Administratora Bezpieczeństwa Informacji (dalej: „ABI”) nie jest nową konstrukcją w polskim porządku prawnym. Jego pozycja została wyznaczona przepisami obowiązującej aktualnie dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. U. UE. L. z 1995 r. nr 281, poz. 31). Zakres obowiązków ABI uległ jednak zmianie od 1 stycznia 2015 roku, kiedy to wszedł w życie art. 9 ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz. U. z 2014 r. poz. 1662), zmieniający przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182, z późn. zm.).

Powołanie ABI jest uprawnieniem, a nie obowiązkiem administratora danych. Niemniej jednak zaleca się, aby podmioty będące, np.: spółkami prawa handlowego powoływały ABI, ponieważ funkcję tę powinna pełnić osoba fizyczna, mająca pełną zdolność do czynności prawnych, korzystająca z pełni praw publicznych, posiadająca odpowiednią wiedzę w zakresie ochrony danych osobowych oraz nie karana za przestępstwo umyślne.

Powołanie ABI powinno być zgłoszone przez administratora danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (dalej: „GIODO”) w ciągu 30 dni od dnia powołania, na wzorze stanowiącym załącznik do rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. z 2014 r., poz. 1934). ABI zgłoszeni do rejestracji GIODO będą wpisywani do ogólnokrajowego, jawnego rejestru. Administrator danych, który zgłosi ABI do rejestracji zobowiązany jest również do zgłaszania GIODO każdej zmiany informacji objętych zgłoszeniem w terminie 14 dni od dnia dokonania zmiany, a także jego odwołania w terminie 30 dni od dnia odwołania na wzorach, o których mowa powyżej.

Obecnie do zadań ABI należy przede wszystkim zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych,

zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Dodatkowym obowiązkiem ABI jest prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, zawierającego m.in. nazwę zbioru, oznaczenie administratora danych osobowych, adres jego siedziby i nr REGON, podstawę prawną upoważniającą do prowadzenia zbioru danych, cel przetwarzania danych w zbiorze, opis kategorii osób, których dane są przetwarzane w zbiorze, zakres danych przetwarzanych w zbiorze, sposób zbierania danych do zbioru, itp..

W sytuacji gdy administrator danych powołał ABI i zgłosił go do rejestracji GIODO obowiązek prowadzenia jawnego rejestru zbiorów danych nie zawierających, tzw. danych wrażliwych, czyli danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, przechodzi na ABI. Rejestr ten powinien być prowadzony przez ABI u administratora danych i obejmować wszystkie zbiory danych prowadzone przez tego administratora, z wyjątkiem zbiorów danych wyłączonych dotychczas z obowiązku zgłoszenia do rejestracji GIODO. ABI powinien zatem ująć w swoim rejestrze również zbiory zgłoszone do GIODO przed 1 stycznia 2015 r., w tym zbiory zawierające dane wrażliwe. W przypadku zaś zbiorów, tzw. danych wrażliwych obowiązek ich zgłoszenia do rejestracji GIODO przed rozpoczęciem ich przetwarzania nadal spoczywa na administratorze danych.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *