Polski ustawodawca instytucję Administratora Bezpieczeństwa Informacji do polskiego porządku prawnego wprowadził 1 maja 2004 r., kiedy to w życie weszła nowelizacja Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (U.o.d.o.). Zmiany spowodowane były wstąpieniem Polski do Unii Europejskiej i przeniosły na polski grunt prawny wszystkie zasady określone w Dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
Wprowadzony wówczas przepis art. 36 ust. 3 U.o.d.o.w tym względzie był jednak niezwykle lakoniczny, wspominając jedynie o obowiązku wyznaczenia ABI przez Administratora Danych Osobowych (ADO) w wypadku niewykonywania przez niego samodzielnie czynności z zakresu nadzoru przestrzegania zasad ochrony danych osobowych.
Nowy stan prawny, obowiązujący od 1 stycznia 2015 r. rozbudowuje ustawowe unormowania w zakresie funkcjonowania ABI i przygotowuje ADO do regulacji zapowiadanych w projekcie Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (tzw. ogólne rozporządzenie o ochronie danych osobowych).
Powołanie ABI
Po wejściu w życie nowych przepisów U.o.d.o., wielu Administratorów Danych zadaje sobie pytanie, czy powołanie ABI jest obowiązkowe? Nowe regulacje dają Administratorom w tym zakresie swobodę wyboru. Zgodnie ze znowelizowanym brzmieniem Ustawy, powołanie ABI jest uprawnieniem, a nie obowiązkiem Administratora Danych. Wziąć należy jednak pod uwagę to, że w przypadku niepowołania ABI, jego zadania wykonuje sam Administrator Danych (art. 36b U.o.d.o.). Tym samym, art. 36b, nakłada na ADO swoiste zastępstwo w sytuacji braku oddzielnego nadzorującego. Innymi słowy, powołanie ABI jest dobrowolne. Jeżeli jednak nie ma ABIego, to jego obowiązki spoczywają na ADO, a konkretnie na osobie go reprezentującej: Prezesie, Wójcie, Burmistrzu czy Dyrektorze Szkoły. Do tej pory, powołanie ABIego odbywało się na drodze wewnętrznej „nominacji”. Po nowelizacji, konieczne jest dodatkowo jego zgłoszenie do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych. Zgodnie z art. 46b U.o.d.o., zgłoszenie to powinno nastąpić w terminie 30 dni od daty powołania.
Stosowny wzór wniosku zgłoszeniowego, został przygotowany w formie załączników do Rozporządzenia (Rozporządzenie MAiC z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratorów bezpieczeństwa informacji (Dz.U. z 2014 r. poz. 1934)).
Osoby zgłoszone do GIODO, figurują jako ABI w specjalnym, jawnym rejestrze, dostępnym w Internecie: https://egiodo.giodo.gov.pl/abi_register.dhtml. GIODO jawny rejestr prowadzi od 26 stycznia 2015 r., a do końca czerwca ujawniono w nim ponad 3 tysiące osób pełniących funkcję ABI w różnych podmiotach.
Zostałem ABI – moja pozycja, moje obowiązki
Zgodnie z art. 36a ust. 2 pkt 1 U.o.d.o., głównym zadaniem Administratora Bezpieczeństwa Informacji jest zapewnianie przestrzegania przepisów o ochronie danych osobowych. Odbywa się to w szczególności poprzez:
- sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla Administratora Danych;
- nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną oraz przestrzegania zasad w niej określonych;
- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
Dodatkowym zadaniem ABI jest prowadzenie rejestru zbiorów danych przetwarzanych przez Administratora Danych (zgodnie z art. 36a ust. 2 pkt 2 U.o.d.o.). Rejestr ten zawiera nazwę zbioru oraz wskazane przez ustawodawcę informacje (więcej na temat prowadzenia przez ABIego jawnego zbioru danych osobowych przeczytasz w naszym artykule: https://blog-daneosobowe.pl/my-juz-wiemy-jak-prowadzic-jawny-rejestr-zbiorow-danych-osobowych/).
W przypadku niepowołania ABI, powyższe zadania (z wyłączeniem obowiązku sporządzania sprawozdania i obowiązku prowadzenia wewnętrznego rejestru zbiorów danych) wykonuje sam Administrator Danych.
Jednak do tej pory nie słyszałem o przypadku, aby to sam Prezes czy Burmistrz zgłaszał bazy danych do GIODO i szkolił własnych pracowników z zakresu ochrony danych osobowych.
Istnieje więc naturalna potrzeba delegowania na kogoś ww. zadań. ABIego najprościej można więc określić jako managera ds. zarządzania ochroną danych osobowych.
Można takiego managera powołać, można go nie powoływać. Jego niepowołanie nie wydaje się jednak rozwiązaniem optymalnym, ponieważ w takim wariancie ustawowe obowiązki i tak będą ciążyły na każdym ADO. Dodatkowo, taki ADO nie skorzysta z korzyści jakie niesie powołanie ABI po 2015 r., m.in.: z braku konieczności rejestracji zbiorów danych do GIODO, czy możliwości skorzystania z tzw. uproszczonej kontroli (sprawdzenie dokonywane przez ABI na polecenie GIODO). Do tego, żeby ABI mógł mieć realny wpływ na bezpieczeństwo danych osobowych, potrzebna jest mu jeszcze niezależność organizacyjna.
Nowy artykuł 36a U.o.d.o. w ustępie 7 i 8 nie pozostawia wątpliwości. ABI cieszy się organizacyjną niezależnością oraz odrębnością poprzez bezpośrednie podleganie kierownikowi jednostki organizacyjnej (analogia z pozycją audytorów wewnętrznych) oraz obligatoryjne przekazanie środków niezbędnych do „niezależnego wykonywania zadań”.
Zachęcam do lektury kolejnych dwóch części cyklu o nowej roli ABIego w związku z nowelizacją przepisów.
Część druga: https://blog-daneosobowe.pl/abi-po-nowelizacji-ustawy-o-ochronie-danych-osobowych-cz-ii-abi-agentem-giodo/
1 Odpowiedź
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Czy jest możliwość bycia dobrym abi i jednocześnie dobrym pracownikiem? Jeżeli zrzucimy zadania abi na któregoś z pracowniów, jak wyglądałoby rozłożenie czasu pracy? 1/4 etatu wystarczy, aby w sposob prawidłowy wykonywać zadania abi? jak to uregulować w umowie z pracownikiem?