Nowelizacja ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych jaka została wprowadzona ustawą deregulującą z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, uszczegółowiła w nowy sposób zadania administratora bezpieczeństwa informacji (ABI). Administrator danych osobowych powołuje administrator bezpieczeństwa informacji. Fakt powołania ABI, wymaga zgłoszenia do GIODO, który prowadzi jawny rejestr administratorów bezpieczeństwa informacji (ABI).
Kto może zostać ABI
Administratorem bezpieczeństwa informacji może zostać osoba, która spełnia łącznie następujące warunki:
- ma pełną zdolność do czynności prawnych,
- korzysta z pełni praw publicznych,
- posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
- nie była karana za umyślne przestępstwo.
Jeżeli chodzi o kwestię odpowiedniej wiedzy w zakresie ochrony danych osobowych, ustawa nie wymaga aby wiedza z zakresu danych osobowych jaką winien posiadać kandydat na ABI była w jakikolwiek sposób potwierdzona certyfikatem czy odpowiednim egzaminem. To administrator danych osobowych, powołujący ABI, decyduje czy dana osoba posiada odpowiednią wiedzę z zakresu danych osobowych. W opinii GIODO, „przesłanka posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych jest oceniana przez samego administratora danych. Działając we własnym interesie powinien on powołać osobę, która ma rzeczywistą wiedzę z zakresu ochrony danych. Ustawa nie wprowadza wymogu posiadania przez ABI jakichkolwiek certyfikatów, poświadczeń ukończenia odpowiednich szkoleń itp. Poziom odpowiedniej wiedzy powinien być dostosowany do prowadzonych u administratora danych operacji przetwarzania danych oraz wymogów ich ochrony” (źródło: http://www.giodo.gov.pl/ )
Obowiązki ABI
Zgodnie z art. 36a ust. 2 do zadań administratora bezpieczeństwa informacji należy zapewnienie przestrzegania przepisów ustawy o ochronie danych osobowych, w szczególności poprzez:
- sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
- nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną oraz przestrzegania zasad w niej określonych,
- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
- prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.
Sprawozdanie jakie sporządza ABI dla administratora danych osobowych w zakresie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych powinno zawierać następujące informacje:
- oznaczenie administratora danych osobowych i adres jego siedziby lub miejsca zamieszkania,
- imię i nazwisko administratora bezpieczeństwa informacji,
- wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach,
- datę rozpoczęcia i zakończenia sprawdzenia,
- określenie przedmiotu i zakresu sprawdzenia,
- opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
- stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem,
- wyszczególnienie załączników stanowiących składową część sprawozdania,
- podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej – dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania,
- datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.
W przypadku niepowołania ABI, powyższe zadania będzie wykonywać administrator danych osobowych za wyjątkiem obowiązku sporządzania sprawozdania i obowiązku prowadzenia wewnętrznego rejestru zbiorów danych osobowych.
Reasumując
W wyniku nowelizacji ustawy o ochronie danych osobowych administrator danych osobowych będzie musiał zdecydować o powołaniu lub niepowołaniu ABI. Dla wielu administratorów danych osobowych powołanie ABI może okazać się zbawienne zwłaszcza, jeżeli zadania te powierzy się osobie posiadającej odpowiednią wiedzę z zakresu ochrony danych osobowych.
Opracowanie: Katarzyna Zajdel