Rejestracja zbiorów danych osobowych czy wyznaczenie ABI? Którą opcję wybrać?

Rejestracja zbiorów danych osobowych czy wyznaczenie ABI Którą opcję wybrać2

Już od dłuższego czasu przedsiębiorcy stoją przed dylematem w sprawie regulacji dotyczących ochrony danych osobowych. Jednym z tematów spędzających sen z powiek jest kwestia powołania Administratora Bezpieczeństwa Informacji lub pełnienia jego funkcji przez Administratora Danych Osobowych. Z nagłówka artykułu można wywnioskować jedną bardzo istotną rzecz, a mianowicie to, że powołanie ABI nie jest obowiązkiem, a uprawnieniem. Wybór opcji zależy od ADO. Tylko, która jest lepsza?

W rzeczywistości wpływ na decyzję ma szereg elementów, tj.: charakter działalności, wielkość firmy, ilość przetwarzanych zbiorów danych osobowych, możliwości finansowe itp. 

 

Zacznijmy od tego, kim tak naprawdę jest ABI.

Administrator Bezpieczeństwa Informacji to osoba wyznaczona przez Administratora Danych Osobowych, której głównym zadaniem jest zapewnienie przestrzegania przepisów o ochronie danych osobowych. (art. 36a ust. 2 pkt 2 u.o.d.o.)

Realizuje to poprzez:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla Administratora Danych,
  • nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną oraz przestrzegania zasad w niej określonych. 
    Przetwarzasz dane osobowe? Te dokumenty to konieczność.
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Kto może zostać powołany do pełnienia funkcji ABI?

Podstawowymi warunkami jakie powinien spełniać kandydat na stanowisko ABI, są wymagania narzucone przez ustawodawcę 
(art. 36a ust. 5):

  • musi mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych,
  • powinien posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych,
  • nie może być karany za umyślne przestępstwo.

O tym czy dana osoba posiada wspomnianą wiedzę w zakresie ochrony danych osobowych decyduje ADO. W u.o.d.o. nie ma wytycznych co do tej kwestii.

Istnieje dowolność w wyborze ABI. Może nim zostać zatrudniony już pracownik bez względu na wymiar etatu, ale może to być też osoba zupełnie z zewnątrz. Często zdarza się tak, że Administratorem Bezpieczeństwa Informacji zostaje zatrudniony w organizacji Administrator Systemu Informatycznego. Jeśli jednak ASI nie posiada wystarczającej wiedzy w zakresie prawnych aspektów ochrony danych osobowych, wówczas innym rozwiązaniem może być wyznaczenie prawnika do pełnienia funkcji ABI, który będzie współpracował z Administratorem Systemu Informatycznego. W tym przypadku wiedza wyczerpuje się na dwóch płaszczyznach: prawnej i technicznej.

Gdy wyznaczymy ABI.

Pierwszym etapem jest zgłoszenie powołania ABI Generalnemu Inspektorowi Danych Osobowych. Należy to  zrobić za pomocą specjalnego wzoru zgłoszeń, który stanowi załącznik do rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. (Dz. U. z 2014 r., poz. 1934)

ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej Administratorem Danych.

powołanie ABIADO jest zobowiązany zapewnić ABI środki i jego organizacyjną odrębność, które są niezbędne do niezależnego wykonywania wyznaczonych dla niego zadań.

ABI zobowiązany jest do prowadzenia jawnego rejestru zbiorów danych, które są przetwarzane przez ADO. Rejestr ten powinien zawierać szczegółowe informacje odnośnie administratora danych, celu przetwarzania danych, kategorii osób, których te dane dotyczą, zakresu przetwarzania danych, sposobie zbierania i udostępniania danych oraz ewentualnego przekazywania danych do państwa trzeciego (art. 41 ust. 1 pkt 2–4a i 7 u.o.d.o.).

Jeżeli ADO przetwarza dane wrażliwe, ABI taki zbiór powinien zgłosić do GIODO jeszcze przed rozpoczęciem przetwarzania. Jeżeli zbiory nie zawierają tego typu danych, nie ma obowiązku ich rejestracji.

ABI pełni rolę pewnego rodzaju pośrednika między ADO, a Generalnym Inspektorem Ochrony Danych Osobowych. Jego obowiązkiem jest raportowanie do GIODO wszelkich błędów i uchybień, które mają miejsce u danego ADO. GIODO z kolei ma prawo zgłosić się do ABI w celu zlecenia przeprowadzenia kontroli zastępczej, ustalając termin i zakres takiej kontroli.

REJESTR ADMINISTRATORÓW BEZPIECZEŃSTWA INFORMACJI

... a co jeśli nie powołamy ABI?

W tym przypadku obowiązki ABI spoczywają na Administratorze Danych z wyjątkiem prowadzenia jawnego rejestru zbiorów danych osobowych, sporządzania sprawozdań do GIODO, a także przeprowadzania w jego imieniu kontroli.

Zbiory przetwarzanych danych osobowych ADO musi zgłosić bezpośrednio u GIODO. Istnieją jednak pewne wyjątki. Nie ma konieczności rejestracji zbiorów danych osobowych:

  • przetwarzanych wyłącznie w celu wystawienia FV, rachunku lub prowadzenia sprawozdawczości finansowej,
  • powszechnie dostępnych,
  • przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane wrażliwe, mowa tu o danych zwykłych przetwarzanych w formie papierowej. (art. 43, ust. 1 pkt. 1-12 u.o.d.o.)

Przykłady zbiorów danych osobowych, które należy zgłosić do GIODO: korespondencja przychodząca/wychodząca, newsletter, baza kontrahentów, rejestr umów, bazy konkursowe, księgi gości, rejestry reklamacji, monitoring, ...

Jak wygląda procedura rejestracji zbiorów danych osobowych?

Zbiór danych osobowych należy zgłosić na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji GIODO (Dz. U. z 2008 r. nr 229, poz. 1536).

Zgłoszenie można przesłać pocztą, drogą elektroniczną lub złożyć osobiście w Biurze GIODO.

Należy pamiętać, że nie musimy GIODO przekazywać treści danych, czyli np.: stosu tabel z danymi o kontrahentach, a jedynie ich zakres i charakter.

Na żądanie ADO, GIODO może wydać zaświadczenie o zarejestrowaniu zbioru. Natomiast gdy w grę wchodzą dane wrażliwe, takie zaświadczenie jest wydawane niezwłocznie po dokonaniu rejestracji.

Jeśli w zgłoszonych zbiorach danych osobowych zaszły jakieś zmiany, jesteśmy zobowiązani poinformować o nich GIODO w terminie 30 dni od dokonania tych zmian. 

REJESTR ZBIORÓW DANYCH OSOBOWYCH

Podsumowanie

ABI ADO

Decyzja o powołaniu ABI to temat trudny. Powinna zostać przemyślana i poprzedzona realną oceną możliwości danej organizacji. Przecież będąc niewielką firmą przetwarzającą jeden lub dwa zbiory danych osobowych zwykłych, nie będziemy tworzyć dodatkowego stanowiska. Koszty wówczas mogłyby być nieadekwatne do korzyści wynikających z powołania ABI.

Inaczej jest w przypadku większych firm, gdzie przetwarzanych jest kilka zbiorów danych osobowych, w których dość często zachodzą zmiany. ADO może nie być w stanie realizować zadań wynikających z ustawy o ochronie danych osobowych, ze względu na swoje inne obowiązki. W tym przypadku powołanie ABI jest jak najbardziej uzasadnione.


trochę statystyki

 Źródło: opracowanie własne na podstawie http://www.giodo.gov.pl/541/j/pl/

Newsletter