Ochrona danych osobowych w firmie i szkolenia ABI
Nowy charakter obowiązków Administratora Bezpieczeństwa Informacji

Nowy charakter obowiązków Administratora Bezpieczeństwa Informacji

team

Jak już zaznaczyliśmy w treści wcześniejszego wpisu z dniem 01 stycznia 2015 r. zaczną obowiązywać przepisy ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (tzw. IV ustawa deregulacyjna). Poprzez wejścia w życie tych przepisów ulegną zmianie przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO). Na skutek wprowadzonych zmian Administratorzy zyskają nowe uprawnienia, na gruncie rejestracji posiadanych przez siebie zbiorów danych osobowych, a obowiązkowi rejestracji zbiorów danych osobowych (z wyjątkiem zbiorów zawierających tzw. dane szczególnie chronione, o których mowa w art. 27 ust. 1) nie będzie podlegać administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji.

Co to oznacza?

Administratorzy danych osobowych nie będą już zobowiązani do rejestracji posiadanych przez siebie zbiorów danych osobowych w sytuacji gdy nie zawierają one tzw. danych wrażliwych, szczególnie chronionych oraz gdy powołają Administratora Bezpieczeństwa Informacji spełniającego odpowiednie wymagania ustawowe oraz zgłoszą go Generalnemu Inspektorowi Danych Osobowych do rejestracji.

Na skutek nowelizacji UODO, Administratorzy danych mają możliwość przeniesienia ciężaru nadzoru przestrzegania zasad wynikających wprost z ustawy i rozporządzeń wykonawczych do ustawy bezpośrednio na Administratora bezpieczeństwa informacji. Do zadań takiego Administratora bezpieczeństwa informacji będzie należało :

  1. Zapewnianie przestrzegania przepisów o ochronie danych osobowych,
  2. Zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  3. Nadzorowanie opracowania i aktualizowania wymaganej dokumentacji (Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemem informatycznym wraz z załącznikami) oraz przestrzegania zasad w niej określonych,
  4. Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
  5. Prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów zwolnionych z obowiązku rejestracji, zawierającego niezbędne informacje wskazane w ustawie.

W przypadku niepowołania Administratora bezpieczeństwa informacji zadania określone powyżej z wyłączeniem obowiązku sporządzania sprawozdania, wykonywać będzie administrator danych. Z tym, że w przypadku gdy struktura organizacyjna Administratora danych jest rozbudowana to powołanie Administratora bezpieczeństwa informacji wydaje się być rekomendowane, a nawet niezbędne.

Należy pamiętać, że zgodnie ze zmianami w prawie, powołany Administrator bezpieczeństwa informacji musi spełniać odpowiednie kwalifikacje dające jednocześnie gwarancję właściwego wykonywania powierzonych mu obowiązków. Zgodnie z dodanym art. 36a ust. 5 UODO Administratorem bezpieczeństwa informacji może być osoba, która:

  1. Ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
  2. Posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
  3. Nie była karana za umyślne przestępstwo.

W ocenie ustawodawcy takie rozwiązanie zapewni niezależność w wykonywaniu zadań z zakresu ochrony danych osobowych oraz przestrzeganie obowiązku stosowania w jednostce organizacyjnej przepisów o ochronie danych osobowych, w szczególności poprzez przyznanie kompetencji do kontroli wewnętrznej w zakresie ich przestrzeganie, a także zapewni prowadzenie wewnętrznego rejestru zbiorów danych. Pozwoli to w efekcie na wprowadzenie uproszczonego przeprowadzania kontroli przestrzegania przepisów o ochronie danych osobowych, która będzie wykonywana na wniosek Generalnego Inspektora przez niezależnego Administratora bezpieczeństwa informacji, zastępując w tym zakresie bezpośrednią kontrolę Generalnego Inspektora. Po przeprowadzonej kontroli ABI będzie sporządzał sprawozdanie zawierające informacje określone w ustawie, które następnie przedstawi Generalnemu Inspektorowi.

Na marginesie należy dodać, że Administrator bezpieczeństwa informacji może wykonywać inne nałożone na niego zadania, które nie naruszają jego obowiązków dotyczących ochrony danych osobowych. Projektowana zmiana celowo unika regulowania kwestii zmierzającej w kierunku tworzenia nowej grupy zawodowej.

 

Marcin Kaleta

Prezes Zarządu