Administrator Bezpieczeństwa Informacji

W związku z nowelizacją ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182, z późn. zm.) wprowadzono ważne dla przedsiębiorców zmiany dotyczące m.in. funkcjonowania administratora bezpieczeństwa informacji (ABI). Zgodnie z postanowieniem art. 41 ustawy obowiązują one od dnia 1 stycznia 2015 r. Od tego czasu organizacje przetwarzające dane osobowe mogą zdecydować o tym, czy nadal będą zgłaszać rejestrację zbiorów danych do Generalnego Inspektora Ochrony Danych Osobowych, czy zamiast tego powołają ABI. 

  Administrator bezpieczeństwa informacji - kto to jest?  ABI to osoba fizyczna, która z upoważnienia administratora danych osobowych czuwa nad  przestrzeganiem stosowania środków technicznych i organizacyjnych niezbędnych do ochrony przetwarzanych danych osobowych. Powołanie ABI jest jedynie uprawnieniem administratora danych, więc w przypadku jego niepowołania, jego zadania wykonywać będzie sam administrator danych osobowych (z wyłączeniem obowiązku sporządzania sprawozdania i obowiązku prowadzenia wewnętrznego rejestru zbiorów danych przetwarzanych przez administratora danych). Powołanie administratora bezpieczeństwa informacji sprawdzi się zwłaszcza w dużych organizacjach, prowadzących co najmniej kilka zbiorów danych osobowych, ulegających częstym zmianom. W mniejszych powołanie ABI może okazać się o wiele bardziej kosztowne i mniej opłacalne.   Co należy do zadań ABI? Przestrzeganie przepisów o ochronie danych osobowych administrator bezpieczeństwa informacji  wykonuje w szczególności przez sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń, kategorii danych objętych ochroną oraz przestrzegania zasad w niej określonych, a także poprzez zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Ponadto ABI prowadzi rejestr zbiorów danych przetwarzanych przez administratora danych. Termin na zgłoszenie ABI Gdy administrator danych skorzysta z przysługującego mu uprawnienia i wyznaczy administratora bezpieczeństwa informacji, musi zgłosić ten fakt do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Ma na to 30 dni od dnia powołania ABI. Co ważne, administrator bezpieczeństwa informacji  wyznaczony jeszcze przed dniem 1 stycznia 2015 r. powinien zostać zgłoszony do rejestracji Generalnemu Inspektorowi do dnia 30 czerwca 2015 r. Jeśli termin ten nie zostanie dotrzymany,  po 30 czerwca 2015 r. przestanie on pełnić swoją funkcję, a dotychczasowe zadania ABI zobowiązany będzie wykonywać administrator danych. To on ponosić będzie pełną odpowiedzialność za przestrzeganie przepisów o ochronie danych osobowych.   Ogólnokrajowy rejestr  Wszyscy zgłoszeni do rejestracji GIODO administratorzy bezpieczeństwa informacji wpisani zostają  do ogólnokrajowego i jawnego rejestru. Zgłoszenia powołania oraz zgłoszenia odwołania ABI dokonuje się przy użyciu odpowiednich wzorów zgłoszeń, które stanowią załączniki do rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. (Dz. U. z 2014 r., poz. 1934).    Zgłoszenie ABI a konieczność zgłaszania zbiorów danych wrażliwych W przypadku tzw. zbiorów danych wrażliwych nadal istnieje obowiązek zgłoszenia ich do rejestracji GIODO przed rozpoczęciem przetwarzania. Jeżeli zbiory danych osobowych nie zawierają danych wrażliwych, obowiązek ich zgłaszania nie istnieje, o ile administrator danych powołał ABI i zgłosił go wcześniej do GIODO.   Katalog wyłączeń od obowiązku rejestracji zbiorów danych  Obowiązek zgłaszania zbiorów danych do rejestracji u Generalnego Inspektora Ochrony Danych Osobowych, prowadzonych wyłącznie w postaci papierowej i niezawierających tzw. danych wrażliwych, został zniesiony. Oznacza to, że zbiory prowadzone w formie papierowej, które zawierają tzw. dane wrażliwe, nadal podlegają zgłoszeniu do rejestracji do GIODO przed rozpoczęciem ich przetwarzania. W pozostałym zakresie katalog wyłączeń nie uległ zmianie.
Joanna Suszyńska,  radca prawny kancelariasuszynska.pl