Fajgielski Paweł, Powołanie administratora bezpieczeństwa informacji

Procedury
Status:  Nieaktualna
Wersja od: 25 maja 2018 r. do: 5 lutego 2019 r.
Autor:

Powołanie administratora bezpieczeństwa informacji

Powołanie administratora bezpieczeństwa informacji

Powołanie administratora bezpieczeństwa informacji

Zgodnie z art. 175 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), art. 1, art. 2, art. 3 ust. 1, art. 4-7, art. 14-22, art. 23-28, art. 31 oraz rozdziały 4, 5 i 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723) zachowują moc w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie, w terminie do dnia wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89).

Zgodnie z art. 166 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), z dniem wejścia w życie przedmiotowej ustawy Generalny Inspektor Ochrony Danych Osobowych staje się Prezesem Urzędu Ochrony Danych Osobowych. Osoba, która została powołana na stanowisko Generalnego Inspektora Ochrony Danych Osobowych, na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723), pozostaje na stanowisku do czasu upływu kadencji, na którą została powołana.

Administrator danych powinien zapewnić nadzór nad zgodnością przetwarzania danych osobowych z przepisami prawa. W tym celu może powołać administratora bezpieczeństwa informacji (ABI) bądź wykonywać zadania z zakresu nadzoru bez powoływania ABI, zgodnie z art. 36b u.o.d.o.

Nowelizacja u.o.d.o., która weszła w życie w dniu 1 stycznia 2015 r. uzupełniła regulację u.o.d.o. o bardziej szczegółowe przepisy odnoszące się do powołania, statusu i zadań ABI. Rozstrzygnięto m.in. wątpliwości dotyczące tego, czy powołanie ABI jest uprawnieniem, czy obowiązkiem administratora danych - w obecnym stanie prawnym nie powinno już budzić wątpliwości, że powołanie ABI jest fakultatywne. Nowością w regulacji jest wprowadzenie wymogów, jakie powinna spełniać osoba, która ma zostać powołana na ABI. Także wymogi dotyczące bezpośredniej podległości ABI administratorowi danych oraz konieczność zapewnienia środków i odrębności organizacyjnej, mające gwarantować niezależność ABI stanowią nowe rozwiązania prawne, wprowadzone do u.o.d.o. nowelizacją z dnia 7 listopada 2014 r.

Powołanie ABI pociąga za sobą konieczność zgłoszenia tego faktu Generalnemu Inspektorowi Ochrony Danych Osobowych, natomiast wpis ABI do rejestru prowadzonego przez GIODO uprawnia administratora danych do skorzystania ze zwolnienia rejestracyjnego dotyczącego zbiorów danych (o którym mowa w art. 43 ust. 1a u.o.d.o.). Powołany przez administratora danych ABI powinien sam prowadzić uproszczoną rejestrację zbiorów, zgodnie z przepisem art. 36a ust. 2 pkt 2 u.o.d.o.

Ważną konsekwencją powołania ABI i zgłoszenia go do GIODO jest konieczność przygotowywania przez ABI sprawozdań ze sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych dla administratora danych (art. 36a ust. 2 pkt 1a u.o.d.o.), a także dla Generalnego Inspektora Ochrony Danych Osobowych (art. 19b u.o.d.o.) - jeżeli organ zwróci się do ABI o dokonanie sprawdzenia.

Powołanie administratora bezpieczeństwa informacji administrator danych administrator danych zapewnienie bezpośredniej podległości ABI kierownikowi jednostki zapewnienie odpowiednich środków i odrębności organizacyjnej ABI powołanie ABI zgłoszenie powołania ABI do rejestracji GIODO konieczność zapewnienia nadzoru nad zgodnością przetwarzania danych z przepisami czy zostanie powołany ABI? administrator danych będzie sprawował nadzór bez wyznaczania ABI sprawdzenie, czy osoba spełnia wymogi formalne brak możliwości powołania ABI nie tak nie tak nie tak niespełnione spełnione

Krok: konieczność zapewnienia nadzoru nad zgodnością przetwarzania danych z przepisami

Jednym z obowiązków administratora danych jest zapewnienie nadzoru nad procesami przetwarzania i ochrony danych osobowych. Podstawowym kryterium sprawowania tego nadzoru jest zgodność z przepisami o ochronie danych osobowych. W tym zakresie u.o.d.o. dopuszcza dwie możliwości: powołanie osoby do pełnienia funkcji administratora bezpieczeństwa informacji (art. 36a u.o.d.o.) bądź sprawowanie nadzoru przez administratora danych (art. 36b u.o.d.o.).

Krok: czy zostanie powołany ABI?

W obecnym stanie prawnym przepisy wyraźnie rozstrzygają, iż powołanie ABI jest fakultatywne. Administrator danych powinien dokonać oceny zasadności powołania ABI i podjąć w tym zakresie decyzję.