Fajgielski Paweł, Wykreślenie administratora bezpieczeństwa informacji z rejestru ABI przez GIODO z urzędu i ponowne zgłoszenie ABI do GIODO

Wykreślenie administratora bezpieczeństwa informacji z rejestru ABI przez GIODO z urzędu i ponowne zgłoszenie ABI do GIODO

Zgodnie z art. 175 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), art. 1, art. 2, art. 3 ust. 1, art. 4-7, art. 14-22, art. 23-28, art. 31 oraz rozdziały 4, 5 i 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723) zachowują moc w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie, w terminie do dnia wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89).

Zgodnie z art. 166 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), z dniem wejścia w życie przedmiotowej ustawy Generalny Inspektor Ochrony Danych Osobowych staje się Prezesem Urzędu Ochrony Danych Osobowych. Osoba, która została powołana na stanowisko Generalnego Inspektora Ochrony Danych Osobowych, na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723), pozostaje na stanowisku do czasu upływu kadencji, na którą została powołana.

Przepis art. 46d u.o.d.o. reguluje kwestie wykreślenia administratora bezpieczeństwa informacji z rejestru administratorów bezpieczeństwa informacji, prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych. Wskazany powyżej przepis przewiduje 2 tryby wykreślenia:

1) na wniosek administratora danych (po powiadomieniu o jego odwołaniu lub śmierci) oraz

2) z urzędu, gdy GIODO stwierdzi zaistnienie jednej z przesłanek uzasadniających wykreślenie.

W pierwszym z wskazanych trybów wykreślenie dokonywane jest stosownie do zgłoszenia i przybiera formę czynności materialno-technicznej, natomiast w drugim trybie organ wydaje decyzję administracyjną o wykreśleniu.

Konsekwencją wykreślenia ABI z rejestru jest to, że administrator danych nie może powoływać się na zwolnienie z rejestracji zbiorów danych (o którym mowa w art. 43 ust. 1a u.o.d.o.) i powinien zgłosić tego rodzaju zbiory do rejestracji bądź dokonać aktualizacji wcześniej zgłoszonych zbiorów.

Jeżeli jednak administrator danych chciałby nadal korzystać ze zwolnienia rejestracyjnego związanego z ABI, to powinien powołać nowego ABI spełniającego wymogi ustawowe i ponownie zgłosić jego powołanie do GIODO.

O wpisie bądź odmowie wpisu na skutek ponownego zgłoszenia organ nadzoru rozstrzyga w formie decyzji administracyjnej.

Wymogi odnoszące się do ABI określone zostały w art. 36a ust. 5 i 7 u.o.d.o. Zgodnie z przepisem art. 36a ust. 5 u.o.d.o. osoba, która ma pełnić funkcję ABI powinna: 1) mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych; 2) posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych; oraz 3) nie być karana za umyślne przestępstwo. Innego rodzaju wymogi określone zostały w art. 36a ust. 7 u.o.d.o. Przepis ten zawiera wymóg podległości ABI bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Brak spełnienia któregokolwiek z wskazanych powyżej wymogów powinien skutkować odwołaniem osoby z funkcji ABI.

Jeżeli osoba powołana na ABI przestała spełniać wymogi, powinna zostać odwołana przez administratora danych. W przypadku, gdy administrator danych nie odwołał takiej osoby, a GIODO stwierdził brak spełnienia wymogów (np. w trakcie kontroli), wówczas organ nadzorczy powinien wydać decyzję o wykreśleniu ABI z rejestru administratorów bezpieczeństwa informacji.

Brak podstawy do wydania decyzji o wykreśleniu ABI z rejestru w przypadku, gdy GIODO stwierdzi, że administrator danych nie zapewnił ABI środków i organizacyjnej odrębności niezbędnych do niezależnego wykonywania przez niego zadań. W tej sytuacji GIODO może jednak wydać decyzję nakazującą przywrócenie stanu zgodnego z prawem poprzez usunięcie uchybień.

Zadania administratora bezpieczeństwa informacji określa art. 36a ust. 2 u.o.d.o. ABI powinien zapewniać przestrzeganie przepisów o ochronie danych osobowych m.in. poprzez: sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych; nadzorowanie opracowania i aktualizowania dokumentacji przetwarzania danych (polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych) oraz przestrzegania zasad w niej określonych; zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, a także prowadzenie rejestru zbiorów danych.

Jeżeli GIODO stwierdzi, że ABI nie wykonuje wskazanych powyżej zadań, powinien wydać decyzję o wykreśleniu ABI z rejestru administratorów bezpieczeństwa informacji.