Administrator Bezpieczeństwa Informacji

Ustawa z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, wchodząca w życie z dniem 1 stycznia 2015 r., istotnie zmieniła pozycję prawną ABI. Poniżej zaprezentowano kluczowe regulacje dotyczące ABI. Odpowiedzi na pytania opracowano według stanu prawnego na dzień 15 lipca 2015 r. Nie jest na bieżąco aktualizowane.

Kto i kiedy powołuje ABI?

I. Powołanie Administratora Bezpieczeństwa Informacji (ABI). Administrator danych może powołać ABI. „Może” powołać, ale niekoniecznie „musi”. Istotną czynnością jest zgłoszenie ABI do rejestru, o czym w dalszej części.

Podstawa prawna: art. 36a ust. 1 ustawy o ochronie danych osobowych (1997 r.)

ABI wyznaczony na podstawie art. 36 ust. 3 ustawy o ochronie danych osobowych w starym brzmieniu (przed nowelizacją, czyli przed 1 stycznia 2015 r.), pełni funkcję ABI w rozumieniu art. 36a ust. 1 ustawy o ochronie danych osobowych w nowym brzmieniu (po nowelizacji), do czasu zgłoszenia go do rejestru ABI prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO), nie dłużej jednak niż do dnia 30 czerwca 2015 r.

Podstawa prawna: art. 35 i 36 ustawy o ułatwieniu wykonywania działalności gospodarczej (2014 r.) zmieniającej m.in. ustawę o ochronie danych osobowych (1997 r.)

II. Wymagania osoby powoływanej na ABI. Niezbędne cechy ABI to:

  • pełna zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
  • posiadanie odpowiedniej wiedzy w zakresie ochrony danych osobowych,
  • niekaralność za umyślne przestępstwo.

Podstawa prawna: art. 36a ust. 5 ustawy o ochronie danych osobowych (1997 r.)

III. Zastępcy ABI. Administrator danych może powołać zastępców ABI, którzy muszą spełniać takie same wymagania jak przy powołaniu na ABI.

Podstawa prawna: art. 36a ust. 6 ustawy o ochronie danych osobowych (1997 r.)

Jak zgłosić ABI do rejestru GIODO?

I. Rejestr ABI. GIODO prowadzi rejestr ABI, a także udziela informacji o zarejestrowanych ABI.

Podstawa prawna: art. 12 pkt 4 ustawy o ochronie danych osobowych (1997 r.)

Zobacz statystykę wpisów do rejestru ABI na dzień 19.7.2015 na BLOGu :: Dr Łukasz Goździaszek

Zgłoszenie ABI do rejestru. Administrator danych jest obowiązany zgłosić do rejestracji GIODO powołanie i odwołanie ABI w terminie 30 dni.

Zgłoszenie powołania ABI powinno zawierać:

  1. oznaczenie administratora danych i jego danych adresowych, w  tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej,
  2. dane personalne i adresowe  ABI,
  3. datę powołania,
  4. oświadczenie administratora danych o spełnianiu przez ABI warunków powołania na to stanowisko,

Na żądanie administratora danych lub ABI, GIODO wydaje zaświadczenie o zarejestrowaniu ABI. Administrator danych jest obowiązany zgłosić zmiany w ciągu 14 dni.

Podstawa prawna: art. 46b-46f ustawy o ochronie danych osobowych (1997 r.)

Jakie uprawnienia i obowiązki ma ABI?

I. Obowiązki ABI. Do zadań ABI należy:

  1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
    • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
    • nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 ustawy o ochronie danych osobowych, oraz przestrzegania zasad w niej określonych,
    • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
  2. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 ustawy o ochronie danych osobowych, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7 ustawy o ochronie danych osobowych.

Podstawa prawna: art. 36a ust. 2-3 ustawy o ochronie danych osobowych (1997 r.)

II. Inne obowiązki. Administrator danych może powierzyć ABI wykonywanie innych obowiązków.

Podstawa prawna: art. 36a ust. 4 ustawy o ochronie danych osobowych (1997 r.)

III. Uproszczona kontrola GIODO. GIODO może zwrócić się do ABI o dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a ustawy o ochronie danych osobowych, u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia.  Po dokonaniu tego sprawdzenia ABI, za pośrednictwem administratora danych, przedstawia GIODO sprawozdanie. Dokonanie przez ABI takiego sprawdzenia, nie wyłącza prawa GIODO do przeprowadzenia kontroli.

Podstawa prawna: art. 19b ustawy o ochronie danych osobowych (1997 r.)

Jaki jest sens powoływania ABI?

Powołanie ABI istotnie ogranicza obowiązek zgłaszania do rejestru GIODU zbiorów danych osobowych. Z zasady administrator danych jest obowiązany zgłosić zbiór danych do rejestracji GIODO. Jednak – tutaj wyjątek – obowiązkowi rejestracji zbiorów danych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych, nie podlega administrator danych, który powołał ABI i zgłosił go GIODO do rejestracji, z zastrzeżeniem art. 46e ust. 2 ustawy o ochronie danych osobowych.

Podstawa prawna: art. 40 i art. 43 ust. 1a ustawy o ochronie danych osobowych (1997 r.)