- 1 stycznia 2015 r. weszła w życie nowelizacja przepisów ustawy o ochronie danych osobowych. Ustawa rozszerza zakres sytuacji, w których administrator danych osobowych (dalej: ADO) jest zwolniony z obowiązku rejestracji zbioru danych do GIODO. Będzie tak, gdy ADO przetwarza tzw. zwykłe dane w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych bądź powołał administratora bezpieczeństwa informacji (dalej: ABI) i zgłosił go GIODO do rejestracji (nie dotyczy to sytuacji przetwarzania tzw. danych wrażliwych).
- Jeżeli administrator danych osobowych (ADO) nie zdecyduje się na wyznaczenie administratora bezpieczeństwa informacji (ABI), wówczas sam będzie wypełniał jego zadania, co w konsekwencji będzie wiązało się w określonych sytuacjach również z koniecznością zgłoszenia zbioru danych do GIODO. Warto w tym momencie zwrócić jednak uwagę na wyrok z dnia 21 lutego 2014 r. (sygn. akt: I OSK 2445/12), w którym Naczelny Sąd Administracyjny orzekł, iż pomimo, że ustawa nie reguluje tego wprost, to należy przyjąć, iż ABI powinien być osobą fizyczną, a zatem ADO może przejąć jego obowiązki tylko wtedy, gdy jest osobą fizyczną. Ten pogląd wyklucza więc możliwość wykonywania obowiązków ABI przez ADO nie będącymi osobami fizycznymi. W konsekwencji ADO nie będący osobą fizyczną musi powołać ABI.
- GIODO oprócz prowadzenia dotychczasowego zbioru danych osobowych został również zobligowany do prowadzenia rejestru administratorów bezpieczeństwa informacji (obydwa zbiory są jawne i dostępne pod domeną: egiodo.giodo.gov.pl).
- Nowelizacja wyraźnie artykułuje również obowiązki ABI, zobowiązując go m. in. do prowadzenia jawnego rejestru zbioru danych przetwarzanych przez ADO bądź sporządzania dla ADO sprawozdania o elementach określonych w przepisach. ADO może powierzyć ABI wykonywanie innych obowiązków, ale musi pamiętać, aby nie naruszyło to prawidłowego wykonywania zadań nałożonych na ABI ustawą. To na ADO ciąży obowiązek zapewnienia takich środków i takiej organizacyjnej odrębności ABI, aby ten mógł działać niezależnie. Powołany ABI może podlegać bezpośrednio wyłącznie kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej ADO.
- Kto może być ABI?
- Wyłącznie osoba fizyczna, która:
- ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
- posiada odpowiednią wiedzę w zakresie ochrony danych osobowych (zakres posiadanej wiedzy weryfikuje samodzielnie ADO);
- nie była karana za umyślne przestępstwo.
- Ustawodawca zrezygnował natomiast z obowiązku posiadania przez ABI wykształcenia wyższego.Pamiętajmy również, iż ABI wyznaczony przez ADO na podstawie dotychczasowych regulacji pełni swoją funkcję do czasu zgłoszenia go do rejestru ABI, nie dłużej jednak niż do dnia 30 czerwca 2015 r.
- Oczywiście nadal aktualne pozostają obowiązki ADO w zakresie posiadania odpowiedniej dokumentacji, w tym polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym. Ważne, aby ta dokumentacja była zgodna z prawdą i dostosowana do sytuacji panującej w naszej firmie. Przypominamy również, iż oprócz kontroli GIODO w zakresie zgodności przetwarzania danych, możliwa jest również kontrola z ramienia Państwowej Inspekcji Pracy. Na mocy zawartego pomiędzy tymi podmiotami porozumienia, Inspekcja Pracy może w trakcie swojej kontroli zawiadomić GIODO o dostrzeżonych nieprawidłowościach.
W przypadku pytań bądź wątpliwości zapraszamy do kontaktu z mec. Agnieszką Książkiewicz (agnieszka.ksiazkiewicz@krotoski-adwokaci.pl)
