Skoro mamy już bazę adresów email i jesteśmy administratorem danych osobowych, to naturalnie pojawiają się pytania o ABI – administratora bezpieczeństwa informacji.
Od 1 stycznia 2015 r. obowiązują nowe, rozbudowane przepisy dot. ABI-ego. Ale podstawowe pytanie brzmi – czy każdy administrator danych osobowych musi wyznaczyć taką osobę w swoich szeregach lub zlecić taką funkcję na zewnątrz? Nie. Zgodnie z art. 36a ust. 1 ustawy o ochronie danych osobowych, powołanie ABI jest uprawnieniem, a nie obowiązkiem administratora danych. W przypadku niepowołania ABI, jego zadania wykonuje sam administrator danych, z wyjątkiem obowiązku sporządzania sprawozdania i oczywiście obowiązku prowadzenia wewnętrznego rejestru zbiorów danych przetwarzanych przez administratora danych.
Zakładając już jednak, że administrator chciałby powołać ABI to ma dwie możliwości – wybrać osobę ze swojej załogi lub zlecić taką czynność na zewnątrz wyspecjalizowanej firmie.
Kto może zostać ABI?
Niezależnie od wybranej drogi funkcję ABI może pełnić osoba, która:
- ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
- posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
- nie była karana za umyślne przestępstwo.
Spokojnie – nie ma żadnego testu czy egzaminu na ABI (przynajmniej państwowego, wymaganego przez przepisy). To tak naprawdę administrator ma zweryfikować czy konkretna osoba ma wiedzę w zakresie ochrony danych osobowych.
W przypadku outsourcingu pozostaje kwestia zawarcia odpowiedniej umowy – najczęściej zlecenia.
Co robi ABI?
Głównym zadaniem ABI jest zapewnienie przestrzegania przepisów o ochronie danych osobowych w szczególności przez:
- sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
- nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych,
- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
Dodatkowym zadaniem ABI jest prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, zawierającego nazwę zbioru oraz informacje wskazane w ustawie o ochronie danych osobowych.
Co na to GIODO?
W przypadku powołania ABI-ego (niezależnie od drogi), administrator ma 30 dni na zgłoszenie tego faktu do GIODO.
Jeżeli w Twojej firmie ABI był wyznaczony przed dniem 1 stycznia 2015 r. to powinien on zostać zgłoszony do GIODO do dnia 30 czerwca 2015 r. Jeżeli to zgłoszenie nie zostało dokonane to aktualnie ABI-ego trzeba formalnie na nowo powołać. A jak powołać? Tego przepisy nie precyzują. W spółkach najczęściej odbywa się to uchwałą zarządu.
ABI zgłoszeni do rejestracji GIODO będą wpisywani do ogólnokrajowego, jawnego rejestru. Aktualnie w rejestrze jest wpisanych ponad 14000 ABI-ch. Administrator danych, który zgłosi ABI do rejestracji zobowiązany jest zgłaszać GIODO każdą zmianę informacji objętych zgłoszeniem powołania ABI w terminie 14 dni, a także jego odwołanie w terminie 30 dni, odpowiednio od dnia dokonania zmiany lub odwołania.
To be or not to be ABI?
Na koniec – skoro nie ma przymusu to może są jakieś biznesowe argumenty za i przeciwko powoływaniu ABI-ch? Nie ma jednej uniwersalnej odpowiedzi bo różni się sami administratorzy od administracji publicznej przez grupy kapitałowe z sektora przemysłowego po portale społecznościowe i randkowe. Z jednej strony może się to wydawać zbędnym kosztem, ale w innym prawdziwym wsparciem w bieżących problemach biznesowych w obszarze danych osobowych.
Jakie macie odczucia w związku administracją informacji, czy korzystacie z ABI?Jakie są Wasze argumenty za albo przeciw? Opiszcie swoje doświadczenia poniżej!
