To be or not ABI?
ostatnia aktualizacja 0

To be or not ABI?

Skoro mamy już bazę adresów email i jesteśmy administratorem danych osobowych, to naturalnie pojawiają się pytania o ABI – administratora bezpieczeństwa informacji.

Od 1 stycznia 2015 r. obowiązują nowe, rozbudowane przepisy dot. ABI-ego. Ale podstawowe pytanie brzmi – czy każdy administrator danych osobowych musi wyznaczyć taką osobę w swoich szeregach lub zlecić taką funkcję na zewnątrz? Nie. Zgodnie z art. 36a ust. 1 ustawy o ochronie danych osobowych, powołanie ABI jest uprawnieniem, a nie obowiązkiem administratora danych. W przypadku niepowołania ABI, jego zadania wykonuje sam administrator danych, z wyjątkiem obowiązku sporządzania sprawozdania i oczywiście obowiązku prowadzenia wewnętrznego rejestru zbiorów danych przetwarzanych przez administratora danych.

Zakładając już jednak, że administrator chciałby powołać ABI to ma dwie możliwości – wybrać osobę ze swojej załogi lub zlecić taką czynność na zewnątrz wyspecjalizowanej firmie.

Kto może zostać ABI?

Niezależnie od wybranej drogi funkcję ABI może pełnić osoba, która:

  • ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
  • posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
  • nie była karana za umyślne przestępstwo.

Spokojnie – nie ma żadnego testu czy egzaminu na ABI (przynajmniej państwowego, wymaganego przez przepisy). To tak naprawdę administrator ma zweryfikować czy konkretna osoba ma wiedzę w zakresie ochrony danych osobowych.

W przypadku outsourcingu pozostaje kwestia zawarcia odpowiedniej umowy – najczęściej zlecenia.

Co robi ABI?

Głównym zadaniem ABI jest zapewnienie przestrzegania przepisów o ochronie danych osobowych w szczególności przez:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  • nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych,
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Dodatkowym zadaniem ABI jest prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, zawierającego nazwę zbioru oraz informacje wskazane w ustawie o ochronie danych osobowych.

photo-1443479579455-1860f114bf77

Co na to GIODO?

W przypadku powołania ABI-ego (niezależnie od drogi), administrator ma 30 dni na zgłoszenie tego faktu do GIODO.

Jeżeli w Twojej firmie ABI był wyznaczony przed dniem 1 stycznia 2015 r. to powinien on zostać zgłoszony do GIODO do dnia 30 czerwca 2015 r. Jeżeli to zgłoszenie nie zostało dokonane to aktualnie ABI-ego trzeba formalnie na nowo powołać. A jak powołać? Tego przepisy nie precyzują. W spółkach najczęściej odbywa się to uchwałą zarządu.

ABI zgłoszeni do rejestracji GIODO będą wpisywani do ogólnokrajowego, jawnego rejestru. Aktualnie w rejestrze jest wpisanych ponad 14000 ABI-ch.  Administrator danych, który zgłosi ABI do rejestracji zobowiązany jest zgłaszać GIODO każdą zmianę informacji objętych zgłoszeniem powołania ABI w terminie 14 dni, a także jego odwołanie w terminie 30 dni, odpowiednio od dnia dokonania zmiany lub odwołania.

To be or not to be ABI?

Na koniec – skoro nie ma przymusu to może są jakieś biznesowe argumenty za i przeciwko powoływaniu ABI-ch? Nie ma jednej uniwersalnej odpowiedzi bo różni się sami administratorzy od administracji publicznej przez grupy kapitałowe z sektora przemysłowego po portale społecznościowe i randkowe. Z jednej strony może się to wydawać zbędnym kosztem, ale w innym prawdziwym wsparciem w bieżących problemach biznesowych w obszarze danych osobowych.

Jakie macie odczucia w związku administracją informacji, czy korzystacie z ABI?Jakie są Wasze argumenty za albo przeciw? Opiszcie swoje doświadczenia poniżej!

Subskrybuj, aby otrzymywać top artykuły, wskazówki i porady marketingowe.

GetResponse Sp. z o.o. potrzebuje danych zawartych w tym formularzu w celu dostarczenia Ci materiałów, o które wnioskujesz. Więcej informacji znajdziesz w Polityce Prywatności.

Dziękujemy za rejestrację!

Niedługo wyślemy Ci wiadomość email z potwierdzeniem zapisu.