Administrator bezpieczeństwa informacji / Inspektor ochrony danych

Powołanie i rejestracja ABI

Na mocy obecnie obowiązujących przepisów administrator danych może powołać administratora bezpieczeństwa informacji, tzw. ABI. Administrator danych jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi fakt powołania i odwołania administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania.

Rejestracja ABI w ogólnokrajowym rejestrze prowadzonym przez GIODO i udostępnionym pod adresem: www.egiodo.giodo.gov.pl wymaga postępowania według jasno określonego schematu. Przede wszystkim należy pamiętać, że wyznaczona do pełnienia tej funkcji osoba fizyczna musi dysponować specjalistyczną wiedzą z zakresu ochrony danych osobowych, jak również korzystać z pełni praw publicznych i mieć pełną, nieograniczoną zdolność do czynności prawnych (w szerokim skrócie osoba pełnoletnia i nieubezwłasnowolniona). Jednocześnie ABI nie może być karany za przestępstwo umyślne.

Zadania ABI

Do ustawowych zadań administratora bezpieczeństwa informacji obecnie należą:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych;
  • nadzorowanie opracowania i aktualizowania dokumentacji ochrony danych osobowych oraz przestrzegania zasad w niej określonych;
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
  • prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Ponadto administrator danych może powierzyć ABI wykonywanie innych obowiązków (np. prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych, przygotowywanie zgłoszeń i aktualizacji zbiorów danych osobowych do GIODO, itp.). Powierzenie innych obowiązków może nastąpić pod warunkiem, że nie będą one kolidowały z wykonywaniem zadań ABI określonych w ustawie.

Zmiany…

Od dnia 25 maja 2018 r. funkcja: administrator bezpieczeństwa informacji zmienia nazwę na INSPEKTOR OCHRONY DANYCH (Data Protection Officer, tzw. DPO). Jeżeli koncepcja polskiego ustawodawcy nie ewoluuje, to osoby wykonujące w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji będą pełniły funkcję inspektora ochrony danych do dnia 1 września 2018 r. W tym czasie administrator danych będzie zawiadamiał organ nadzorczy o WYZNACZENIU, a nie jak do tej pory – POWOŁANIU inspektora ochrony danych. Zawiadomienie będzie miało jedynie funkcję informacyjną, gdyż prawdopodobnie organ nadzorczy, którym obecnie jest Generalny Inspektor Ochrony Danych Osobowych (jednak nie należy zbytnio przywiązywać się do tej nazwy, ponieważ może ulec zmianie na Rzecznika Ochrony Danych Osobowych lub Prezesa Urzędu Ochrony Danych) nie będzie prowadził jawnego rejestru ABI/DPO. Zupełną nowością będzie obowiązek wyznaczenia inspektora ochrony danych (DPO) przez absolutnie wszystkie organy i podmioty publiczne oraz wiele podmiotów prywatnych, które obecnie nie muszą powoływać i rejestrować ABI.