Sprawa dotyczy nowelizacji ustawy o danych osobowych, która weszła w życie 1 stycznia 2015 roku. Choć w dalszym ciągu powołanie administratora bezpieczeństwa informacji (ABI) nie jest obowiązkiem, to warto jednak rozważyć zalety powołania takiej osoby w firmie. W założeniu znowelizowanych przepisów ma ona jeśli nie wyręczyć administratora danych, to poważnie ułatwić mu życie związane z obowiązkami w zakresie ochrony danych osobowych.
ABI wykona audyt przetwarzania danych w firmie
Pierwszym ustawowym zadaniem powołanego ABI będzie przygotowanie dla administratora danych sprawozdania w zakresie zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych. Administrator danych powinien dzięki temu uzyskać kompleksowe i co najważniejsze profesjonalne zestawienie, czy sposób przetwarzania danych jest zgodny z prawem i co ewentualnie należy zmienić/poprawić. ABI może np. prześwietlić poprawność zawieranych umów o powierzenie przetwarzania danych.
Polityka bezpieczeństwa i Instrukcja także na głowie ABI
ABI będzie miał również obowiązek nadzorowania opracowania i aktualizacji dokumentacji opisującej sposób przetwarzania danych tj. Polityki bezpieczeństwa i Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Przypomnijmy, że obowiązek posiadania dokumentacji wynika wprost z ustawy i dotyczy wszystkich administratorów danych.
ABI wyjaśni sposób przetwarzania danych
Kolejnym obowiązkiem ABI będzie zapoznanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Przy okazji nasuwa się pytanie, czy administrator danych prowadzi ewidencję takich osób (co również jest wymagane przez ustawę)? Jeśli nie, to ABI zapewne też pomoże w przygotowaniu i prowadzeniu takiej ewidencji.
ABI będzie prowadził rejestr zbioru danych
Najgłośniejszą chyba zmianą w nowelizowanej ustawie jest ukłon ustawodawcy w kierunku administratorów, którzy zdecydowali się na ustanowienie ABI. W takiej sytuacji to ABI prowadził będzie rejestr zbioru danych przetwarzanych przez administratora danych.
Przypomnijmy, że co do zasady istnieje obowiązek zgłoszenia zbioru danych Generalnemu Inspektorowi Ochrony Danych Osobowych. Dotyczy to również danych telekomunikacyjnych przetwarzanych zarówno z bezpośredniego upoważnienia ustawowego (gdzie zgoda abonenta nie jest konieczna), jak i danych uzyskanych za zgodą abonenta i pozostających w związku ze świadczoną usługą.
Wszystko to i jeszcze więcej!
Przepisy ustawy o ochronie danych osobowych stanowią, że administrator danych może powierzyć ABI wykonywanie także innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań ustawowych. Widzimy zatem, że osobie ABI można powierzyć także inne obowiązki, które poniekąd mogą wiązać się z tematyką danych osobowych i bezpieczeństwa informacji. Listę takich obowiązków dostarcza choćby ustawa Prawo telekomunikacyjne. Są tam przewidziane wymogi dotyczące udostępniania danych np. Policji czy prokuratorowi. ABI może weryfikować takie wnioski o udostępnienie danych w zakresie zgodności z przepisami PT, ustawy o Policji czy Kodeksu postępowania karnego.
Strzeżonego…
Choć ustanowienie ABI nie będzie zwalniało administratora danych z odpowiedzialności w zakresie naruszenia zasad przetwarzania danych, to otwarcie należy przyznać, że wyznaczenie ABI jest niewątpliwie zaletą i pozwala spokojniej spać administratorowi danych wiedząc, że nad przestrzeganiem zasad przetwarzania danych czuwa w jego przedsiębiorstwie kompetentna osoba.
Autorem gościnnego wpisu na naszym blogu jest Jarosław Straś- aplikant radcowski z kancelarii itB Legal. Specjalista z zakresu prawa autorskiego, prawa własności przemysłowej, ochrony danych osobowych oraz prawa handlowego.
