By prawidłowo zarządzać systemem bezpieczeństwa i wprowadzić właściwe procedury wewnątrz naszego przedsiębiorstwa, powinniśmy właściwie rozdzielić kompetencje między osoby odpowiedzialne za przetwarzanie danych osobowych.
Najpierw należy zrozumieć definicje podmiotów odpowiedzialnych za zgodne z prawem przetwarzanie danych osobowych, jakie wprowadza Ustawa o ochronie danych osobowych z 29 sierpnia 1997 roku.
Kim jest ADO?
ADO czyli Administrator Danych Osobowych to organ, jednostka organizacyjna, podmiot lub osoba odpowiedzialna za zgodne z prawem przetwarzanie danych osobowych.
Status ADO może przysługiwać zarówno podmiotom publicznym (organy państwowe, samorządu terytorialnego oraz państwowe i samorządowe jednostki organizacyjne), jak i prywatnym (spółki jawne, partnerskie, komandytowe, komandytowo-akcyjne, z ograniczoną odpowiedzialnością, akcyjne, osoby fizyczne prowadzące działalność gospodarczą lub osoby, które nie prowadzą działalności gospodarczej).
ADO nie będzie więc organ wyżej wymienionego podmiotu, czyli np.: zarząd i jego członkowie, rada nadzorcza i jej członkowie, dyrektorzy departamentów, wspólnicy, partnerzy, komplementariusze itd.
Najprościej rzecz ujmując, Administratorem Danych Osobowych wykorzystywanych w zakresie działalności prowadzonej przez przedsiębiorcę będzie przedsiębiorca, nie zaś jak się często mylnie przyjmuje osoba odpowiedzialna za przetwarzanie danych osobowych (tzw. administrator bezpieczeństwa informacji).
W przypadku osoby prowadzącej działalność gospodarczą pozostaje ona Administratorem Danych niezależnie od tego, czy wyznaczy pracownika odpowiedzialnego za przetwarzanie danych osobowych (tzw. Administratora Bezpieczeństwa Informacji).
Każdy ADO winien pamiętać o obowiązkach, jakie nakłada na niego ustawa. Jest to obowiązek:
-
informacyjny – ADO winien poinformować o fakcie zbierania danych osobowych osób, których dane zbiera oraz zakresie przetwarzanych danych osobowych;
-
zachowania szczególnej staranności przy przetwarzaniu danych osobowych w celu ochrony interesów osób, których dane przetwarza;
-
uzupełniania, uaktualnienia, sprostowania danych czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane;
-
stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych;
-
kontroli, które dane, kiedy i przez kogo zostały wprowadzone do zbioru oraz komu są one przekazywane;
-
prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych;
-
zgłaszania zbioru do rejestracji Generalnemu Inspektorowi w przypadkach przewidzianych prawem.
Co to jest ABI?
ABI to skrót od Administrator Bezpieczeństwa Informacji.
Kwestia powołania lub niepowołania ABI jest indywidualnym wyborem każdego Administratora Danych Osobowych.
Zgodnie z ustawą o ochronie danych osobowych ABI powinien spełniać następujące wymagania:
-
mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych;
-
być niekaranym za przestępstwo umyślne;
-
mieć odpowiednią wiedzę z zakresu ochrony danych osobowych.
Administrator Bezpieczeństwa Informacji zapewnia przestrzeganie przepisów o ochronie danych osobowych (zgodnie z art. 36a ust. 2 pkt 1 u.o.d.o.) poprzez:
-
monitorowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz raportowanie w tym zakresie do ADO;
-
koordynowanie opracowania i aktualizowania dokumentacji dotyczącej ochrony danych osobowych oraz środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych adekwatną do zagrożeń i kategorii danych objętych ochroną a także przestrzegania zasad w niej określonych;
-
szkolenie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
W praktyce zadania ABI polegają głównie na:
-
prowadzeniu rejestru zbiorów danych osobowych;
-
opracowywaniu dokumentacji z zakresu ochrony danych osobowych;
-
rejestracji określonych zbiorów u GIODO;
-
nadzorowaniu dokumentacji ochrony danych osobowych;
-
dokonywaniu sprawdzeń zgodności przetwarzania danych z przepisami;
-
opracowywaniu sprawozdań na podstawie dokonanych sprawdzeń.
Ponadto ABI prowadzi rejestr zbiorów danych przetwarzanych przez ADO (zgodnie z art. 36a ust. 2 pkt 2 u.o.d.o), zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7 u.o.d.o.
GIODO wyraźnie wskazuje, iż funkcję ABI może pełnić wyłącznie osoba fizyczna. Nie ma natomiast obowiązku by musiał to być pracownik ADO. W sytuacji gdy zdecydujemy się na powierzenie funkcji ABI już zatrudnionemu pracownikowi, należy pamiętać o konieczności zmiany struktury organizacyjnej prowadzonego przez nas biznesu, z uwagi na fakt, iż ABI winien podlegać bezpośrednio pod kierownika jednostki.
Jeżeli jako ADO zdecydujemy się na powołanie Administratora Bezpieczeństwa Informacji, w ciągu 30 dni winniśmy zgłosić ten fakt do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Zgodnie z obowiązującym prawem, ABI zgłoszeni do rejestracji, są wpisywani do ogólnokrajowego, jawnego rejestru prowadzonego przez GIODO.
Powołanie Administratora Bezpieczeństwa Informacji i zgłoszenie go do rejestru prowadzonego przez GIODO niweluje po stronie ADO obowiązek zgłaszania do GIODO zbiorów danych osobowych innych niż dane wrażliwe tj. nieujęte w art. 27 ust. 1 u.o.d.o (tj. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym). W dalszym ciągu jednak jako ADO zgłaszać zbiory danych wrażliwych.
Rejestr danych prowadzonych przez ABI obejmuje wszystkie zbiory danych przetwarzanych przez ADO.
Ponadto powinniśmy pamiętać, że samo zgłoszenie ABI do rejestru GIODO nie uchroni nas przed kontrolami zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. GIODO będzie mógł realizować swoje kompetencje kontrolne zarówno za pośrednictwem ABI, jak i samoistnie.
Czy powołanie ABI jest korzystne?
Powołanie ABI sprawi, że Administrator danych osobowych nie będzie odpowiadał z tytułu nieumyślnego naruszenia przepisów dotyczących ochrony danych osobowych.
To Administrator bezpieczeństwa informacji może zostać pociągnięty do odpowiedzialności pracowniczej, administracyjnej lub nawet karnej, jeżeli nienależycie zarządza zbiorem danych.
To rozwiązanie ma zatem swoje plusy i minusy.
Na pewno powołanie ABI stanowi dodatkowy koszt dla firmy, jednak dzięki temu Administrator danych osobowych nie będzie musiał zaprzątać sobie głowy przygotowaniem szczegółowej dokumentacji, wdrażaniem polityki bezpieczeństwa itp. a swój czas i energię będzie mógł poświęcić na prowadzenie działalności gospodarczej.
Trzeba bowiem pamiętać, że zapewnienie zgodności przetwarzania danych osobowych z obowiązującymi przepisami nie jest to czynność jednorazową – cały czas zmieniają się przepisy i sytuacja biznesowa, w której pozostaje firma. Jeśli ADO zdecyduje się na powołanie ABI, będzie musiał zgłosić do GIODO jedynie zbiory zawierających dane osobowe wrażliwe, o ile takie przetwarza. Powołanie ABI wpłynie z pewnością także na zmniejszenie częstotliwości kontroli GIODO, które to w sytuacji zaistnienia podejrzenia co do naruszenia przestrzegania przepisów ochrony danych osobowych będzie realizować je z pomocą ABI zgłoszonego do rejestru.
Podsumowanie
Ustawa o ochronie danych osobowych wskazuje, że powołanie ABI jest uprawnieniem Administratora Danych Osobowych. To już w jego gestii pozostaje decyzja, czy przekazać część obowiązków związanych z ochroną danych osobowych Administratorowi Bezpieczeństwa Informacji. Z pewnością warto rozważyć zalety i wady powołania lub niepowołania takiej funkcji w swojej firmie.
