Beata Marek, IT&IP Lawyer
Masz problem, który dotyczy tego zagadnienia?
Zadaj mi pytanie. To nic nie kosztuje. Postaram Ci się pomóc.
Administratorem bezpieczeństwa informacji może być osoba, która:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
Uwaga! Warunkiem koniecznym nie jest odbycie studiów podyplomowych czy szkoleń. Administrator bezpieczeństwa informacji nie musi składać dokumentów potwierdzających jego kwalifikacje zawodowe o ile administrator danych ich nie żąda. W umowie zawartej pomiędzy ABI a administratorem danych powinien on złożyć oświadczenie, z którego wynika że legitymuje się odpowiednią wiedzą w zakresie ochrony danych osobowych umożliwiającą mu prawidłowe i zgodne z prawem wykonywanie zadań określonych szczegółowo w umowie);
3) nie była karana za umyślne przestępstwo.
Stanowisko pracy
- Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.
- Zgodnie z nowymi przepisami rolą administratora danych jest zapewnienie niezbędnych środków do wykonywania zadań przez administratora bezpieczeństwa informacji (uwaga! należy wnioskować do administratora danych o określone środki by można było zmniejszyć bądź wykluczyć odpowiedzialność administratora bezpieczeństwa informacji za określone działanie/zaniechanie. Bardzo ważne są zapisy w umowie, którą zawiera ABI z administratorem danych. Jeżeli chcesz sprawdzić czy umowa, którą zawierasz jest dla Ciebie bezpieczna napisz do mnie).
- Administrator bezpieczeństwa informacji jest niezależnym, odrębnym stanowiskiem (oznacza to, że zgłoszony do rejestru ABI nie może wykonywać swoich zadań wykonując je na podstawie innego stanowiska aniżeli administrator bezpieczeństwa informacji. Przykładowo: kadrowa, informatyk etc.).
Ustawowe obowiązki
(wpisać do umowy)
Do zadań administratora bezpieczeństwa informacji należy:
1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych (zalecane wykonywanie raz do roku),
Sprawozdanie powinno zawierać:
1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania;
2) imię i nazwisko administratora bezpieczeństwa informacji;
3) wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;
4) datę rozpoczęcia i zakończenia sprawdzenia;
5) określenie przedmiotu i zakresu sprawdzenia;
6) opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
7) stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem;
8) wyszczególnienie załączników stanowiących składową część sprawozdania;
9) podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej – dodatkowo
parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania;
10) datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.
Szczegółowe informacje zostaną zawarte w rozporządzeniu Ministra ds. administracji i cyfryzacji. Informacje dodam jak tylko rozporządzenie wejdzie w życie.
b) nadzorowanie opracowania i aktualizowania dokumentacji (Polityki Bezpieczeństwa i Instrukcji / Systemu Zarządzania Bezpieczeństwem Informacji) oraz przestrzegania zasad w niej określonych,
Szczegółowe informacje na temat realizacji tych zadań zostaną zawarte w rozporządzeniu Ministra ds. administracji i cyfryzacji. Informacje dodam jak tylko rozporządzenie wejdzie w życie.
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych (w przypadku danych osobowych zwykłych nie dokonuje się zgłoszenia do Generalnego Inspektora tylko prowadzi wewnętrzny rejestr) zawierającego nazwę zbioru oraz informacje zawierające:
– oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych bądź zamiaru powierzenia oznaczenie tego podmiotu i adresu jego siedziby lub miejsca zamieszkania,
– cel przetwarzania danych,
– opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
– sposób zbierania oraz udostępniania danych,
– informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
– informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
3) wykonywanie innych czynności zleconych przez administratora danych o ile nie naruszają one prawidłowego wykonywania zadań określonych powyżej.
Uwaga! W przypadku zbiorów określonych poniżej administrator bezpieczeństwa informacji (musi zostać wyznaczony i zgłoszony do GIODO) w ogóle nie prowadzi rejestru danych osobowych:
– zawierających informacje niejawne,
– które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
– przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
– przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
– przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;
– przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej,
– dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
– przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
– dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
– tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw,
– wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
– dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
– przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
– powszechnie dostępnych,
– przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
– przetwarzanych w zakresie drobnych bieżących spraw życia codziennego,
– przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane wrażliwe.
Sprawozdanie do GIODO
- Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji wpisanego do rejestru o dokonanie sprawdzenia określonego powyżej wskazując zakres i termin sprawdzenia (widać zatem, że ABI nabywa swoiste uprawnienia kontrolne względem swojego pracodawcy/zleceniodawcy).
- Sprawozdanie będzie przesyłane do GIODO (najprawdopodobniej za pomocą systemu teleinformatycznego, obecnie nie jest to uregulowane).
- Przedstawienie sprawozdania do GIODO nie wyklucza kontroli.
Zastępca/y
Administrator danych może powołać zastępców administratora bezpieczeństwa informacji, którzy spełniają warunki określone w pkt. I Poradnika. Ich rolą jest wsparcie dla ABI i jest to swoiste zaplecze w przypadku nagłej niedyspozycyjności ABI. W mojej ocenie najlepszą formą organizacji pracy jest kooperacja z kierownikami działów i nie ma wtedy potrzeby wyznaczania zastępców ABI na stałe. Warto rozważyć pomocnicze powołanie zastępcy czyli osoby, która w przypadku niedyspozycyjnośći ABI (nie przekraczającej np. 14 dni) będzie pełnić rolę administratora bezpieczeństwa informacji.
- Generalny Inspektor Ochrony Danych Osobowych (dalej „Generalny Inspektor”) prowadzi jawny rejestr administratorów bezpieczeństwa informacji oraz udziela informacji o zarejestrowanych administratorach bezpieczeństwa informacji (w zakresie informacji określonych w pkt 1 i pkt 2 lit. a i c określonych poniżej).
- Administrator danych osobowych jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania.
- Administrator danych jest obowiązany zgłosić Generalnemu Inspektorowi zmianę informacji objętych zgłoszeniem, o którym mowa poniżej, w terminie 14 dni od dnia zmiany. Do zgłaszania zmian stosuje się odpowiednio przepisy o zgłoszeniu powołania administratora bezpieczeństwa informacji.
Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji powinno zostać dokonywane na urzędowym formularzu i powinno zawierać:
1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
2) dane administratora bezpieczeństwa informacji:
a) imię i nazwisko,
b) numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość,
c) adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 1;
3) datę powołania;
4) oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków
określonych w w pkt. I poradnika.
Zgłoszenie odwołania administratora bezpieczeństwa informacji powinno zostać dokonane na urzędowym formularzu i powinno zawierać:
1) dane, o których mowa w ust. 2 pkt 1 i pkt 2 lit. a i b;
2) datę i przyczynę odwołania.
- Na żądanie administratora danych lub administratora bezpieczeństwa informacji Generalny Inspektor wydaje
zaświadczenie o zarejestrowaniu administratora bezpieczeństwa informacji.
- Wykreślenie administratora bezpieczeństwa informacji z rejestru administratorów bezpieczeństwa informacji następuje po powiadomieniu o jego odwołaniu albo w przypadku jego śmierci.
Decyzja o wykreśleniu administratora bezpieczeństwa informacji z rejestru następuje jeżeli:
1) administrator bezpieczeństwa informacji nie spełnia warunków określonych w pkt. I poradnika.
2) administrator bezpieczeństwa informacji nie wykonuje zadań określonych w pkt. II poradnika.
3) administrator danych nie powiadomił o odwołaniu administratora bezpieczeństwa informacji.
Uwaga! Do administratora danych będącego adresatem decyzji o wykreśleniu administratora bezpieczeństwa informacji nie stosuje się zwolnienia w zakresie obowiązku rejestracji danych osobowych zwykłych.
Zgoda Generalnego Inspektora na transfer danych poza Europejski Obszar Gospodarczy (Kraje UE + Islandia, Norwegia i Liechtenstein) nie jest wymagana, jeżeli administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez:
- dla udostępniania danych: standardowe klauzule umowne (Pakiet II, wzór umowy znajduje się w załączniku)
bądź
- dla powierzenia danych: standardowe klauzule umowne (wzór w załączniku),
- zatwierdzone przez Generalnego Inspektora wiążące reguły korporacyjne przyjęte w ramach grupy przedsiębiorców (zatwierdzane są w drodze decyzji administracyjnej, a uprzednio mogą być przeprowadzone konsultacje GIODO z właściwymi organami ochrony danych osobowych państw należących do Europejskiego Obszaru Gospodarczego, na których terytorium mają siedziby przedsiębiorcy należący do grupy. Jeżeli wiążące reguły korporacyjne były przedmiotem rozstrzygnięcia organu ochrony danych osobowych innego państwa należącego do Europejskiego Obszaru Gospodarczego – GIODO może uwzględnić to rozstrzygnięcie.
- Optymalizacja (oszczędność czas i papieru) w prowadzeniu rejestrów zbiorów danych (tylko w przypadku zgłoszenia administratora bezpieczeństwa informacji do GIODO).
- Określenie minimalnych wymagań, które powinny być spełnione przez administratora bezpieczeństwa informacji zarówno w zakresie realizacji zadań jak i jego zdolności do ich wykonywania.
- Kooperacja administratora bezpieczeństwa informacji z biurem GIODO (sprawozdanie do GIODO i komunikacja).
- Możliwość transferu danych poza Europejski Obszar Gospodarczy (standardowe klauzule umowne, wiążące reguły korporacyjne).
- Możliwość budowania nowej relacji z Klientami opartej na pokazaniu dbałości o przetwarzanie danych (np. publikacja opracowanych raportów ze sprawozdań, informacja o zgłoszeniu do jawnego rejestru administratora bezpieczeństwa informacji).
- Administrator bezpieczeństwa informacji wyznaczony do tej pory, pełni funkcję administratora bezpieczeństwa informacji w rozumieniu ustawy do czasu zgłoszenia go do rejestru nie dłużej jednak niż do dnia 30 czerwca 2015 r. Jeśli do tego czasu nie zostanie zgłoszony ABI do GIODO uważa się, że ABI nie został wyznaczony.
- Do postępowań rejestracyjnych prowadzonych przez Generalnego Inspektora Ochrony Danych Osobowych na podstawie zgłoszeń o rejestrację zbiorów danych osobowych zwykłych, wszczętych i niezakończonych przed dniem 1 stycznia 2015r. stosuje się przepisy dotychczasowe.