Osoba do zarządzania danymi w firmie

831

Jeżeli w przedsiębiorstwie funkcjonowała osoba administratora bezpieczeństwa informacji odpowiedzialna za proces gromadzenia i przetwarzania danych osobowych i dalej ma pełnić takie obowiązki, to trzeba dokonać jej zgłoszenia i rejestracji u Generalnego Inspektora Ochrony Danych Osobowych.

Firma ma na to czas do końca czerwca.

Sama instytucja administratora bezpieczeństwa informacji (ABI) nie jest nową konstrukcją w polskich przepisach. Jednak wraz z ostatnią nowelizacją ustawy o ochronie danych osobowych zmianie uległ zakres kompetencji i sposób umiejscowienia (podległości służbowej) takiej osoby w strukturze firmy.

Jeżeli administrator danych osobowych, a jest to każda osoba lub instytucja, która decyduje o celach i zasadach przetwarzania danych osobowych, zdecyduje się na powołanie lub utrzymanie ABI musi spełnić pewne warunki. Jeżeli tego nie zrobi, to wtedy wszystkie obowiązki wynikające z tej ustawy, a związane przede wszystkim z koniecznością ochrony zgromadzonych informacji i ich prawidłowym oraz zgodnym z prawem przetwarzaniem, spoczywają bezpośrednio na administratorze. W szczególności jest on zobowiązany dokonać zgłoszenia zbioru danych (rejestracja) u Generalnego Inspektora Ochrony Danych Osobowych, chyba że da się skorzystać z nielicznych wyjątków, które taki obowiązek wyłączają.

Powołanie ABI zwalnia administratora z powyższego obowiązku. Jednak pod pewnymi warunkami. I tu właśnie wracamy do wytycznych, które narzuca ustawa w swojej najnowszej wersji. W jej art. 36a ust. 5 określono, że funkcję ABI może pełnić osoba, która:

  • ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
  • posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
  • nie była karana za umyślne przestępstwo.

Przesłanka posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych jest oceniana przez samego administratora danych. Działając we własnym interesie powinien on powołać osobę, która rzeczywiście ma dużą wiedzę z zakresu ochrony danych. Jednak przepisy nie wprowadzają wymogu posiadania przez nią jakichkolwiek zaświadczeń, certyfikatów lub poświadczeń ukończenia odpowiednich szkoleń. Poziom odpowiedniej wiedzy powinien być dostosowany do prowadzonych u administratora danych operacji ich przetwarzania oraz wymogów ich ochrony. Ponadto ABI musi podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Jak wskazują przepisy, głównym zadaniem ABI jest zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

  • sprawdzanie zgodności przetwarzania danych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  • nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ich ochronę,
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ich ochronie,
  • prowadzenie rejestru zbiorów danych przetwarzanych w danej firmie (instytucji).

Jeżeli administrator danych skorzysta z przysługującego mu uprawnienia i powoła administratora bezpieczeństwa informacji, to zgodnie z przepisami ma 30 dni na zgłoszenie tego faktu do rejestracji GIODO. A co jeżeli taka osoba już wcześniej, czyli przed dniem wejścia w życie nowych przepisów, funkcjonowała w firmie? W takim przypadku ABI wyznaczony przed dniem 1 stycznia 2015 r. powinien zostać zgłoszony do rejestracji GIODO do dnia 30 czerwca 2015 r. Jeżeli administrator danych zaniecha tego, to po 30 czerwca ABI przestanie pełnić tę funkcję, a jego zadania (określone w art. 36a ust. 2 pkt 1 z wyłączeniem obowiązku sporządzania sprawozdania) zobowiązany będzie wykonywać administrator danych, który ponosi pełną odpowiedzialność za przestrzeganie przepisów ustawy.

Zaletą powołania ABI, spełniającego kryteria ustawy, i dokonania jego rejestracji jest zwolnienie z obowiązku rejestracji zbiorów. Jednak od tej zasady jest wyjątek. Mianowicie dotyczy on zbiorów zawierających tzw. dane wrażliwe, czyli odnoszące się np. do stanu zdrowia, poglądów politycznych lub religijnych, nałogów itp. Jeżeli administrator danych gromadzi takie informacje, to niezależnie od tego, czy powoła u siebie ABI, czy też nie, ma obowiązek zgłosić taki zbiór do GIODO.

ZOSTAW ODPOWIEDŹ

Wpisz komentarz
Wpisz imię