Pobierz plik

Status administratora bezpieczeństwa
informacji (ABI) w świetle obowiązujących
przepisów
adw. dr Grzegorz Sibiga
23 lutego 2016 r.
Agenda
1) Zakres zmian w przepisach o ochronie danych
osobowych
2) Cele zmian w przepisach
3) Zadaniowy charakter działania ABI
4) Warunki pełnienia funkcji ABI jako gwarancja
prawidłowego wykonania zadań
5) Różnice w działalności ADO: z powołanym ABI oraz
bez powołanego ABI
Zakres zmiany w przepisach o ochronie danych osobowych
1) Ustawa z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności
gospodarczej (Dz.U. poz. 1662) :
Art. 9 – zmiany w u.o.d.o.
Art. 35, art. 36 – przepisy przejściowe.
2) Wejście w życie: 1 stycznia 2015 r.
3) Przepisy ustawy uzupełniane trzema rozporządzeniami (delegacje zawarte
w art. 36a ust.9 pkt 1 i 2 , art. 46f u.o.d.o.).
4) Wydawane rozporządzenia:
1. rozporządzenia MAiC z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń
powołania i odwołania administratora bezpieczeństwa informacji (Dz.U.
poz. 1934)
2. rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w
sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji
rejestru zbiorów danych (Dz.U. poz. 719)- wejście życie 26.05.2015 r.
3. rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w
sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania
przepisów o ochronie danych osobowych przez administratora bezpieczeństwa
informacji (Dz.U. poz. 745 ) - wejście życie 30.05.2015 r.
Cele zmian w przepisach dotyczących ABI
1) Cel deregulacyjny: zmniejszenie obciążeń formalnych (rejestracyjnych)
administratora danych w sposób zgodny z dyrektywą 95/46/WE
2) Cel porządkujący: ujednolicenie statusu i zasad działalności ABI w skali
całego kraju
3) Cel przygotowawczy: przygotowanie do regulacji dotyczących DPO (data
protection officer) w ogólnym rozporządzeniu o ochronie danych i w
dyrektywie policyjnej
4) Podstawowy cel: podwyższenie stanu przestrzegania przepisów o
ochronie danych osobowych przez ADO lub procesora oraz realizacja
interesu ADO polegającego na przestrzeganiu przepisów o ochronie
danych osobowych
Zadania ABI
I. Zadania
:
1) zapewnianie przestrzegania przepisów o ochronie danych
osobowych, w szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z
przepisami o ochronie danych osobowych oraz opracowanie w tym
zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji, o której
mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania
danych osobowych z przepisami o ochronie danych osobowych.
2) prowadzenie rejestru zbiorów danych przetwarzanych przez
administratora danych.
II. Tryb i sposób realizacji poszczególnych kompetencji przez ABI powinien
następować z uwzględnieniem podstawowej zasady: zapewnienia
przestrzegania przepisów o ochronie danych osobowych
Wykonaniu tej zasady służą także warunki organizacyjne działalności ABI.
Warunki wykonywania funkcji ABI
Warunki pełnienia funkcji ABI jako gwarancja prawidłowego wykonania zadań
(obowiązki ADO zapewnienia tych warunków):
a) podległość bezpośrednio kierownikowi jednostki organizacyjnej lub osobie
fizycznej będącej administratorem danych,
b) organizacyjną odrębność ABI,
c) środki na wykonywanie zadań ABI,
d) niezależność w wykonywaniu zadań.,
Administrator danych zapewnia środki i organizacyjną odrębność
administratora bezpieczeństwa informacji niezbędne do niezależnego
wykonywania przez niego zadań (…).
e) zakaz powierzania ABI wykonywanie innych obowiązków, jeżeli naruszy to
prawidłowe wykonywanie jego ustawowych zadań ochrony danych osobowych
(kryterium zadania merytorycznego i czasu wykonywania obowiązku,
podstawowy zakres obowiązków ABI)
Administrator danych może powierzyć administratorowi bezpieczeństwa
informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego
wykonywania zadań (…)
Modele wykonywania zadania zapewniania
przestrzegania przepisów o ochronie danych
osobowych
1) Fakultatywność powołania ABI przez ADO:
Art. 36a. 1 u.o.d.o. Administrator danych może powołać
administratora bezpieczeństwa informacji.
2) ADO bez powołanego ABI: W przypadku niepowołania
administratora bezpieczeństwa informacji zadania ABI, z
wyłączeniem obowiązku sporządzania sprawozdania oraz
prowadzenia rejestru zbioru danych wykonuje administrator
danych (art. 36b u.o.d.o.) . Problemy terminologiczne związane z
oznaczeniem osób wykonujących zadania ochrony danych
osobowych.
Zadania ABI oraz administratora danych (bez ABI)
1
ABI
administrator danych (bez ABI)
a) sprawdzanie zgodności
przetwarzania danych osobowych z
przepisami o ochronie danych
osobowych oraz opracowanie
sprawozdania
Obowiązek występuje, z tym że
obowiązek dokonywania sprawdzenia
i opracowania sprawozdania na
wezwanie GIODO występuje dopiero
od momentu wpisania ABI do
ogólnokrajowego rejestru
administratorów bezpieczeństwa
informacji.
Obowiązek przeprowadzania sprawdzeń
występuje, za wyjątkiem sprawdzeń na
żądanie GIODO.
b) opracowania i aktualizowania
dokumentacji przetwarzania danych
oraz przestrzegania zasad w niej
określonych
Obowiązek występuje
Obowiązek występuje
c) zapewnianie zapoznania osób
upoważnionych do przetwarzania
danych osobowych z przepisami o
ochronie danych osobowych
Obowiązek występuje
Obowiązek występuje
2) prowadzenie rejestru zbiorów
danych przetwarzanych przez
administratora danych, z wyjątkiem
zbiorów, o których mowa w art. 43
ust. 1 uodo
Obowiązek występuje
Obowiązek nie występuje
1)
Zadanie zapewniania
przestrzegania przepisów o
ochronie danych osobowych
Nie występuje obowiązek opracowywania
sprawozdania (po sprawdzeniu)
Dziękuję za uwagę.
Grzegorz Sibiga
[email protected]