Pobierz plik
Transkrypt
Pobierz plik
Status administratora bezpieczeństwa informacji (ABI) w świetle obowiązujących przepisów adw. dr Grzegorz Sibiga 23 lutego 2016 r. Agenda 1) Zakres zmian w przepisach o ochronie danych osobowych 2) Cele zmian w przepisach 3) Zadaniowy charakter działania ABI 4) Warunki pełnienia funkcji ABI jako gwarancja prawidłowego wykonania zadań 5) Różnice w działalności ADO: z powołanym ABI oraz bez powołanego ABI Zakres zmiany w przepisach o ochronie danych osobowych 1) Ustawa z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. poz. 1662) : Art. 9 – zmiany w u.o.d.o. Art. 35, art. 36 – przepisy przejściowe. 2) Wejście w życie: 1 stycznia 2015 r. 3) Przepisy ustawy uzupełniane trzema rozporządzeniami (delegacje zawarte w art. 36a ust.9 pkt 1 i 2 , art. 46f u.o.d.o.). 4) Wydawane rozporządzenia: 1. rozporządzenia MAiC z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. poz. 1934) 2. rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. poz. 719)- wejście życie 26.05.2015 r. 3. rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. poz. 745 ) - wejście życie 30.05.2015 r. Cele zmian w przepisach dotyczących ABI 1) Cel deregulacyjny: zmniejszenie obciążeń formalnych (rejestracyjnych) administratora danych w sposób zgodny z dyrektywą 95/46/WE 2) Cel porządkujący: ujednolicenie statusu i zasad działalności ABI w skali całego kraju 3) Cel przygotowawczy: przygotowanie do regulacji dotyczących DPO (data protection officer) w ogólnym rozporządzeniu o ochronie danych i w dyrektywie policyjnej 4) Podstawowy cel: podwyższenie stanu przestrzegania przepisów o ochronie danych osobowych przez ADO lub procesora oraz realizacja interesu ADO polegającego na przestrzeganiu przepisów o ochronie danych osobowych Zadania ABI I. Zadania : 1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych, c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. 2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych. II. Tryb i sposób realizacji poszczególnych kompetencji przez ABI powinien następować z uwzględnieniem podstawowej zasady: zapewnienia przestrzegania przepisów o ochronie danych osobowych Wykonaniu tej zasady służą także warunki organizacyjne działalności ABI. Warunki wykonywania funkcji ABI Warunki pełnienia funkcji ABI jako gwarancja prawidłowego wykonania zadań (obowiązki ADO zapewnienia tych warunków): a) podległość bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych, b) organizacyjną odrębność ABI, c) środki na wykonywanie zadań ABI, d) niezależność w wykonywaniu zadań., Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań (…). e) zakaz powierzania ABI wykonywanie innych obowiązków, jeżeli naruszy to prawidłowe wykonywanie jego ustawowych zadań ochrony danych osobowych (kryterium zadania merytorycznego i czasu wykonywania obowiązku, podstawowy zakres obowiązków ABI) Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań (…) Modele wykonywania zadania zapewniania przestrzegania przepisów o ochronie danych osobowych 1) Fakultatywność powołania ABI przez ADO: Art. 36a. 1 u.o.d.o. Administrator danych może powołać administratora bezpieczeństwa informacji. 2) ADO bez powołanego ABI: W przypadku niepowołania administratora bezpieczeństwa informacji zadania ABI, z wyłączeniem obowiązku sporządzania sprawozdania oraz prowadzenia rejestru zbioru danych wykonuje administrator danych (art. 36b u.o.d.o.) . Problemy terminologiczne związane z oznaczeniem osób wykonujących zadania ochrony danych osobowych. Zadania ABI oraz administratora danych (bez ABI) 1 ABI administrator danych (bez ABI) a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie sprawozdania Obowiązek występuje, z tym że obowiązek dokonywania sprawdzenia i opracowania sprawozdania na wezwanie GIODO występuje dopiero od momentu wpisania ABI do ogólnokrajowego rejestru administratorów bezpieczeństwa informacji. Obowiązek przeprowadzania sprawdzeń występuje, za wyjątkiem sprawdzeń na żądanie GIODO. b) opracowania i aktualizowania dokumentacji przetwarzania danych oraz przestrzegania zasad w niej określonych Obowiązek występuje Obowiązek występuje c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych Obowiązek występuje Obowiązek występuje 2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 uodo Obowiązek występuje Obowiązek nie występuje 1) Zadanie zapewniania przestrzegania przepisów o ochronie danych osobowych Nie występuje obowiązek opracowywania sprawozdania (po sprawdzeniu) Dziękuję za uwagę. Grzegorz Sibiga [email protected]