ABI

Projektowane zmiany prawne
statusu Administratora
Bezpieczeństwa Informacji
(ABI)
dr Grzegorz Sibiga
Aktualny stan prawny ABI
™
™
Zgodnie z art. 36 ust. 3 u.o.d.o. ABI
nadzoruje przestrzeganie zasad
technicznej i organizacyjnej ochrony
danych osobowych (art. 36 ust.1
u.o.d.o.)
Problemy:
¾
¾
¾
¾
Status ABI
Kompetencje ABI (nadzór)
Ustrój ABI
inne
ABI w aspekcie
prawnoporownawczym
™
ABI w Dyrektywie 95/46/WE
™
ABI w prawie członkowskim innych
państw UE:
Holandia
Niemcy
Węgry
™
™
™
Zakres proponowanych
zmian
™
™
™
Status i kompetencje ABI
Rejestracja zbiorów danych osobowych
Zasady przeprowadzenia kontroli przez
GIODO
Zasada: powołanie ABI jest dobrowolne,
ale gdy ADO dokona takiego powołania
korzysta z udogodnień w realizacji
ustawy.
Proponowane zmiany
™
Podstawowe zmiany:
¾
¾
¾
¾
Powołanie ABI (brak obowiązku)
Niezależne stanowisko, podległość
kierownikowi jednostki organizacyjnej
Kwalifikacje ABI
Obowiązki ABI
Powołanie ABI
™
Administrator danych osobowych
powołuje ABI, chyba że sam wykonuje
zadania, określone w ustawie.
Zadania ABI
™
™
Przeprowadzanie kontroli
przestrzegania przepisów o ochronie
danych osobowych w jednostce
organizacyjnej oraz opracowanie w tym
zakresie sprawozdania dla
administratora danych;
Zapewnienie opracowania i
aktualizowania dokumentacji, o której
mowa w art. 36 ust.2, oraz
nadzorowanie przestrzegania
zasad w niej określonych;
Zadania ABI
™
™
Prowadzenie rejestru zbiorów danych
przetwarzanych w jednostce
organizacyjnej;
Zaznajamianie osób upoważnionych do
przetwarzania danych osobowych
z przepisami o ochronie danych
osobowych.
Zadania ABI
™
Administrator danych może powierzyć
ABI wykonywanie innych zadań, które
nie naruszałyby prawidłowego
wykonywania jego obowiązków,
określonych w ustawie.
Kwalifikacje ABI
™
ABI może być osoba, która:
¾
¾
¾
¾
ma pełną zdolność do czynności
prawnych oraz korzysta z pełni praw
publicznych;
posiada wykształcenie wyższe;
posiada odpowiednią wiedzę z zakresu
ochrony danych osobowych;
nie była karana za przestępstwo
popełnione z winy umyślnej.
Zastępca ABI
™
Administrator danych może powołać
zastępcę ABI, który spełnia określone
warunki
Niezależność stanowiska
™
ABI podlega bezpośrednio
kierownikowi jednostki organizacyjnej,
który zapewnia:
¾
¾
niezbędne środki do wykonywania zadań
organizacyjną odrębność ABI w
niezależnym wykonywaniu zadań
określonych w przepisach o ochronie
danych osobowych.
Zgłaszanie ABI do GIODO
™
™
™
Administrator danych zawiadamia Generalnego
Inspektora o:
¾ powołaniu ABI,
¾ odwołaniu ABI wraz z podaniem przyczyn
takiego odwołania.
Generalny Inspektor prowadzi ogólnokrajowy,
jawny rejestr ABI
Kompetencja do wykreślenia ABI z rejestru, gdy
powołanie lub działalność narusza ustawowe
zasady (wówczas ADO nie może korzystać z
korzyści związanych z powołaniem ABI).
Nowe rozporządzenie
™
Minister właściwy do spraw
administracji publicznej, na wniosek
Generalnego Inspektora, określi w
drodze rozporządzenia:
¾
¾
¾
zasady i tryb przeprowadzania kontroli
oraz opracowania i przedstawiania
sprawozdania ABI,
tryb wykonywania nadzoru ABI,
sposób prowadzenia rejestru zbiorów
danych przez ABI
Rejestracja
™
™
Administrator danych, który powołał
ABI jest zwolniony ze zgłoszenia do
rejestracji/aktualizacji swoich zbiorów
(za wyjątkiem zbiorów danych
wrażliwych)
W przypadku zgłoszenia zbiorów
danych, pozytywna opinia ABI
umożliwia rozpoczęcie przetwarzania
danych bez potrzeby rejestracji przez
GIODO
Przeprowadzenie kontroli
™
GIODO może powierzyć
przeprowadzenie czynności
kontrolnych ABI, co jednak nie wyłącza
kompetencji kontrolnych organu
ochrony danych osobowych.
Korzyści dla ADO
z wyznaczenia ABI
™
™
™
Uproszczona procedura rejestracji
zbiorów danych – zgłoszenie do ABI
Zwolnienie z procedury uprzedniej
kontroli przy rejestracji zbiorów z
danymi wrażliwymi
Uproszczona forma kontroli przez
GIODO
Dziękuję za uwagę.
www.sabi.org.pl
[email protected]