ABI
Transkrypt
ABI
Projektowane zmiany prawne statusu Administratora Bezpieczeństwa Informacji (ABI) dr Grzegorz Sibiga Aktualny stan prawny ABI Zgodnie z art. 36 ust. 3 u.o.d.o. ABI nadzoruje przestrzeganie zasad technicznej i organizacyjnej ochrony danych osobowych (art. 36 ust.1 u.o.d.o.) Problemy: ¾ ¾ ¾ ¾ Status ABI Kompetencje ABI (nadzór) Ustrój ABI inne ABI w aspekcie prawnoporownawczym ABI w Dyrektywie 95/46/WE ABI w prawie członkowskim innych państw UE: Holandia Niemcy Węgry Zakres proponowanych zmian Status i kompetencje ABI Rejestracja zbiorów danych osobowych Zasady przeprowadzenia kontroli przez GIODO Zasada: powołanie ABI jest dobrowolne, ale gdy ADO dokona takiego powołania korzysta z udogodnień w realizacji ustawy. Proponowane zmiany Podstawowe zmiany: ¾ ¾ ¾ ¾ Powołanie ABI (brak obowiązku) Niezależne stanowisko, podległość kierownikowi jednostki organizacyjnej Kwalifikacje ABI Obowiązki ABI Powołanie ABI Administrator danych osobowych powołuje ABI, chyba że sam wykonuje zadania, określone w ustawie. Zadania ABI Przeprowadzanie kontroli przestrzegania przepisów o ochronie danych osobowych w jednostce organizacyjnej oraz opracowanie w tym zakresie sprawozdania dla administratora danych; Zapewnienie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust.2, oraz nadzorowanie przestrzegania zasad w niej określonych; Zadania ABI Prowadzenie rejestru zbiorów danych przetwarzanych w jednostce organizacyjnej; Zaznajamianie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Zadania ABI Administrator danych może powierzyć ABI wykonywanie innych zadań, które nie naruszałyby prawidłowego wykonywania jego obowiązków, określonych w ustawie. Kwalifikacje ABI ABI może być osoba, która: ¾ ¾ ¾ ¾ ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych; posiada wykształcenie wyższe; posiada odpowiednią wiedzę z zakresu ochrony danych osobowych; nie była karana za przestępstwo popełnione z winy umyślnej. Zastępca ABI Administrator danych może powołać zastępcę ABI, który spełnia określone warunki Niezależność stanowiska ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej, który zapewnia: ¾ ¾ niezbędne środki do wykonywania zadań organizacyjną odrębność ABI w niezależnym wykonywaniu zadań określonych w przepisach o ochronie danych osobowych. Zgłaszanie ABI do GIODO Administrator danych zawiadamia Generalnego Inspektora o: ¾ powołaniu ABI, ¾ odwołaniu ABI wraz z podaniem przyczyn takiego odwołania. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr ABI Kompetencja do wykreślenia ABI z rejestru, gdy powołanie lub działalność narusza ustawowe zasady (wówczas ADO nie może korzystać z korzyści związanych z powołaniem ABI). Nowe rozporządzenie Minister właściwy do spraw administracji publicznej, na wniosek Generalnego Inspektora, określi w drodze rozporządzenia: ¾ ¾ ¾ zasady i tryb przeprowadzania kontroli oraz opracowania i przedstawiania sprawozdania ABI, tryb wykonywania nadzoru ABI, sposób prowadzenia rejestru zbiorów danych przez ABI Rejestracja Administrator danych, który powołał ABI jest zwolniony ze zgłoszenia do rejestracji/aktualizacji swoich zbiorów (za wyjątkiem zbiorów danych wrażliwych) W przypadku zgłoszenia zbiorów danych, pozytywna opinia ABI umożliwia rozpoczęcie przetwarzania danych bez potrzeby rejestracji przez GIODO Przeprowadzenie kontroli GIODO może powierzyć przeprowadzenie czynności kontrolnych ABI, co jednak nie wyłącza kompetencji kontrolnych organu ochrony danych osobowych. Korzyści dla ADO z wyznaczenia ABI Uproszczona procedura rejestracji zbiorów danych – zgłoszenie do ABI Zwolnienie z procedury uprzedniej kontroli przy rejestracji zbiorów z danymi wrażliwymi Uproszczona forma kontroli przez GIODO Dziękuję za uwagę. www.sabi.org.pl [email protected]