Pobierz plik

OGÓLNOKRAJOWY REJESTR
ADMINISTRATORÓW BEZPIECZEŃSTWA
INFORMACJI
r. pr. Monika Młotkiewicz
Departament Rejestracji ABI i Zbiorów Danych Osobowych
Biuro Generalnego Inspektora Ochrony Danych Osobowych
Generalny Inspektor
Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa
www.giodo.gov.pl
[email protected]
OD POCZĄTKU FUNKCJONOWANIA REJESTRU
DO DNIA 12 LUTEGO 2016
16 101 zarejestrowanych powołań ABI
24 363 ogólna liczba zgłoszeń
(w tym zgłoszenia powołania wraz z odwołaniem i same
odwołania)
435 zgłoszonych aktualizacji – zmiany są na bieżąco
wprowadzane do rejestru
www.giodo.gov.pl
Zgłoszenia powołania ABI, które nie zostały jeszcze wpisane
do rejestru to zgłoszenia nieprawidłowe (obarczone brakami
formalnymi lub innymi błędami).
W przypadkach, gdy zgłoszenie zawiera braki formalne,
GIODO zwraca się do wnioskodawcy z wezwaniem do
usunięcia braków formalnych na podstawie przepisów K.p.a.
dotyczących braków podania.
www.giodo.gov.pl
BRAK FORMULARZA
Wzór zgłoszenia określony został w załącznikach nr 1 i nr 2 do
rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r.
w sprawie wzorów zgłoszeń powołania i odwołania administratora
bezpieczeństwa informacji (Dz. U. z 2014 r., poz. 1934).
Zamiast wypełnionego urzędowego formularza przesyłane są:
upoważnienia do przetwarzania danych dla ABI lub jego zastępców,
akty prawne dotyczące powołania administratora bezpieczeństwa informacji
(uchwały, zarządzenia),
fragmenty polityki bezpieczeństwa informacji, w których są zapisy o
wyznaczeniu ABI,
oświadczenia i powiadomienia o powołaniu ABI .
Powyższe dokumenty odsyłane administratorom danych wraz z informacją o
prawidłowej formie zgłaszania powołania ABI.
www.giodo.gov.pl
BRAKI INFORMACJI W ZGŁOSZENIU
1) braki w zakresie oznaczenia ADO: nazwa administratora
danych i adres jego siedziby albo nazwisko, imię i adres miejsca
zamieszkania oraz nr regon, jeżeli został nadany.
2) braki w zakresie danych ABI w postaci: imienia i nazwiska,
numeru pesel lub gdy ten numer nie został nadany, nazwy i numeru
dokumentu stwierdzającego tożsamość, adresu do korespondencji,
jeżeli jest inny niż adres siedziby lub miejsca zamieszkania
administratora danych, data powołania ABI;
3) brak podpisu pod wnioskiem osoby bądź osób upoważnionych
do reprezentacji ADO (zgodnie z KRS).
www.giodo.gov.pl
BRAKI W OŚWIADCZENIU O SPEŁNIANIU PRZEZ ABI
USTAWOWYCH WARUNKÓW (CZĘŚĆ C)
Objaśnienia:
* Pola nie należy wypełniać, jeżeli zgłoszenie doręczone jest za pomocą
środków komunikacji elektronicznej.
**W przypadku odpowiedzi twierdzącej należy zakreślić kwadrat literą
,,X”
.
www.giodo.gov.pl
BRAKI W OŚWIADCZENIU O SPEŁNIANIU PRZEZ ABI
USTAWOWYCH WARUNKÓW
W przypadku niezakreślenia wszystkich lub niektórych pól oznaczających
oświadczenie ADO o spełnieniu przez ABI warunków określonych
w ustawie:
nie jest możliwe dokonanie wpisu w rejestrze, gdy zgłoszony ABI nie spełnia rygorów
kwalifikacyjnych lub nie zachowano podległości ABI bezpośrednio kierownikowi
jednostki organizacyjnej
zgodnie z art. 46d ust 2 pkt 1 ustawy o ochronie danych osobowych niespełnienie
powyższych wymogów stanowi przesłankę wykreślenia ABI z rejestru oraz stosownie do art. 46e ust 1 pkt 2 ustawy - odmowy wpisania do rejestru ponownie
zgłoszonego ABI, co następuje w drodze decyzji administracyjnej.
www.giodo.gov.pl
INNE BŁĘDY POPEŁNIANE PRZY POWOŁANIU/
ZGŁASZANIU ABI
Powołanie na ABI osoby będącej KIEROWNIKIEM JEDNOSTKI
ORGANIZACYJNEJ LUB OSOBY ZARZĄDZAJĄCEJ podmiotem
posiadającym status ADO, t.j. dyrektorów szkół, wójtów, członków zarządu spółki,
członków zarządu stowarzyszenia.
administrator danych nadzoruje i kontroluje samego siebie - ryzyko
niedostrzegania nieprawidłowości
kłóci się z wymogiem niezależnego wykonywania przez administratora
bezpieczeństwa informacji zadań (m.in. sprawdzeń), wymogiem bezpośredniej
podległości ADO i organizacyjnej odrębności ABI
Art. 36a ust. 7. Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi
jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.
ust. 8. Administrator danych zapewnia środki i organizacyjną odrębność administratora
bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań, o
których mowa w ust. 2.
www.giodo.gov.pl
INNE BŁĘDY POPEŁNIANE PRZY POWOŁANIU
/ZGŁASZANIU ABI
ZGŁOSZENIE POWOŁANIA WIĘCEJ NIŻ JEDNEGO ABI
Wykładnia literalna art. 36a ust. 1 uodo - ustawodawca przewidział możliwość
powołania JEDNEGO administratora bezpieczeństwa informacji oraz jednego do kilku
zastępców administratora bezpieczeństwa informacji.
celem nowelizacji było wzmocnienie pozycji i odpowiedzialności administratora
bezpieczeństwa informacji oraz umiejscowienie ośrodka koordynacji nadzoru
procesów przetwarzania danych osobowych w jednej osobie.
gdy jest jeden ABI nie ma wątpliwości, kto jest odpowiedzialny za prowadzenie
rejestru zbiorów u ADO (w związku ze zwolnieniem zbiorów ADO z rejestracji) i do
kogo GIODO może zwracać się o dokonywanie sprawdzeń.
ZGŁOSZENIE POWOŁANIA ZASTĘPCY ABI
zgodnie z obowiązującymi przepisami zastępca ABI nie podlega obowiązkowi
rejestracji (art. 46b uodo)
www.giodo.gov.pl
REJESTR ABI PROWADZONY PRZEZ GIODO –
ZAWARTOŚĆ INFORMACYJNA REJESTRU
Rejestr zawiera informacje, o których mowa w art. 46b ust. 2 pkt 1 i pkt 2 lit. a i
c u.o.d.o., tj.
Część A. Oznaczenie administratora danych
Nazwa administratora danych i adres jego siedziby albo nazwisko, imię i
adres miejsca zamieszkania administratora danych oraz REGON - jeśli został
nadany.
Część B. Dane osobowe administratora bezpieczeństwa informacji
imię i nazwisko ABI oraz adres do korespondencji, jeżeli jest inny niż adres, o
którym mowa powyżej.
BRAK W JAWNYM REJESTRZE INFORMACJI O DACIE POWOŁANIA ABI
(mimo że taka informacja jest podawana w zgłoszeniu) – od chwili powołania ABI
pełni swą funkcję i wykonuje zadania określone w art. 36 a uodo, m.in. prowadzi
rejestr zbiorów.
www.giodo.gov.pl
WPIS DO REJESTRU
Wpisanie ABI do rejestru następuje na wniosek ADO i traktowane jest
jako czynność materialno-techniczna.
Wyjątek: wpisanie do rejestru ABI w przypadku ponownego
zgłoszenia ABI (po jego wykreśleniu na mocy decyzji GIODO) – wpis
następuje na mocy decyzji GIODO.
www.giodo.gov.pl
ZGŁOSZENIE ODWOŁANIA ABI
Zgłoszenie ODWOŁANIA administratora bezpieczeństwa informacji
powinno zawierać (art. 46b ust . 3)
1)oznaczenie administratora danych i adres jego siedziby lub
miejsca zamieszkania, w tym numer identyfikacyjny rejestru
podmiotów gospodarki narodowej, jeżeli został mu nadany;
2) dane administratora bezpieczeństwa informacji:
a) imię i nazwisko,
b) numer PESEL lub, gdy ten numer nie został nadany, nazwę
i numer dokumentu stwierdzającego tożsamość,
3)datę i przyczynę odwołania.
Wzory zgłoszenia odwołania ABI określone zostały w
rozporządzeniu MAiC z 29 grudnia 2014 r. (Dz.U. 2014, poz. 1934)
www.giodo.gov.pl
ODWOŁANIE ABI A ZWOLNIENIE Z OBOWIĄZKU
ZGŁOSZENIA ZBIORÓW DO REJESTRACJI
Jeżeli ADO chce nadal korzystać ze zwolnienia rejestracyjnego związanego z
powołaniem ABI i zgłoszeniem go do GIODO, to w przypadku odwołania ABI
RÓWNOCZEŚNIE Z ZAWIADOMIENIEM O ODWOŁANIU POWINIEN
POINFORMOWAĆ GIODO O POWOŁANIU INNEJ OSOBY DO
PEŁNIENIA FUNKCJI ABI.
W przeciwnym razie odwołanie ABI skutkuje koniecznością dokonania
zgłoszenia/aktualizacji informacji dotyczących zbiorów danych, w odniesieniu do
których administrator danych był zwolniony z obowiązku rejestracyjnego w
związku z powołaniem ABI.
www.giodo.gov.pl
WYKREŚLENIE ABI
1. Wykreślenie administratora bezpieczeństwa informacji z rejestru
administratorów bezpieczeństwa informacji następuje po powiadomieniu
o jego odwołaniu albo w przypadku jego śmierci.
2. Generalny Inspektor z urzędu wydaje administratorowi danych
DECYZJĘ o wykreśleniu administratora bezpieczeństwa informacji z
rejestru administratorów bezpieczeństwa informacji, jeżeli:
1) administrator bezpieczeństwa informacji nie spełnia warunków określonych w
art. 36a ust. 5 lub 7;
2) administrator bezpieczeństwa informacji nie wykonuje zadań określonych w
art. 36a ust. 2;
3) administrator danych nie powiadomił o odwołaniu administratora
bezpieczeństwa informacji.
www.giodo.gov.pl
PONOWNE ZGŁOSZENIE
W przypadku ponownego zgłoszenia przez ADO do rejestracji
Generalnemu Inspektorowi powołania ABI wykreślonego z rejestru ABI na
podstawie art. 46d ust. 2, Generalny Inspektor, w drodze DECYZJI
administracyjnej:
1.
2.
wpisuje administratora bezpieczeństwa informacji do rejestru
administratorów bezpieczeństwa informacji po stwierdzeniu, że nie
zachodzą przyczyny wykreślenia z rejestru, o których mowa w art. 46d ust.
2 pkt 1 i 2;
odmawia wpisania administratora bezpieczeństwa informacji do rejestru
administratorów bezpieczeństwa informacji, jeżeli nie zostały usunięte
przyczyny wykreślenia z rejestru, o których mowa w art. 46d ust. 2 pkt 1 i 2.
www.giodo.gov.pl
KORZYŚCI Z REJESTRACJI ABI
Fragment uzasadnienia projektu ustawy o ułatwieniu wykonywania działalności
gospodarczej:
„Projektowane zmiany koncentrują się na następujących zagadnieniach:
- poprawie płynności finansowej przedsiębiorców oraz wsparciu inwestycji
- ograniczeniu obowiązków informacyjnych
- społecznej odpowiedzialności biznesu oraz sprawnej administracji”
Społeczna odpowiedzialność:
- oznacza m.in. wpisanie w strategię firmy dbałości o ochronę praw człowieka,
ponieważ jest to etyczne i racjonalne,
- oznacza wolę ochrony m.in. prawa do prywatności klientów wynikającą ze
zrozumienia i docenienia tej wartości,
- podnosi wiarygodność przedsiębiorcy, co pośrednio przekłada się na sukces
przedsiębiorcy i wzmocnienie jego pozycji na rynku.
www.giodo.gov.pl
KORZYŚCI Z REJESTRACJI ABI
- POCZĄTEK WSPÓŁPRACY (ABI, ADO, GIODO)
1. Podmioty danych oraz GIODO uzyskują wiedzę, do jakich ADO stosuje się
zwolnienie z obowiązku zgłoszenia zbioru do rejestracji.
2. Do zarejestrowanych ABI GIODO może zwracać się o dokonywanie sprawdzeń w
zakresie przestrzegania przepisów o ochronie danych osobowych (w ten sposób
ABI i GIODO są współrealizatorami funkcji kontrolnej).
3. GIODO sprawuje kontrolę nad powoływaniem ABI i późniejszym wykonywaniem
przez niego funkcji poprzez weryfikację spełnienia ustawowych wymogów na etapie
rozpatrywania zgłoszenia oraz w postępowaniach w sprawie wykreślenia ABI z
rejestru. To zmusza ADO do powoływania na stanowisko ABI osób spełniających
ustawowe wymogi i zapewnienia im odpowiedniej pozycji pozwalającej na
skuteczne realizowanie zadań.
4. Powołanie ABI na ustawowych warunkach, jego zarejestrowanie oraz prowadzenie
przez niego rejestru zbiorów danych przetwarzanych przez ADO stanowi dobre
przygotowanie ADO do stosowania przepisów rozporządzenia ogólnego (art. 30
rozporządzenia przewiduje obowiązek prowadzenia przez ADO rejestru
podlegających mu czynności przetwarzania danych osobowych).
www.giodo.gov.pl
ZWIĘKSZENIE ILOŚCI ZAREJESTROWANYCH
ABI PO WEJŚCIU W ŻYCIE ROZPORZĄDZENIA
OGÓLNEGO
Do wyznaczenia inspektora ochrony danych osobowych zobowiązane będą:
organy administracji publicznej, z wyjątkiem sądów w ramach
sprawowania przez nie wymiaru sprawiedliwości
administratorzy danych, których działalność wymaga w dużym zakresie
stałego nadzoru osób, których dane dotyczą (np. systemy monitoringu,
stosowanie profilowania)
administratorzy danych, których działalność wiąże się z przetwarzaniem na
dużą skalę danych wrażliwych oraz danych o wyrokach skazujących za
przestępstwach i o przestępstwach
Rozporządzenie przewiduje również możliwość powołania jednego inspektora
ochrony danych przez grupę przedsiębiorców.
Obligatoryjność powołania ABI mogą wprowadzić przepisy krajowe.
www.giodo.gov.pl
PROJEKT ROZPORZĄDZENIA OGÓLNEGO
PRZEWIDUJE OBOWIĄZEK ZGŁOSZENIA DANYCH
KONTAKTOWYCH ABI ORGANOWI NADZORCZEMU
Art. 37 ust. 7
Administrator lub podmiot przetwarzający publikują dane
kontaktowe inspektora ochrony danych i zawiadamiają o nich
organ nadzorczy.
www.giodo.gov.pl
DOSTĘP DO REJESTRU ABI
www.giodo.gov.pl
WYSZUKIWANIE W REJESTRZE ABI
www.giodo.gov.pl
WYSZUKIWANIE W REJESTRZE ABI
www.giodo.gov.pl
WYSZUKIWANIE W REJESTRZE ABI
www.giodo.gov.pl
WYSZUKIWANIE W REJESTRZE ABI
www.giodo.gov.pl
ABI- informator
www.giodo.gov.pl
ABI- informator
www.giodo.gov.pl
DZIĘKUJĘ ZA UWAGĘ!
Generalny Inspektor
Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa
www.giodo.gov.pl
[email protected]