Partner szkolenia Instytucja administratora bezpieczeństwa informacji przy obecnie obowiązujących przepisach prawa Pytania, odpowiedzi, fakty i mity Piotr Glen Administrator bezpieczeństwa informacji Audytor SZBI wg PN-ISO/IEC 27001 www.wiknet.net.pl
Czy powołanie ABI jest obowiązkowe? Art. 36a. Ust. 1. Ustawy o ochronie danych osobowych (Dz. U. 2015 r. Poz. 2135 ze zm.): Administrator danych może powołać administratora bezpieczeństwa informacji. Powołanie ABI jest więc uprawnieniem, a nie obowiązkiem administratora danych. W przypadku niepowołania ABI, jego zadania wykonuje sam administrator danych (art. 36b u.o.d.o.), z wyłączeniem obowiązku sporządzania sprawozdania i obowiązku prowadzenia wewnętrznego rejestru zbiorów danych przetwarzanych przez administratora danych. Nowelizacja przepisów u.o.d.o. odnoszących się do ABI, nie ma wpływu na dotychczasowe obowiązki administratora danych. Był on i nadal jest odpowiedzialny za właściwe, zgodne z prawem zorganizowanie procesu przetwarzania danych osobowych.
Mity: - Każdy administrator danych jest zobowiązany powołać administratora bezpieczeństwa informacji - Administrator danych, który nie powołał ABI jest zobowiązany zgłosić to do GIODO - GIODO nakłada kary finansowe na ADO, którzy nie powołali ABI
Jakie są korzyści wynikające z powołania i zgłoszenia ABI? Do korzyści wynikających z powołania ABI należą m.in.: - Zwolnienie administratorów danych zwykłych z obowiązku zgłoszenia zbiorów takich danych do rejestracji GIODO. - Zwolnienie z obowiązku wykreślenia lub aktualizacji u GIODO zbiorów zgłoszonych lub zarejestrowanych do 1 stycznia 2015r., z wyłączeniem zbiorów z danymi wrażliwymi. - Uzyskanie przez administratora danych efektywnego wewnętrznego nadzoru nad prawidłową realizacją obowiązków wynikających z przepisów o ochronie danych osobowych. - Zwiększenie autokontroli administratorów danych i podniesienie poziomu bezpieczeństwa danych osobowych. - Wzmocnienie zaufania do administratorów danych ze strony osób, których dane dotyczą oraz innych administratorów danych, a także podmiotów współpracujących z administratorem danych.
Mity: - Administrator danych pozbywa się odpowiedzialności za nadzór nad ochroną danych
Kto może być ABI? Jakie są wymagania wobec kandydatów na ABI? W art. 36a ust. 5 i 7 u.o.d.o. określono, iż funkcję ABI może pełnić osoba, która: - ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych; - posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; - nie była karana za umyślne przestępstwo; - podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.
Mity: - ABI musi być certyfikowany - ABI musi mieć wykształcenie wyższe, prawnicze lub studia podyplomowe z zakresu ochrony danych Fakt: Przesłanka posiadania przez ABI odpowiedniej wiedzy w zakresie ochrony danych osobowych (art. 36a ust. 5 pkt 2 u.o.d.o.) jest oceniana przez administratora danych. Działając we własnym interesie powinien on powołać na to stanowisko osobę, która ma rzeczywistą wiedzę z zakresu ochrony danych. Przepisy u.o.d.o. nie wprowadzają wymogu posiadania przez ABI jakichkolwiek certyfikatów, poświadczeń ukończenia odpowiednich szkoleń itp. Poziom odpowiedniej wiedzy powinien być dostosowany do prowadzonych u administratora danych operacji przetwarzania danych oraz wymogów ich ochrony.
Na czym polega bezpośrednia podległość ABI kierownikowi jednostki organizacyjnej oraz organizacyjna odrębność ABI? Art. 36a. U.o.d.o. Ust. 7. Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Ust. 8. Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań. Ust. 4. Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust. 2.
Czy ASI może być ABI-m? Łączenie funkcji ABI z obowiązkami administratora systemu informatycznego (ASI) jest przedmiotem dyskusji. Należy mieć świadomość, że powierzenie obu tych funkcji jednej osobie może skutkować brakiem nadzoru nad prawidłową realizacją w sferze bezpieczeństwa przetwarzania danych osobowych. Konsolidacja tych funkcji generuje zagrożenia dla bezpieczeństwa przetwarzania danych osobowych, ponieważ w praktyce doprowadza do sytuacji, w której osoba odpowiadająca za bieżące prowadzenie i zabezpieczanie zbiorów danych w systemach informatycznych, jednocześnie sprawuje nadzór nad zgodnością z prawem wykonywanych przez siebie działań. Cytat z https://abi.giodo.gov.pl/pytania-i-odpowiedzi/powolanie-i-status-abi
Mity: - Administratorem bezpieczeństwa informacji musi być Członek Zarządu - ABI-m musi być pracownik jednostki - zewnętrzny ABI musi składać sprawozdanie z poziomu realizacji założeń umowy np. Kierownikowi ds. zamówień publicznych - ABI-m nie może być Prokurent
Czy ADO może powołać siebie na stanowisko ABI? Niedopuszczalne jest powołanie na ABI osób będących kierownikami jednostki organizacyjnej, a więc np. dyrektorów, wójtów, kierowników, ale również członków zarządu spółki czy stowarzyszenia. Niemożliwe jest również powołanie na stanowisko ABI samego siebie przez osoby prowadzące jednoosobową działalność gospodarczą. Powołanie na administratora bezpieczeństwa informacji osoby będącej kierownikiem jednostki organizacyjnej/osoby zarządzającej podmiotem posiadającym status administratora danych osobowych jest błędem, ponieważ prowadzi to do sytuacji, w której administrator danych nadzoruje i kontroluje samego siebie. Cytat z https://abi.giodo.gov.pl/pytania-i-odpowiedzi/powolanie-i-status-abi
Co oznacza możliwość powołania zastępców ABI? Art. 36a ust. 6. u.o.d.o. Administrator danych może powołać zastępców administratora bezpieczeństwa informacji, którzy spełniają warunki określone w ust. 5. Ustawa nie przewiduje możliwości powołania więcej niż jednego ABI. Natomiast z treści powyższego art. wynika możliwość powołania zastępców ABI (jednego lub więcej). Bez powołania ABI niemożliwe jest powoływanie jego zastępców. Zastępcy ABI nie podlegają zgłoszeniu GIODO do rejestracji.
Czy ABI musi składać regularne sprawozdania do GIODO? Art. 36a ust. 2 pkt. 1 lit. a : Do zadań administratora bezpieczeństwa informacji należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych; Art. 19b. 1. Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji wpisanego do rejestru, o którym mowa w art. 46c, o dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia. 2. Po dokonaniu sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, administrator bezpieczeństwa informacji, za pośrednictwem administratora danych, przedstawia Generalnemu Inspektorowi sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a. 3. Dokonanie przez administratora bezpieczeństwa informacji sprawdzenia w przypadku, o którym mowa w ust. 1, nie wyłącza prawa Generalnego Inspektora do przeprowadzenia kontroli, o której mowa w art. 12 pkt 1.
Mity: - Każdy ADO jest zobowiązany raz na rok (lub raz na kwartał) przesłać odpowiednie sprawozdanie do GIODO; - GIODO może zlecić sprawdzenie u ADO bez powołanego ABI; - ABI musi donosić na ADO do GIODO; - GIODO rękami ABI będzie dokonywać kontroli
Rozporządzenia wykonawcze do u.o.d.o. ROZPORZĄDZENIE MINISTRA ADMINISTRACJI I CYFRYZACJI z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji. ROZPORZĄDZENIE MINISTRA ADMINISTRACJI I CYFRYZACJI z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych Realizują je powołani, zgłoszeni do GIODO ABI.
Wiele innych zadań ABI do omówienia - Tryb i sposób sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowania sprawozdania (plany sprawdzeń, dokumentowanie czynności, sporządzanie sprawozdań) - Sposób prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych, a także wykazu zbiorów. - Opracowanie i aktualizowanie dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. - Nowe obowiązki administratorów danych i administratorów bezpieczeństwa informacji (a może inspektorów bezpieczeństwa informacji/dpo) w świetle rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych.
DZIĘKUJĘ ZA UWAGĘ Piotr Glen Konsultant ds. ochrony danych osobowych Administrator Bezpieczeństwa Informacji Audytor SZBI wg PN-ISO/IEC 27001 tel.: 501 639 692 e-mail: piotr.glen@wiknet.net.pl www.wiknet.net.pl Zapraszam na: https://odo.wip.pl/
Polecamy OCHRONA DANYCH OSOBOWYCH To kompleksowy miesięcznik poruszający aspekty: prawnicze, skoncentrowane na nowych technologiach, narzędziowe ukierunkowane na praktyczną pomoc dla ADO, ABI oraz ASI. Sprawdź atrakcyjne warunki prenumeraty na www.odo.wip.pl