Administratora Bezpieczeństwa Informacji (ABI) nie trzeba powołać, lecz jest taka możliwość.
Administrator Danych Osobowych (ADO), „właściciel danych” może podjąć jedną z dwóch decyzji:
- Powołać ABI (w razie potrzeby jego zastępców)
Jeżeli Organizacja wybierze tę drogę, to musi zapewnić środki i organizacyjną odrębność ABI, co jest niezbędne do niezależnego wykonywania przypisanych mu zadań. Można powierzyć ABI realizowanie innych obowiązków, jedynie w przypadku gdy nie naruszy to prawidłowego wykonywania jego podstawowych obowiązków. Osoba ta może być zatrudniona w Organizacji lub funkcja ABI może być zlecana na zewnątrz.
Zgodnie z wymaganiami ustawy ABI:
- musi posiadać pełną zdolność do czynności prawnych
- nie może być karany za umyślne przestępstwo
- ma podlegać bezpośrednio pod kierownictwo
- musi posiadać odpowiednią wiedzę z zakresu ochrony danych osobowych.
Do jego obowiązków należą m.in.:
- zapewnienie przestrzegania przepisów o ochronie danych osobowych
- prowadzenie rejestru zbiorów danych przetwarzanych przez ADO;
- nadzór nad opracowaniem, wdrożeniem i stosowaniem dokumentacji wymaganej ustawą;
- zapewnienie szkoleń dla personelu z zakresu ODO;
- przygotowanie sprawozdań dla ADO;
- wykonywanie innych obowiązków – o ile nie naruszają one prawidłowego wykonywania wyżej wymienionych zadań.
Rejestracja w GIODO
Zgodnie z ustawą należy zgłosić powołanie ABI do GIODO, który prowadzi jawny rejestr administratorów bezpieczeństwa informacji, zawierający : oznaczenie ADO i adres siedziby (w tym REGON, jeżeli został mu nadany) oraz dane ABI – imię i nazwisko, adres do korespondencji. Wzór zgłoszenia powołania i odwołania ABI określa Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10.12.2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji. W przypadku zmian objętych zgłoszeniem również należy je zgłosić do GIODO (np. zmiana adresu, numeru dokumentu).
Gdy Organizacja posiada w swojej strukturze zarejestrowanego ABI, ma obowiązek zgłaszać zbiory danych obejmujące jedynie dane wrażliwe.
Powołując ABI, Organizacja przenosi na niego większość ustawowych obowiązków związanych z ochroną danych osobowych.
- Nie powołać ABI
Jeżeli ADO nie zdecyduje się powołać ABI, to sam jest zobowiązany do spełnienia wymagań ustawy, w tym opracowania i skutecznego wdrożenie dokumentacji (polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym, upoważnienia do przetwarzania danych osobowych, odwołania upoważnień, ewidencji osób upoważnionych do przetwarzania danych i inne).
Rejestracja w GIODO
W tym rozwiązaniu ADO ma obowiązek zgłosić do rejestracji GIODO wszystkie zbiory danych, które obejmują:
- zwykłe dane osobowe – z wyjątkiem zbiorów ustawowo zwolnionych z rejestracji (art. 43 ust. 1 pkt 1-12 ustawy o ochronie danych osobowych);
- dane wrażliwe
Powołanie ABI ma wiele korzyści, zwłaszcza dla ADO. Rozwiązanie to sprawdzi się przede wszystkim w dużych organizacjach, prowadzących kilka zbiorów danych osobowych, które często się zmieniają. Wtedy nie trzeba zgłaszać do GIODO zbiorów danych zwykłych przetwarzanych w systemach informatycznych.
Jeżeli są Państwo zainteresowani zleceniem na zewnątrz funkcji Administratora Bezpieczeństwa Informacji profesjonalistom, prosimy o kontakt telefoniczny: tel. 12 346 54 73, kom. 509 628 232 lub wypełnienie formularza kontaktowego.