Nareszcie wiemy czym zajmuje się administrator bezpieczeństwa informacji

/appFiles/site_102/images/autor/MZCdmXqDKryvpJ2.jpeg

Autor: Maciej Łokaj

Dodano: 29 stycznia 2015

Nareszcie wiemy czym zajmuje się administrator bezpieczeństwa informacji

Zgodnie z art. 36 ustawy z dnia 27 sierpnia 1997 o ochronie danych osobowych, w brzmieniu obowiązującym do dnia 31 grudnia 2014 roku, administrator danych miał prawo wyznaczyć administratora bezpieczeństwa informacji, dalej ABI, którego zadaniem był ogólny nadzór nad przestrzeganiem zasad ochrony przetwarzania danych osobowych w konkretnej jednostce organizacyjnej. W odniesieniu do podmiotów leczniczych, w praktyce, powołanie ABI było szczególnie istotne w dużych placówkach medycznych. W ten sposób, kierownik takiej placówki, będący administratorem danych, przekazywał konieczną część swoich uprawnień ABI, co pozwalało mu na skupienie uwagi na innych obowiązkach. Niestety, przepisy dotyczące ABI był niezwykle skąpe. Praktycznie, poza wspomnianym art. 36 ust. 3 Ustawy nie istniały jakiekolwiek regulacje dotyczące zasad działania ABI, a w szczególności jego kompetencji. Fakt ten stanowił poważny problem, zwłaszcza już na etapie powoływania ABI, gdzie pojawiała się masa pytań, na które próżno było szukać odpowiedzi w przepisach.

Sytuacja ta, jednak, uległa znaczącej zmianie z dniem 1 stycznia 2015 roku, kiedy weszła w życie ostatnia nowelizacja ustawy o ochronie danych osobowych. W ramach wspomnianej nowelizacji, ustawodawca poświęcił sporo uwagi funkcjonowaniu ABI. Po pierwsze, w dodanym art. 36a i jego ust. 5 wskazano, kto może być ABI. Zgodnie z tą regulacją, ABI może być osoba, która:

  1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,

  2. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,

  3. nie była karana za umyślne przestępstwo,

  1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

  • nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposoby przetwarzania danych i środki zapewniające ich ochronę, oraz przestrzegania zasad w niej określonych,

  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,

  1. prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych,

Powyższe, jednak, nie wyklucza możliwości powierzenia ABI przez administratora danych innych obowiązków, o ile nie będą one kolidowały z tymi wymienionymi powyżej, albowiem mają one kluczowy charakter. Zgodnie z nowymi regulacjami, administrator danych może powołać zastępców ABI. Wątpliwości rozwiane zostały, również, w zakresie podległości służbowej ABI, albowiem jak wynika z art. 36a ust. 7 ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Ustawodawca wprowadził też bardzo ciekawe i praktyczne rozwiązanie w zakresie ewentualnych kontroli prowadzonych w ramach danej jednostki organizacyjnej przez GIODO. Zgodnie, bowiem, z kolejnym nowym przepisem, art. 19b Ustawy, GIODO może zwrócić się do ABI o podjęcie czynności sprawdzających w zakresie przestrzegania w konkretnej placówce przepisów dotyczących ochrony danych osobowych. Po dokonanym sprawdzeniu ABI będzie przygotowywał sprawozdanie, które za pośrednictwem administratora danych, trafi do GIODO. Na tej podstawie, GIODO będzie podejmował decyzję, czy pomimo sprawozdania rozpoczyna kontrolę, czy też nie, albowiem nawet skorzystanie z pomocy ABI w żadnym wypadku nie wyłącza uprawnień kontrolnych GIODO.

W mojej ocenie, wprowadzone do ustawy nowe rozwiązania dotyczące ABI, stanowią krok w dobrym kierunku. Nie należy, jednak, zapominać o obowiązkach, które, od 1 stycznia 2015 roku, nałożył ustawodawca na jednostki, które będą powoływać ABI. Obecnie, każda czynność związana z powołaniem lub odwołaniem ABI musi zostać zgłoszona do GIODO, który prowadzi jawny rejestr ABI. Administrator danych ma każdorazowo 30 dni od dnia powołania lub odwołania ABI, na jego zgłoszenie do rejestru. Dodatkowo, każda zmiana informacji dotycząca zarejestrowanego już ABI, także, musi być zgłaszana w terminie 14 dni od zaistnienia zmiany. Na te regulacje zwracam szczególną uwagę czytelnikom, którzy już posiadają w ramach swoich placówek medycznych osobę funkcjonującą na stanowisku ABI. W odniesieniu do takich podmiotów, ustawodawca wprowadził okres przejściowy na dostosowanie się do nowych regulacji i zgłoszenie ABI do rejestru. Okres ten kończy się z dniem 30 czerwca 2015 roku.

Autor: Maciej Łokaj

Nie masz jeszcze konta?

Zamów pełny dostęp do portalu


SPRAWDŹ OFERTĘ

Chcesz przetestować nasze usługi?

Załóż konto testowe na 24 godziny


ZAŁÓŻ KONTO TESTOWE NA 24 GODZINY

Pełny dostęp do portalu to:

  • Aktualność tematów
  • Szeroki zasób informacji eksperckich
  • Porady ekspertów za pośrednictwem e-maila
  • Gotowe rozwiązania najistotniejszych problemów
Sprawdź »