iSecure logo
Blog

2015 – rok nowych zadań ABI

Kategorie

Choć przełom roku obfitował w duże zamieszanie związane z nowelizacją przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zmiany obowiązujące od 1 stycznia br. to ciągle aktualny temat. Duży blok zagadnień poświęcono Administratorom Bezpieczeństwa Informacji i nie ulega wątpliwości, że wymagania stawiane ABI po zmianie przepisów stanowią przejaw wzmocnienia jego roli.

ABI z misją do spełnienia

Kluczowa nowość dotycząca każdego ABI to obowiązki, które zostały wprost określone w ustawie o ochronie danych osobowych. Od 1 stycznia 2015 r. osoba pełniąca funkcję ABI jest odpowiedzialna za zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie tych danych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  • nadzorowanie opracowania i aktualizowania polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz przestrzegania zasad określonych w tych dokumentach,
  •  zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie tych danych.

Ciekawą zmianą jest niesformalizowany dotąd obowiązek sprawozdawczości. Ważne jest,
że przeprowadzenie sprawdzenia może odbyć się nie tylko na rzecz administratora danych (np. w formie audytu wewnętrznego), ale także na skutek zwrócenia się GIODO do ABI o dokonanie takiego sprawdzenia. W tym pierwszym przypadku ustawodawca wymaga od ABI przygotowania planu sprawdzeń. W praktyce sprowadza się to do tego, że kwestie takie jak przedmiot, zakres, termin przeprowadzenia sprawdzeń oraz sposób ich dokumentowania muszą być z góry przemyślane i konsekwentnie realizowane przez ABI. Z kolei każde sprawdzenie, czy to dokonywane dla administratora danych (planowo lub doraźnie), czy na skutek zwrócenia się o jego dokonanie przez GIODO, kończy się opracowaniem sprawozdania. Zawierać ma ono m. in wykaz czynności podjętych przez ABI w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach, czy planowane lub podjęte działania przywracające stan zgodny z prawem, w przypadku zauważenia naruszeń w toku sprawdzenia. Jeszcze zatem w trakcie lub przed sprawdzeniem ABI będzie musiał się dokładnie zastanowić, jak wykonywać swoje zadanie i osiągnąć zamierzony efekt końcowy (czyli sprawozdanie), zgodnie z oczekiwaniami ustawodawcy.
Do kompletu nowych zadań ABI zaliczyć należy także prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych, za wyjątkiem zbiorów które podlegają ustawowemu zwolnieniu z obowiązku zgłoszenia do rejestracji (np. zbiory danych pracowników, danych kontaktowych, zbiory, które nie są prowadzone z wykorzystaniem systemów informatycznych,).
Na tym jednak nie koniec, ponieważ sięgając do ustawy o ochronie danych osobowych przekonamy się, że nic nie stoi na przeszkodzie, by ABI miał wyznaczone także inne czynności. Administrator danych może bowiem powierzyć Administratorowi Bezpieczeństwa Informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania ustawowo określonych zadań.

ABI – wielki nieobecny?

Od początku tego roku powołanie ABI to możliwość dla administratora danych, a nie obowiązek. Należy jednak pamiętać, że jeżeli zabraknie ABI w organizacji, wszystkie wyżej wskazane zadania, przypisane ABI na mocy znowelizowanych przepisów (za wyjątkiem opracowania sprawozdania po sprawdzeniu i prowadzenia jawnego rejestru zbiorów), zostaną automatycznie przeniesione na administratora danych, odpowiedzialnego odtąd za ich wykonanie. Idąc dalej, brak powołania ABI nie wyłącza stosowania przepisów ustawy o ochronie danych osobowych, więc ostatecznie i tak u administratora danych musiałaby być co najmniej jedna osoba zaznajomiona dostatecznie z tematyką ochrony danych osobowych i kompetentna do sprawowania pieczy nad systemem ochrony danych osobowych. Pytanie więc, czy warto rezygnować z obecności ABI?

W praktyce powołanie ABI może się wiązać z określonymi korzyściami, jak np. zwolnienie
z obowiązku rejestracji zbiorów danych osobowych, które temu obowiązkowi podlegają
(za wyjątkiem zbiorów zawierających dane wrażliwe), czy zminimalizowanie ryzyka kontroli
przez inspektorów GIODO na rzecz skorzystania przez organ z uprawnienia zwrócenia się do ABI o przeprowadzenie sprawdzenia (wówczas sprawdzenie wykonywane będzie przez ABI). Posiadając ABI mamy także niejako gwarancję scentralizowanego systemu kontroli nad systemem ochrony danych osobowych. Do instytucji, jako administratorów danych, należy więc podjęcie decyzji, czy skorzystać z uprawnienia, jakim jest powołanie ABI i czy osobę do pełnienia tej funkcji wyznaczyć spośród kadry wewnętrznej, czy może zewnętrznych specjalistów.

Podobne wpisy:

Bądź wiarygodny z iSecure

Aby prowadzić sklep internetowy, który będzie zgodny z obowiązującym prawem, należy zwrócić uwagę na całkiem sporą ilość kruczków prawnych, z którymi niestety musi zmierzyć się każdy nowy przedsiębiorca. Ogólnie przyjętą zasadą jest precyzyjnie przygotowany przez właściciela takiego sklepu regulaminu świadczenia usług, który w wirtualnym świecie stanowi umowę jaka łączy sprzedającego z kupującym. Szczegółowe regulacje w tym zakresie można znaleźć w ustawie o ochronie niektórych praw konsumentów oraz o odpowiedzialności za  szkodę wyrządzoną przez produkt niebezpieczny.

O przechowywaniu danych w chmurze…

O przechowywaniu danych w chmurze…

Chmura to doskonałe miejsce na przechowywanie danych, jednak nie jest to rozwiązanie dostępne dla wszystkich. Najczęściej ze względu na nieopłacalność usługi, której koszty mogą okazać się zbyt duże dla małych czy średnich przedsiębiorstw. Jedną z najczęściej stosowanych metod zabezpieczenia danych jest nadal wykonywanie kopii zapasowych na nośniki zewnętrzne, które zwolennicy chmury krytykują i uznają za nienowoczesne i niepostępowe.

Wspomnienia ze Spodka 2.0

Wspomnienia ze Spodka 2.0

Co prawda Spodek 2.0 w swej 10 odsłonie już za nami, niemniej warto zapoznać się z dwoma relacjami z tej imprezy. Pierwsza z nich dostępna jest na stronach mmsilesia.pl, druga zaś na seoparty.net. Do obejrzenia są również zdjęcia: tutaj i tutaj.

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki