Zgłoszenie ABI do GIODO

Zgłoszenie ABI do GIODO – warto?

ochrona danych osobowychZ początkiem roku 2015 weszły w życie ważne zmiany w ustawie o ochronie danych osobowych dotyczące m.in. instytucji administratora bezpieczeństwa informacji (ABI). Przed nowelizacją administrator danych miał obowiązek wyznaczenia ABI, chyba, że był osobą fizyczną prowadzącą działalność gospodarczą – wtedy mógł sam wykonywać jego czynności. Obecnie obowiązujące przepisy dają administratorom danych prawo wyboru – sami decydują, czy chcą powołać ABI czy nie. Czy zatem posiadanie ABI leży w interesie administratora danych?

Zmieniona ustawa nałożyła na administratorów bezpieczeństwa informacji szereg nowych obowiązków. Obecnie do zadań administratora bezpieczeństwa informacji należy:

  1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
      • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
      • nadzorowanie opracowania i aktualizowania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, oraz przestrzegania zasad w nich określonych,
      • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych
  2. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

W tym miejscu należy podkreślić, że w przypadku, gdy ABI nie zostanie powołany, wyżej wymienione obowiązki spoczywać będą na administratorze danych (z wyjątkiem sporządzania sprawozdania i prowadzenia rejestru zbiorów danych). W związku z tym posiadanie wykwalifikowanego ABI może okazać się bardzo pomocne.

Niewątpliwą korzyścią płynącą dla administratorów danych z faktu powołania ABI (jak również swoistą zachętą do jego powołania) jest brak obowiązku zgłaszania zbiorów danych osobowych do GIODO (z wyjątkiem zbiorów danych zawierających dane wrażliwe). Dzięki temu administratorzy danych, którzy powołają ABI i zgłoszą go do rejestracji GIODO nie będą musieli brać udziału jako strony w (często długotrwałym) postępowaniu przed GIODO dotyczącym rejestracji zbiorów zawierających dane zwykłe. Dotyczy to zarówno zgłaszania nowych jak i aktualizacji zbiorów już zgłoszonych.

Ponadto zgodnie z nowymi przepisami Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji o dokonanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Dla administratorów danych oznacza to, że w niektórych przypadkach będą mogli uniknąć stresu związanego z obecnością inspektorów z biura GIODO w swojej firmie – zamiast nich kontrolę przeprowadzić wtedy ABI.

Jak zauważył Włodzimierz Dola (aplikant radcowski, ekspert Auraco sp. z o.o.), w związku z tym, że ABI powinien dbać o przestrzeganie zasad ochrony danych osobowych może on podlegać odpowiedzialności karnej w przypadku wycieku danych. Zatem w wypadku gdy administrator danych nie powoła ABI, ww. odpowiedzialność może grozić np. zarządowi lub prezesowi spółki.

Kto może być administratorem bezpieczeństwa informacji ?

Zgodnie z nowymi przepisami administratorem bezpieczeństwa informacji może być osoba, która       ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, posiada odpowiednią wiedzę w zakresie ochrony danych osobowych i nie była karana za umyślne przestępstwo. Niestety nowelizacja nie objęła regulacją stanowiska GIODO, potwierdzonego wyrokiem NSA z dnia 21 lutego 2014 r. (I OSK 2445/12), zgodnie z którym

wykonywanie przez administratora danych czynności administratora bezpieczeństwa informacji możliwe jest jedynie wówczas, gdy administrator danych jest osobą fizyczną. Oczywiście mimo braku bezpośredniego przepisu, stanowisko to pozostaje aktualne.

Odnosząc się do wymogu posiadania odpowiedniej wiedzy przypomnieć należy, że GIODO nie wydaje żadnych certyfikatów potwierdzających znajomość przepisów ochrony danych osobowych. Przepisy nie mówią też nic o obowiązku posiadania konkretnego wykształcenia. Dlatego też administrator danych musi sam ocenić, czy kandydat na ABI posiada odpowiednią wiedzę. Jednak z uwagi na dużą odpowiedzialność administratorów bezpieczeństwa informacji oraz na to, że nieposiadanie odpowiedniej wiedzy może być przyczyną wydania decyzji o wykreśleniu ABI z rejestru, warto zadbać, aby osoba taka posiadała rzeczywiście wysokie kwalifikacje.

Nowa regulacja nakłada na administratorów danych obowiązek zapewnienia środków i organizacyjnej odrębność administratora bezpieczeństwa informacji niezbędnych do niezależnego wykonywania przez niego zadań. Może wiązać się to z dużymi nakładami finansowymi związanymi ze stworzeniem nowego stanowiska pracy. Warto zatem rozważyć, czy nie zlecić pełnienia funkcji ABI wyspecjalizowanej firmie zewnętrznej. Mowa tu o tzw. outsourcingu funkcji ABI. Rozwiązanie takie jest prawnie dopuszczalne. Należy jednak pamiętać, by w umowie z firmą zewnętrzna były wskazane dane konkretnej osoby fizycznej, która będzie pełniła obowiązki ABI. Outsourcing funkcji ABI może zyskiwać na popularności ze względu na to, że w wielu przypadkach okaże się rozwiązaniem tańszym niż tworzenie nowego stanowiska pracy.

Jak zgłosić powołanie ABI Generalnemu Inspektorowi Ochrony Danych Osobowych ?

Administrator danych zobowiązany jest zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania. Zgłoszenia takiego można dokonać jedynie poprzez wypełnienie formularza stanowiącego załącznik do rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. poz. 1934). Niestety obecnie istnieje jedynie możliwość dokonania zgłoszenia w sposób tradycyjny, poprzez wypełnienie papierowego formularza i wysłanie go lub złożenie osobiście w biurze GIODO. W przyszłości ma być uruchomiona możliwość przesyłania zgłoszenia ABI elektronicznie przy użyciu przy użyciu platformy ePuap. Formularz papierowy można znaleźć pod adresem http://www.giodo.gov.pl/144/id_art/8307/j/pl/.

Należy pamiętać, że zgłoszenie powołania ABI powinno zostać podpisane przez administratora danych (osoba lub osoby upoważnione zgodnie ze sposobem reprezentacji), a nie przez administratora bezpieczeństwa informacji. W przypadku, gdy w imieniu administratora danych będzie działał pełnomocnik należy pamiętać o załączeniu stosownego pełnomocnictwa wraz z dowodem uiszczenia 17 zł opłaty skarbowej (jeśli taka będzie należna).  Z uzyskanych przez nas informacji wynika, że najczęstszym uchybieniem przy zgłaszaniu powołania ABI jest, poza zgłoszeniem nie na urzędowym formularzu, podpisanie wniosku przez osoby nieupoważnione do reprezentacji administratora danych.

Ważna informacja – formularz zgłoszenia powołania ABI składamy bez załączników (z wyjątkiem wyżej opisanej sytuacji działania przez pełnomocnika). Nie należy załączać żadnych dokumentów potwierdzających oświadczenie administratora danych o spełnieniu przez ABI warunków określonych w ustawie (np. zaświadczenia o niekaralności).

Znowelizowana ustawa daje administratorowi danych prawo powołania zastępców administratora bezpieczeństwa informacji. Jednak powołania zastępców ABI nie należy zgłaszać do rejestracji GIODO, ponieważ przepisy nie przewidują takiej możliwości.