Jak zarejestrować Administratora Bezpieczeństwa Informacji (ABI)?

Administrator bezpieczeństwa informacji, w skrócie ABI, to osoba fizyczna powołana przez administratora danych osobowych, która - najogólniej - zajmuje się zapewnianiem przestrzegania przepisów o ochronie danych osobowych. Jakie zadania leżą w gestii administratora bezpieczeństwa informacji? Czy należy zgłosić go w rejestrze GIODO? Czy można powołać zastępcę ABI-ego? Wyjaśniamy poniżej.

Administrator bezpieczeństwa informacji (ABI) - zadania

ABI wypełnia w firmie dwa podstawowe zadania - zapewnia przestrzeganie przepisów związanych z ochroną danych osobowych oraz prowadzi rejestr zbiorów danych przetwarzanych przez administratora danych.

Minimalny zakres obowiązków ABI-ego został określony przez ustawodawcę. Przy czym przepisy dopuszczają poszerzenie kompetencji ABI-ego przez administratora danych, pod warunkiem, że nie naruszą one wykonywania podstawowych obowiązków przewidzianych ustawą.

Ważne!

Administratorem bezpieczeństwa informacji może zostać jedynie osoba fizyczna, która:

  • ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;

  • posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;

  • nie była karana za umyślne przestępstwo.

Czy ABI podlega zgłoszeniu do rejestru GIODO?

Jeżeli administrator danych zdecyduje się na powołanie administratora bezpieczeństwa informacji (ABI), ma obowiązek zarejestrować go do GIODO w terminie 30 dni od powołania.

Co ważne ABI, który został powołany przed 1 stycznia 2015 r. (czyli przed wejściem w życie zmian w ustawie) powinien zostać zgłoszony do GIODO do 30 czerwca 2015 r. Za zgłoszenie dotychczasowego ABI po tym terminie GIODO nie nakłada kar. Zatem obecnie można zarejestrować ABI w każdym momencie, z tym że powołany zgodnie z prawem ABI powinien być zarejestrowany w ciągu 30 dni.  

Należy pamiętać, że administrator danych wciąż nie ma obowiązku powoływania ABI-ego.

Ważne!

Administrator bezpieczeństwa informacji może zostać powołany w oparciu o umowę o pracę, umowę zlecenie lub umowę o świadczenie usług.

Jak zgłosić ABI do rejestru GIODO?

Zgłoszenie ABI-ego do GIODO, zgodnie z art. 46 ust. 2 ustawy o ochronie danych osobowych, powinno zawierać:

  • oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;

  • dane administratora bezpieczeństwa informacji:

    • a) imię i nazwisko,

    • b) numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość,

    • c) adres do korespondencji, jeżeli jest inny niż adres administratora danych;

  • datę powołania ABI-ego;

  • oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków określonych w art. 36a ust. 5 i 7 ustawy.

Art. 36a ustawy o ochronie danych osobowych

ust. 5 Administratorem bezpieczeństwa informacji może być osoba, która:

  • ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;

  • posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;

  • nie była karana za umyślne przestępstwo.

ust. 7 Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

GIODO opracował wyszukiwarkę ADO oraz ABI.

Zastępca administratora bezpieczeństwa informacji 

W sytuacji gdy firma posiada kilka oddziałów lub chce odciążyć obecnego administratora bezpieczeństwa informacji, może powołać jego zastępcę. Na podjęcie tego typu kroków zezwala art. 36a ust. 6 ustawy o ochronie danych osobowych.

Zastępca administratora bezpieczeństwa informacji, tak jak sam ABI, musi spełniać wymogi art. 36a ust. 5 ustawy.

Co ważne, ustawa o ochronie danych osobowych nie nakazuje rejestracji zastępców ABI-ego w GIODO.