Nowelizacja przepisów wprowadzona na podstawie Ustawy o ułatwieniu wykonywania działalności gospodarczej objęła między innymi ustawę o ochronie danych osobowych z 1997 roku. Dlaczego należy o tym wiedzieć? Ponieważ mimo iż zmiany miały głównie na celu ułatwić wykonywanie działalności gospodarczej, to przedsiębiorców zobowiązano do podjęcia decyzji w określonych zakresach związanych z ochroną danych osobowych w prowadzonej firmie. Jedną z decyzji, jakie musi podjąć przedsiębiorca będący administratorem danych osobowych (a przypomnijmy że jest nim prawie każdy prowadzący działalność), będzie ta w zakresie rejestracji ABI (Administratora Bezpieczeństwa Informacji). Gdzie rejestruje się ABI-ego Kiedy rejestracja ABI jest konieczna?
GIODO prowadzi rejestr ABI
Generalny Inspektor Ochrony Danych Osobowych w dniu 26 stycznia 2015 uruchomił elektroniczny, jawny rejestr ABI. Dostęp ma do niego każdy, gdyż został opublikowany na stronach egiodo.giodo.gov.pl.
Rejestr zawiera dane w zakresie:
imię i nazwisko ABI
adres ADO,
REGON ADO,
nazwę administratora danych osobowych (ADO), przez którego został powołany.
Rejestracja ABI w GIODO odbywa się na podstawie zgłoszenia, którego wzór stanowi załącznik do Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 roku. Podczas rejestracji podawany jest szerszy zakres danych niż ten jaki jest publikowany w jawnym rejestrze na stronach GIODO. Rozszerzone informacje podawane w zgłoszeniu obejmują m.in:
numer PESEL ABI-ego,
numer dowodu tożsamości, w przypadku, gdy brak numeru PESEL,
oświadczenie administratora danych o spełnieniu przez ABI warunków określonych w ustawie.
Kto może zostać ABI?
Ustawa o ochronie danych osobowych (art. 36a ust. 5) stanowi że Administratorem bezpieczeństwa informacji może być osoba, która:
ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
nie była karana za umyślne przestępstwo.
Z uwagi na przepisy ustawy ADO ma prawo zażądać od kandydata na ABi-ego przedłożenia zaświadczenia o niekaralności za przestępstwo umyślne. Należy jednak pamiętać że ADO nie może takich zaświadczeń żądać od kandydatów na inne stanowiska jeżeli żadne przepisy prawa tego nie wymagają.
Rejestracja ABI w firmie!
Administrator danych czyli podmiot, który decyduje o tym dla jakich celów dane są przetwarzane i jakie stosuje się przy ich przetwarzaniu środki zabezpieczeń ma trzy możliwości:
Czy można nie rejestrować ABI?
Odpowiedź na to pytanie brzmi: tak. Można zaniechać rejestracji ABI, ale należy pamiętać o konsekwencjach. Jeżeli administrator danych nie dokona rejestracji nowego czy też dotychczasowego ABI w rejestrze GIODO to obowiązki nałożone przez ustawę na ABI-ego zobowiązany będzie wykonywać sam administrator danych. To administrator danych wówczas ponosi pełną odpowiedzialność za przestrzeganie przepisów o ochronie danych osobowych.
Art. 36a ust 2 ustawy o ochronie danych osobowych Do zadań administratora bezpieczeństwa informacji należy: 1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7. |
Zatem ostateczną decyzję o tym czy rejestracja ABI w firmie będzie dokona czy też nie podejmuje ADO - Administrator Danych Osobowych.
