Już w styczniu 2015 roku ruszył rejestr ABI, czyli Administratorów Bezpieczeństwa Informacji, prowadzony przez GIODO, czyli Generalnego Inspektora Danych Osobowych. Czy i jak prawidłowo zgłosić powołanie ABI do Rejestracji GIODO?
Powołanie ABI w firmie
Wielu Administratorów Danych Osobowych (tzw. ADO) zastanawia się, jak powinna wyglądać procedura obejmująca powołanie ABI w firmie i czy jest ona w ogóle konieczna. Odpowiedź możemy znaleźć w ustawie o ochronie danych osobowych (dalej: uodo).
Czy powołanie ABI jest obowiązkowe?
W artykule 36a ust. 1 uodo ustawodawca zapisał:
“Administrator danych może powołać administratora bezpieczeństwa informacji”.
Użycie słowa “może” wskazuje bezpośrednio na fakultatywność wyboru. Za brak powołania ABI nie grożą zatem ADO żadne sankcje karne ani grzywny. Decyzję w tym obszarze pozwolono podjąć samemu administratorowi, który musi ocenić jakie zalety i wady ma powołanie ABI-ego.
Uwaga! ABI-m nie może być kierownik jednostki organizacyjnej (np. prezes lub członek zarządu spółki z ograniczoną odpowiedzialnością, czy spółki akcyjnej) jest on bowiem ADO, który zgodnie z art. 36b ustawy wypełnia wówczas obowiązki ABI bez konieczności formalnego powoływania. |
Powołanie ABI - formalności
Jeżeli administrator danych zdecyduje się już powołać administratora bezpieczeństwa informacji, powinien wypełnić formalne obowiązki. Wspomniany art. 36a ust.1 odpowiada na pytanie, kto powołuje ABI-ego - będzie to ADO. Pozostało więc określić wymogi formalne tego wyboru.
Ważne! Funkcję administratora bezpieczeństwa informacji może pełnić wyłącznie osoba fizyczna. |
Ustawodawca nie podaje wskazówek, jak powołać administratora bezpieczeństwa w firmie. ADO ma zatem do wyboru:
- uregulowanie funkcji postanowieniem umownym (uzupełniającym, bądź będącym niezależną umową);
- oświadczeniem woli zwykle w formie uchwały lub zarządzenia.
Nie istnieje nakaz, aby powołanie ABI nastąpiło na podstawie stosunku pracy, czyli etatu. Zatem uznaje się, że może to być dowolna umowa, a w zasadzie, jeśli ABI jest pracownikiem, oświadczenie woli wydane w formie zarządzenia lub uchwały.
Pod umową lub wspomnianym zarządzeniem powinny znaleźć się podpisy ADO, czyli w przypadku:
- jednoosobowych działalności gospodarczych - podpis przedsiębiorcy;
- spółek - podpis wspólników lub zarządu.
Ważne! Zgodnie z ustawą o ochronie danych osobowych ADO (administrator danych osobowych) to organ, jednostka organizacyjna, podmiot lub osoba prowadząca działalność gospodarczą, decydująca o celach i środkach przetwarzania danych. |
Powołanie ABI - dokonaj rejestracji w GIODO
Jeżeli ADO powołał ABI-ego, musi mieć na uwadze obowiązek rejestracyjny wynikający z art. 46b uodo.
Art. 46b ust. 1 uodo Administrator danych jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania. |
Jaki jest termin na rejestrację ABI w GIODO?
Zgodnie z przytoczonym przepisem ustawy termin na rejestrację ABI to 30 dni, licząc od daty powołania. Powołanie ABI jest zatem dobrowolne, ale jeśli administrator danych zdecyduje się go powołać, ma ustawowy obowiązek jego rejestracji w GIODO.
Ważne! Rejestracja ABI jest bezpłatna. Opłacie skarbowej podlega jej potwierdzenie oraz udzielenie ewentualnego pełnomocnictwa. |
Rejestrujesz ABI - użyj ustawowych wzorów!
Aby prawidłowo dokonać rejestracji ABI w GIODO należy przede wszystkim:
- złożyć zgłoszenie na formularzach, które stanowią załącznik do Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014;
- skontrolować, czy w zgłoszeniu rejestracyjnym ABI zostały zawarte wszystkie informacje, o których mowa w art. 46b ust. 2 uodo;
Art. 46b ust 2 uodo Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji powinno zawierać: 1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany; 2) dane administratora bezpieczeństwa informacji: a) imię i nazwisko, b) numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość, c) adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 1; 3) datę powołania; 4) oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków określonych w art. 36a ust. 5 i 7. |
- podpisać formularz przez osobę/osoby upoważnione do reprezentowania administratora danych.
Ważne! Obecnie nie jest możliwa elektroniczna rejestracja ABI w GIODO. Skan zgłoszenia również nie może być podstawą do rejestracji! |
Potwierdzenie rejestracji ABI w rejestrze GIODO
Zgodnie z uodo, administrator danych lub administrator bezpieczeństwa informacji może zażądać od Generalnego Inspektora wydania zaświadczenia o zarejestrowaniu administratora bezpieczeństwa informacji. Wydanie takiego potwierdzenia wymaga wniesienia pisemnego żądania oraz uiszczenia opłaty skarbowej w wysokości 17,00 zł na konto Urzędu m. st. Warszawy Dzielnica Śródmieście z adnotacją GIODO.