Z ABI czy bez ABI? Jutro ważny termin dla niektórych ADO...

Rafał Cisek, Nowe Media 29-06-2015, 12:23

Od 1 stycznia 2015 r. weszła nowelizacja ustawy o ochronie danych osobowych. Zgodnie z nią 30 czerwca 2015 r. jest ostatecznym terminem decyzji dla ADO (Administrator Danych Osobowych), czy powoływać ABI (Administrator Bezpieczeństwa Informacji), czy nie, w tych organizacjach, które przed nowelizacją miały powołanego ABI. W braku decyzji do jutra dotychczasowi ABI przestaną nimi być. Chodzi o decyzję co do wybrania modelu przetwarzania danych osobowych - z ABI czy bez.

Oczywiście, w związku z nowelizacją i jutrzejszą datą aktywowała się mocna spamerka co do komercyjnych usług (szkoleń, audytów, etc.) w zakresie ustawy o ochronie danych osobowych, funkcji administratora bezpieczeństwa informacji i wszelkich aspektów związanych z przetwarzaniem danych osobowych (oczywiście trzeba zgłosić zbiory danych osobowych, bo inaczej będzie źle, a komercyjne firmy za odpowiednią opłatą chętnie ci pomogą).

Alerty są w tonie „musisz się przeszkolić, jak chcesz być ABI”. No i że jutrzejsza data to w ogóle koniec świata, że do jutra trzeba zgłosić zbiory danych osobowych, a o szczegółach dowiesz się najlepiej na płatnym szkoleniu (lub powinieneś zgłosić audyt, lub dać odpowiednie zlecenie „specjalistom”). Nie mówiąc już o karach finansowych rzędu 200 tys. zł za niezgłoszenie baz danych do jutra.

W związku z tym pojawiły się nawet ważne informacje na stronie GIODO celem rozwiązania wątpliwości. Oburzyło się też w związku z rozpowszechnianiem nieprawdziwych informacji w spamie m.in. Stowarzyszenie Administratorów Bezpieczeństwa Informacji, wydając swój komunikat. Ich uwagi są w dużej mierze słuszne. Jednak nie można też zupełnie bagatelizować jutrzejszej daty, o czym słusznie zauważają specjaliści od prawa ochrony danych osobowych, tacy jak np. mój kolega mec. Paweł Litwiński.

Słusznie on bowiem zauważył m.in. na Facebooku, że data jutrzejsza jest ważna dla świadomego wyboru modelu przetwarzania danych w przedsiębiorstwie i kontroli nad nim.

Zatem chodzi o to, czy jeżeli zgłosiliśmy zbiory do rejestracji przed 1 stycznia 2015 r., to czy po 30 czerwca 2015 r. będziemy dalej przetwarzać dane osobowe z ABI, czy bez. I bez aktywnego działania ze strony administratora danych osobowych (ADO) przejdziemy w model bez ABI, bo dotychczasowy ABI (powołany w reżimie sprzed nowelizacji ustawy o ochronie danych osobowych, a zatem przed 1 stycznia 2015 r.) przestanie nim być (o ile nie dokonamy stosownego zgłoszenia).

Podstawa prawna - art. 35 ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U.2014.1662 z dnia 27 listopada 2014 r.):

Art. 35. Administrator bezpieczeństwa informacji wyznaczony na podstawie art. 36 ust. 3 ustawy zmienianej w art. 9, w brzmieniu dotychczasowym, pełni funkcję administratora bezpieczeństwa informacji w rozumieniu art. 36a ust. 1 ustawy zmienianej w art. 9, w brzmieniu nadanym niniejszą ustawą, do czasu zgłoszenia go do rejestru, o którym mowa w art. 46c ustawy zmienianej w art. 9, w brzmieniu nadanym niniejszą ustawą, nie dłużej jednak niż do dnia 30 czerwca 2015 r.

Oczywiście ustawa zmieniana w art. 9 to ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182).

We wcześniejszym modelu zgłaszania zbiorów danych osobowych do GIODO (Generalny Inspektor Ochrony Danych Osobowych) ABI był w zasadzie obowiązkowy, jednak nie zgłaszało się go do GIODO, a jedynie działał on niejako wyłącznie wewnątrz organizacji i np. jego dane osobowe widniały tylko w wewnętrznej dokumentacji firmy wymaganej przez GIODO (chodzi np. o politykę bezpieczeństwa, która określała m.in. zakres obowiązków ABI oraz instrukcję zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych)

Obecnie można nie zgłaszać zbiorów danych osobowych do GIODO, a zamiast tego zgłosić do GIODO ABI – do specjalnego rejestru („ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji”). Dzięki temu nie będziemy musieli zgłaszać każdego nowego zbioru do GIODO czy aktualizować zgłoszeń istniejących zbiorów.

Nowelizacja bowiem niejako scedowała kompetencje GIODO „w dół” na wyznaczonego ABI – jeżeli się go oczywiście powoła. Zatem ABI staje się takim firmowym „małym GIODO” i jego rola staje się zdecydowanie bardziej konkretna, niż było w modelu przed nowelizacją, kiedy w zasadzie kompetencje ABI były nie do końca jasne, a odpowiedzialność za przetwarzanie danych osobowych i kontrolę i tak, tak naprawdę, spoczywała w zasadzie wyłącznie na ADO.

Rafał CisekTeraz ABI to taki „rozproszony” firmowy GIODO. Co daje zarówno pewne przywileje i elastyczność, jak i sporą odpowiedzialność, która już spoczywa na ABI, jeżeli go powołamy i zgłosimy do GIODO w obecnym reżimie ustawy o ochronie danych osobowych, po nowelizacji, która weszła w życie w dniu 1 stycznia 2015 r.

Rafał Cisek, radca prawny, współpracownik Centrum Badań Problemów Prawnych i Ekonomicznych Komunikacji Elektronicznej (CBKE), twórca serwisu prawa nowych technologii NoweMEDIA.org.pl, ekspert w zakresie prawnych aspektów komunikacji elektronicznej, specjalizuje się m.in. w zakresie prawa ochrony danych osobowych.

KANCELARIA PRAWA GOSPODARCZEGO


  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2019»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
28293031