KIRP
Język polski English language

Blog

Administrator Bezpieczeństwa Informacji a Inspektor Ochrony Danych – co się zmieni?

Zgodnie z obecną Ustawą o Ochronie Danych Osobowych, Administratorzy Danych otrzymali możliwość wyboru, czy chcą powołać w swojej Organizacji ABI, czy też nie. Od tego, którą z opcji wybrali zależało, jakie obowiązki będą musieli wypełniać. Główne różnice pomiędzy pierwszym a drugim modelem wyglądają następująco:

Model z powołanym Administratorem Bezpieczeństwa Informacji

Model bez Administratora Bezpieczeństwa Informacji

Powołanie/ odwołanie ABI – Zakres odpowiedzialności ABI

  1. Administrator Danych Osobowych powołuję ABI i powierza mu obowiązki wynikające z Ustawy o ochronie danych osobowych.
  2. Powołanie ABI musi nastąpić na podstawie Uchwały Zarządu, a następnie zostać zgłoszone do GIODO, który prowadzi jawny rejestr Administratorów Bezpieczeństwa Informacji.
  3. Ponadto ADO zobligowany jest do umocowania ABI w strukturze organizacyjnej bezpośrednio pod kierownikiem jednostki, musi zapewnić odpowiednie środki organizacyjne aby ABI miał możliwość wykonywać swoje obowiązki, dodatkowo ABI nie może wykonywać innych obowiązków służbowych jeżeli mogły by kolidować z wykonywaniem funkcji ABI.
  4. Powołany ABI musi spełniać wymagania określone w Rozporządzeniu MAiC: posiadać zdolność do czynności prawnych i korzystać z praw publicznych, posiadać wiedzę w zakresie ochrony danych osobowych, nie może być karany za umyślne przestępstwo.
  1. Administrator Danych Osobowych nie powołuje ABI. ADO sam realizuje obowiązki wynikające z Ustawy o ochronie danych.
  2. ADO ma możliwość wyznaczenia osoby, która będzie go wspierała w wykonywaniu obowiązków wynikających z Ustawy.
  3. ADO ma obowiązek rejestracji/aktualizacji/wyrejestrowania zbiorów danych osobowych w terminie wskazanym w Ustawie.

Zakres zadań ABI

  1. Zapewnienie przestrzegania przepisów o ochronie danych osobowych poprzez:

  - sprawdzanie zgodności przetwarzania danych osobowych zgodnie z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

 - nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,

 - zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, 

 - prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych, zawierającego nazwę zbioru oraz informacje szczegółowe.

  1. ADO sam realizuje zadania ABI wynikające z Ustawy z wyłączeniem:

   - obowiązku sporządzania sprawozdania,

  - prowadzenia jawnego rejestru zbiorów danych przez ABI.

 

 

                                                  Zbiory danych osobowych

  1. ADO zwolniony jest z obowiązku rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane wrażliwe.
  2. ABI prowadzi jawny rejestr zbiorów danych osobowych (w takim zakresie w jakim dotychczas prowadził to GIODO).

 

  1. ADO ma obowiązek rejestrowania i aktualizowania zbiorów danych osobowych w formie i trybie wskazanym w u.o.d.o. oraz zgodnie z Rozporządzeniem MSWiA z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
  2. ADO jest zobowiązany zgłaszać do GIODO każdą zmianę dot. zbioru danych w terminie 30 dni od dnia dokonania zmiany (w przypadku danych wrażliwych – przed dokonaniem zmiany).
  3. ADO może rozpocząć przetwarzanie danych osobowych, w zależności od rodzaju danych:

  - dane zwykłe (art. 23 u.o.d.o.) – po zgłoszeniu zbioru danych do GIODO,

  - dane wrażliwe (art. 27 u.o.d.o.) – po zarejestrowaniu zbioru danych przez GIODO.

Kontrola przestrzegania przepisów o ochronie danych osobowych

  1. Kontrola wewnętrzna – planowa (roczna, okresowa) – realizowana przez ABI, zakończona sprawozdaniem dla ADO.
  2. Kontrola wewnętrzna – doraźna (np. w sytuacji incydentu lub podejrzenia naruszenia) – realizowana przez ABI, zakończona sprawozdaniem dla ADO.
  3. Kontrola na zlecenie GIODO (w zakresie i terminie wskazanym przez GIODO) – zakończona sprawozdaniem przekazywanym do GIODO przez ADO.
  1. Kontrola wewnętrzna (roczna, okresowa) – realizowana przez ADO (bez obowiązku przygotowywania sprawozdania).
  2. Brak możliwości przeprowadzenia kontroli na zlecenie GIODO – GIODO przeprowadza kontrole bezpośrednie za pośrednictwem swoich pracowników.

 

Analizując powyższe różnice spora część Administratorów Danych więcej korzyści upatruje w modelu z powołanym ABI, chociażby ze względu na brak konieczności rejestracji i aktualizacji zbiorów, co w przypadku Administratorów przetwarzających duże ilości danych mogło być uciążliwe oraz ze względu na możliwość realizacji kontroli GIODO za pośrednictwem ABI. Jak wiadomo każda kontrola bezpośrednia, niezależnie przez jaki Urząd wykonywana, jest dla Organizacji zawsze dużym stresem.

Kierując się tymi argumentami Administratorzy chcący wyznaczyć ABI najczęściej zaczynają poszukiwania odpowiedniej osoby wewnątrz Organizacji i powierzają jej wykonywanie ustawowych obowiązków. Takie rozwiązanie ma zapewne korzyści ekonomiczne dla Organizacji ponieważ nie powoduje konieczności tworzenia dodatkowego etatu ale nie zawsze stanowi należyte zabezpieczenie przetwarzanych danych osobowych.

RODO wprowadza funkcję Inspektora Ochrony Danych, który zastąpi w Organizacjach dotychczasowego Administratora Bezpieczeństwa Informacji. Jednym z istotniejszych wymagań względem przyszłych IOD, jakie nakłada Rozporządzenie jest posiadanie praktycznej wiedzy z zakresu ochrony danych osobowych. Będzie to oznaczało, że przyszły Inspektor musi wykazać się szeroką wiedzą zarówno w aspekcie prawnym – znajomości wymagań Rozporządzenia ale również wiedzą praktyczną, która posłuży do wdrożenia odpowiednich mechanizmów ochrony danych. Dodatkowo osoba taka musi posiadać wiedzę w zakresie wymagań branżowych, ponieważ każda branża cechuje się swoją specyfiką i dodatkowymi wymaganiami prawnymi, które również należy uwzględnić w projektowaniu systemu ochrony danych osobowych. Tym samym inaczej będą wyglądały rozwiązania w sektorze finansowym (bankach, firmach ubezpieczeniowych), a inaczej w sektorze telekomunikacyjnym czy medycznym. Takie zaostrzenie wymagań względem IOD może ograniczyć Organizacjom możliwość wyboru osób, które wcześniej tą tematyką się nie zajmowały, a nakłonić je do zatrudniania specjalistów bądź powierzania tej funkcji zewnętrznym wyspecjalizowanym podmiotom.

Inspektora Ochrony Danych podobnie jak Administratora Bezpieczeństwa Informacji będzie wyznaczał Administrator Danych na podstawie powołania po spełnieniu wymagania związanego z kwalifikacjami zawodowymi. Inspektorem może zostać osoba fizyczna, nie ma natomiast znaczenia sposób zatrudnienia takiej osoby. Zastosowanie takiego rozwiązania pozostawia Organizacjom możliwość korzystania z usług zewnętrznych Inspektorów i tak zwanego outsourcingu funkcji Inspektora Ochrony Danych. Znaczne zwiększenie obowiązków wynikających z pełnienia takiej funkcji będzie również wykluczało, aby IOD pełnił w Organizacji również inne funkcje. Dotychczas często osoba, która pełniła funkcję ABI była jednocześnie np. księgową i obowiązki związane z tym stanowiskiem praktycznie wypełniały cały jej czas a na kwestie związane z ochroną danych osobowych nie starczało już czasu.

RODO zmienia też kwestię dobrowolności powołania Inspektora Ochrony Danych i zakłada sytuacje, w których powołanie będzie konieczne. Obligatoryjne powołanie IOD będą miały:

Obowiązek wyznaczenia IOD będzie definiowany również poprzez:

Kolejną nowością, którą wprowadza RODO jest możliwość wyznaczenia jednego Inspektora przez grupy przedsiębiorstw, będzie to szczególnie korzystne dla grup kapitałowych, które często wymieniają między sobą dane. Warunkiem takiego rozwiązania jest możliwość łatwego nawiązywania kontaktu z IOD przez wszystkie spółki.

Katalog zadań przyszłego Inspektora Ochrony Danych reguluje art. 39 RODO i nakłada następujące obowiązki:

Na Inspektorze będzie spoczywał także obowiązek zwiększania świadomości w zakresie ochrony danych osobowych zarówno względem ADO, podmiotów przetwarzających, jak również pozostałych pracowników. ADO zobowiązany będzie do ujawniania danych IOD w procesie zbierania danych od osób, których dane dotyczą i będzie to nowym wymaganiem obowiązku informacyjnego. Inspektor stanie się również audytorem wewnętrznym obszaru ochrony danych osobowych. Kwestii audytu poświęcimy odrębny artykuł.

Mamy nadzieję, że powyższe podsumowanie pomoże Administratorom Danych, jak i Administratorom Bezpieczeństwa Informacji jeszcze lepiej przygotować się do wymagań RODO.

Kontakt

Nasi eksperci są do Państwa dyspozycji

Warszawa

ul. Piękna 24/26A lok. 1
00-549 Warszawa

Tel.: +48 22 213 16 10

Radom

ul. 11 Listopada 10A
26-609 Radom

Tel. kom.: +48 798 139 259

Kancelaria Prawna VERBA-LEX Paweł Strzałkowski

NIP: 7962573435
REGON: 141455843

Rachunek bankowy:
Bank BGŻ BNP PARIBAS S.A.
32 2030 0045 1110 0000 0153 4360

Partner Zarządzający - Radca Prawny

Paweł Strzałkowski

Tel. kom.: +48 785 188 831

E-mail: pawel.strzalkowski@verba-lex.pl

W związku z faktem, że znaczny zakres usług świadczymy poza biurami Kancelarii, serdecznie prosimy o uprzednie ustalanie terminu konsultacji prawnych telefonicznie lub za pośrednictwem poczty elektronicznej.