24.06.2015 r., w lipcowym numerze czasopisma „Ochrona danych osobowych” (Wydawnictwo WiP) ukazał się artykuł „Aktualizacja zbiorów danych osobowych przy niepowołaniu ABI”, autorstwa Prezesa ENSI i SABI Macieja Byczkowskiego.

Prezes Byczkowski podkreślił, że obecnie ADO ma możliwość wyboru sposobu realizacji nowych obowiązków zapewniania przestrzegania przepisów o ochronie danych osobowych (zgodnie ze znowelizowanymi przepisami ustawy o ochronie danych osobowych). W praktyce oznacza to, że może powołać do tego celu spełniającego wymagania kwalifikacyjne ABI, na niezależnym stanowisku, albo bez powołania ABI, sam będzie realizować nowe zadania, wyznaczając do tego inne osoby.

Prezes ENSI analizując szczegółowo zagadnienie zaakcentował, że administratorzy danych mają czas do 30 czerwca 2015 r. na podjęcie decyzji, czy wyznaczonego wcześniej ABI powołać na nowo na podstawie art. 36a uodo i zgłosić do rejestracji GIODO na podstawie art. 46b uodo. Zaznaczył również, że w przypadku niepowołania ABI konieczna jest aktualizacja wszystkich zbiorów danych osobowych zgłoszonych wcześniej do rejestracji GIODO, co związane jest z tym, że w części E wniosku zgłoszeniowego, określonego w rozporządzeniu ministra spraw wewnętrznych i administracji z 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. 2008 r., Nr 229, poz.1536), należy w opisie środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36 – 39 ustawy o ochronie danych osobowych, podać w pkt 16 a informacje na temat ABI. W tym punkcie są do wyboru dwa warianty czyli albo „został wyznaczony administrator bezpieczeństwa informacji nadzorujący przestrzeganie zasad ochrony przetwarzanych danych osobowych” albo „administrator danych sam wykonuje czynności administratora bezpieczeństwa informacji”.

Prezes Byczkowski zwrócił uwagę, że w sytuacji gdy ABI został wyznaczony do końca 2014 r. ( na podstawie art. 36 ust. 3), we wszystkich zgłaszanych zbiorach danych osobowych do rejestracji GIODO był zaznaczany wariant pierwszy. Natomiast po 30 czerwca 2015 r. ,w sytuacji niepowołania ABI, należy wskazać drugą opcję ponieważ zgodnie z nowelizacją funkcja ABI będzie odnosić się tylko do ABI powołanego i zgłoszonego do rejestracji GIODO.

W swojej analizie Prezes Byczkowski zaznaczył, że rozporządzenie wykonawcze dotyczące wzoru wniosku zgłoszenia zbioru danych osobowych do rejestracji GIODO nie zostało dostosowane do znowelizowanej ustawy o ochronie danych osobowych. Podkreślił, że w związku z uchyleniem art. 36 ust. 3 i dodaniem w jego miejsce art. 36a i 36b, konieczne jest dostosowanie pkt 16a w części E wzoru wniosku zgłoszeniowego, ponieważ jego treść jest niezgodna z obowiązującą ustawą o ochronie danych osobowych oraz wprowadza w błąd ADO.

Prezes Byczkowski zaakcentował, że w piśmie dotyczącym konieczności nowelizacji tego rozporządzenia a skierowanym do MAiC przez Stowarzyszenie Administratorów Bezpieczeństwa Informacji, zawarta została propozycja nowego brzmienia pkt 16a: „został powołany administrator bezpieczeństwa informacji” oraz „administrator danych nie powołał administratora bezpieczeństwa informacji i wykonuje zadania: sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, nadzorowania opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych i przestrzegania zasad w niej określonych, a także zapewniania zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych”. W tak przedstawionym rozwiązaniu ADO, który nie powołał ABI, w przypadku zgłaszania zbioru danych do rejestracji GIODO, zaznacza drugą opcję, zaś ten, który powołał ABI, będzie w przypadku zgłaszania zbioru danych osobowych zawierającego dane osobowe wrażliwe (zgodnie z art. 27 ustawy o ochronie danych osobowych) zaznaczać pierwszą opcję.


Źródło: „Ochrona danych osobowych” (WiP)


ENSI Sp. z o.o., Al. Jana Pawła II 34, 00-141 Warszawa, tel.: +48 22 620 12 00, faks: +48 22 620 12 53, e-mail: info @ ensi.net
 Polityka cookies/ Polityka prywatności    Copyright © ENSI 2006-2018