31.03.2015 r., W „Rzeczpospolitej” ukazał się wywiad z Prezesem ENSI i SABI pt. „Administrator bezpieczeństwa: funkcja nie dla każdego” dotyczący obowiązujących od 1. stycznia br. nowych przepisów o ochronie danych osobowych.

W swoich wypowiedziach Prezes Maciej Byczkowski położył nacisk na nowe obowiązki zabezpieczania danych osobowych, które muszą realizować administratorzy danych osobowych, zarówno w instytucjach publicznych i prywatnych firmach m.in. przeprowadzenia sprawdzeń zgodności przetwarzania danych osobowych z przepisami, nadzorowania zasad ich ochrony określonych w odpowiedniej dokumentacji, zapoznawania osób przetwarzających dane z przepisami. Zaznaczył, że zmieniona ustawa pozostawia administratorom danych możliwość wyboru sposobu realizacji tych obowiązków: albo powołają do ich wykonywania administratora bezpieczeństwa informacji (ABI) na niezależnym stanowisku, albo sami będą realizować te obowiązki, wyznaczając do tego inne osoby.

Prezes ENSI zaakcentował, że powołanie ABI na podstawie nowych przepisów wprowadza dodatkowe udogodnienia dla administratorów danych np. w zakresie rejestracji zbiorów danych. Wyjaśnił, że do końca 2014 roku wszyscy administratorzy mieli obowiązek zarówno wyznaczyć ABI, jak i zgłaszać zbiory danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO). Zmieniła to ustawa o ułatwieniu wykonywania działalności gospodarczej. W ramach uproszczenia przepisów postulowanego przez przedsiębiorców każda organizacja może zostać zwolniona z obowiązku zgłaszania zbiorów danych do rejestracji GIODO. Jest to jednak możliwe tylko wtedy, gdy powoła ona ABI zgodnie z nowymi zasadami. To zwolnienie z rejestracji nie dotyczy natomiast zbiorów zawierających dane osobowe wrażliwe (np. informacje na temat zdrowia, wyznania, poglądów politycznych, karalności, pochodzenia etnicznego czy życia seksualnego). Obowiązek zgłaszania takich zbiorów do rejestracji GIODO nadal jest bezwzględny.

Prezes Byczkowski podkreślił, że aby uzyskać zwolnienie z obowiązku zgłaszania zbiorów danych do rejestracji GIODO wystarczy powołanie ABI na podstawie nowych przepisów i zgłoszenie go do rejestracji GIODO, który prowadzi ogólnopolski jawny rejestr ABI. Nowelizacja wprowadziła jednak nowe wymogi kwalifikacyjne dla ABI, warunki organizacyjne, w których może wykonywać on swoją funkcję, oraz nowe zadania i tryb ich realizacji. Przepisy wymagają, aby podlegał on bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Należy również zapewnić środki i organizacyjną odrębność ABI niezbędne do niezależnego wykonywania przez niego nowych zadań. Prezes Byczkowski zwrócił uwagę, że wcześniej na podstawie uchylonych przepisów na ABI można było wyznaczyć dowolną osobę a często były to osoby przypadkowe, które niewiele wiedziały na temat ochrony danych. Przez to właściwy nadzór nad ochroną danych w wielu podmiotach w Polsce nie jest realizowany. Obecnie trzeba będzie powołać na to stanowisko odpowiednio przygotowaną osobę: zgodnie z nowelizacją ABI może być osoba, która posiada odpowiednią wiedzę w zakresie ochrony danych osobowych oraz nie była karana za umyślne przestępstwo. Musi mieć ona również pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych. Osoba taka powinna posiadać doświadczenie i kompetencje niezbędne do wykonywania nowych zadań dotyczących zapewniania przestrzegania przepisów o ochronie danych osobowych.

Prezes Byczkowski w swojej wypowiedzi omówił zadania jakie ma wykonywać ABI, wskazując, że szczegółowy tryb i sposób wykonywania zadań ABI oraz prowadzenia rejestru zbiorów zostanie wskazany w nowych rozporządzeniach wykonawczych do ustawy, które mogą zostać wydane w ciągu najbliższych tygodni.

Podkreślił, że informacje o zbiorach zgłaszanych do GIODO wprowadzane są do jawnego rejestru, który stronie internetowej urzędu. W sytuacji powołania ABI nie ma obowiązku zgłaszania zbiorów do GIODO, ale informacje na ich temat musi udostępniać do przeglądania ABI.

Prezes Maciej Byczkowski zaznaczył, że zgodnie z nowymi przepisami GIODO może się zwrócić do powołanego i zarejestrowanego ABI z wnioskiem o sprawdzenie zgodności przetwarzania danych z przepisami o ochronie danych. Według Prezesa ENSI jest to korzystne rozwiązanie dla administratorów danych. Bowiem z dotychczasowej praktyki wynika, że w przypadku wielu kontroli przeprowadzanych przez GIODO wystarczająca byłaby rozmowa z ABI zamiast kilkudniowej inspekcji w siedzibie administratora danych. Sprawdzenie wykonywane przez wewnętrznego ABl będzie na pewno wygodniejsze i mniej stresujące.

W opinii prezesa ENSI nowy zakres zadań ABI będzie na tyle znaczący, że powinien wpłynąć np. na wymiar etatu - oczywiście w zależności od wielkości danej instytucji i ilości procesów przetwarzania danych oraz zbiorów danych. Jednocześnie przypomniał, że wszyscy administratorzy danych mają wybór sposobu realizacji nowych obowiązków: mogą nie powoływać ABI według nowych zasad, tylko pozostawić osobę wyznaczoną dotychczasowo do pełnienia funkcji ABI, która do tej pory zajmowała się nadzorem nad ochroną danych, i zgłaszać oraz aktualizować, tak jak do tej pory, zbiory danych osobowych do rejestracji GIODO. Zaznaczył, że do 30 czerwca należy zdecydować, czy wyznaczonych do końca 2014 r. ABI, na podstawie uchylonych przepisów, powołamy na ABI zgodnie z nowymi zasadami i zgłosimy do rejestracji GIODO czy pozostawimy te osoby, ale już na innych stanowiskach, i zlecimy im wykonywanie części lub wszystkich zadań. Podkreślił, że od 1 lipca 201 5 r. stanowisko ABI będzie odnosić się do ABI powołanego na podstawie nowych przepisów. Po tym terminie nowego ABI będzie można zgłaszać w dowolnym momencie.

Link do materiału: http://prawo.rp.pl/artykul/757712,1191404-Administrator-bezpieczenstwa--funkcja-nie-dla-kazdego.html?referer=redpol


ENSI Sp. z o.o., Al. Jana Pawła II 34, 00-141 Warszawa, tel.: +48 22 620 12 00, faks: +48 22 620 12 53, e-mail: info @ ensi.net
 Polityka cookies/ Polityka prywatności    Copyright © ENSI 2006-2018