Obowiązki administratora bezpieczeństwa informacji w firmie - Prawo-IT

Amadeusz Sejud blog prawniczy prawo-it.pl

Baner

Obowiązki administratora bezpieczeństwa informacji w firmie

Wraz z nowelizacją ustawy o ochronie danych osobowych, która weszła w życie 1 stycznia 2015 roku, wprowadzono bardzo istotny wyjątek od zasady obowiązku rejestracji zbiorów danych osobowych u Generalnego Inspektora Ochrony Danych Osobowych. Administratorzy danych osobowych, którzy zdecydują się na zgłosznie administratora bezpieczeństwa informacji nie muszą już rejestrować zbiorów danych osobowych w GIODO. Skorzystanie z tej możliwości w znacznym stopniu zmienia proces ochrony danych osobowych w obrębie przedsiębiorstwa.

Rejestracja ABI.

Administrator danych osobowych może teraz zgłosić administratora bezpieczeństwa informacji w GIODO i to on będzie prowadził jawny rejestr zbiorów danych osobowych obejmujący wszystkie zbiory danych danego podmiotu, również te, które wcześniej zarejestrowano w GIODO (zostaną one usunięte aby nie trzeba było ich dwukrotnie aktualizować. ABI może zostać osoba fizyczna spełniająca następujące warunki:

1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,

2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,

3) nie była karana za umyślne przestępstwo.

Wskazana tu odpowiednia wiedza w zakresie ochrony danych osobowych nie podlega weryfikacji na podstawie urzędowych zaświadczeń czy certyfikatów i swobodnej ocenie administratora danych pozostawiono uznanie jej za wystarczającą. Nic nie szkodzi na przeszkodzie aby ABI został pracownik przedsiębiorstwa, w związku z którego działalnością dane są przetwarzane oraz musi podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych osobowych.

Zapewnienie przestrzegania przepisów o ochronie danych osobowych.

Jest to podstawowy obowiązek ABI po powołaniu z którego wynika m.in.:

a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych;

b) nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych i środki techniczne oraz organizacyjne zapewniające jej ochronę i przestrzegania zasad w niej określonych;

c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Przez te działania administrator bezpieczeństwa danych realizuje obowiązki związane z ochroną danych osobowych określone w ustawie. Z praktycznego punktu widzenia jednak najistotniejszym obowiązkiem ABI w ramach działania przedsiębiorstwa jest prowadzenie rejestru zbiorów danych, które przetwarza zgłaszający go administrator.