2015-01-06
Obowiązki administratorów bezpieczeństwa informacji

W poprzednim wpisie była mowa o statusie administratorów bezpieczeństwa informacji (ABI) po nowelizacji ustawy o ochronie danych osobowych. Tym razem chciałbym poruszyć kwestię zadań ABI. Przed nowelizacją zadania te były sformułowane bardzo ogólnikowo, teraz ustawodawca określił je w sposób bardziej precyzyjny. Nie znamy jednak wszystkich szczegółów, ponieważ nadal brak stosownego rozporządzenia MAiC.

Do tej pory ustawowe zadania ABI były określone jedynie poprzez cele wymienione w art. 36 ust. 1 UODO. Zgodnie z tym przepisem administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Tak określone cele opisywały więc jednocześnie zadania ABI.

Przed ich omówieniem, przypomnę, że zmiany w UODO, które weszły w życie 1 stycznia 2015 r. wprowadzają co do zasady fakultatywność powołania ABI z zachętą dla administratorów danych do jego powołania w postaci zwolnienia z obowiązku rejestracji zbiorów danych w GIODO (zwolnienie to nie dotyczy zbiorów zawierających dane sensytywne).

Zadania ABI skonkretyzowano w nowym art. 36a ust. 2, zostały one podzielone na dwie grupy. Pierwsza jest ściśle związana z obowiązkiem zapewnienia przestrzegania przepisów o ochronie danych osobowych (niekoniecznie chodzi tu tylko o przepisy UODO). Zapewnianie przestrzegania przepisów, ma polegać w szczególności na:

  • sprawdzaniu zgodności przetwarzania danych z przepisami oraz opracowaniu w tym zakresie sprawozdania dla administratora danych
  • nadzorowaniu opracowania i aktualizowania dokumentacji oraz przestrzegania zasad w niej określonych
  • zapewnianiu zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Druga grupa to obowiązki związane z prowadzeniem rejestru zbiorów danych przetwarzanych przez administratora danych.

Wszystkie te czynności powinny być realizowane przez ABI od dnia wejścia w życie nowelizacji, niezależnie od tego kiedy ABI zostali powołani (przed lub po 1 stycznia 2015 r.). ABI powołani przed wejściem w życie nowelizacji pozostają na swoich stanowiskach do czasu powołania ABI na nowych zasadach, nie dłużej jednak niż do 30 czerwca 2015 roku. Administrator danych może jednak przed ta datą odwołać „starego" ABI nie powołując nowego. W takiej sytuacji, jak również po 30 czerwca 2015 r. (do czasu powołania ABI na nowych zasadach), zadania wykonuje sam administrator danych, z pewnymi wyjątkami. Nie musi sporządzać sprawozdań ze sprawdzeń przestrzegania przepisów, nie prowadzi również – co zrozumiałe – rejestru zbiorów danych. Brak ABI oznacza bowiem, że należy „po staremu" zgłaszać zbiory do GIODO.

Wróćmy do wspomnianej listy zadań ABI. Po pierwsze, nie jest ona wyczerpująca, a więc generalnie ABI ma dbać o przestrzeganie przepisów o ochronie danych osobowych. Po drugie, warto odnotować powrót idei szkoleń personelu z zakresu ochrony danych (i tu znów: nie tylko z UODO, ale również z innych, odpowiednich do charakteru działalności administratora danych przepisów, np. tajemnicy bankowej, telekomunikacyjnej i innych). Taki obowiązek istniał w starym rozporządzeniu wykonawczym do UODO z 1998 r., nie został jednak przeniesiony do obecnie obowiązującego z 2004 r., a moim zdaniem jest on bardzo potrzebny i dlatego dobrze się stało, że został przywrócony i to przepisami rangi ustawowej.

Jeśli chodzi o dokumentację związaną z przetwarzaniem danych, to w tym zakresie nadal obowiązuje wspomniane rozporządzenie MSWiA (z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych).

Przypomnijmy, że na dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Dotychczasowa praktyka wskazuje, że ABI zajmowali się przygotowaniem i aktualizacją dokumentacji, zatem w tym zakresie nowelizacja niewiele zmieni.

Szerszego komentarza wymaga natomiast obowiązek sprawdzania przez ABI zgodności przetwarzania danych z przepisami. Z jednej strony, ABI w praktyce wykonywali czynności sprawdzające, z drugiej jednak – obecnie ten obowiązek ma nieco inny charakter. W jednym z poprzednich wpisów wspominałem, że zmienia się status ABI: ma być on kimś w rodzaju pośrednika pomiędzy administratorem danych a GIODO. Wyrazem tego jest możliwość zwrócenia się przez GIODO bezpośrednio do ABI o dokonanie sprawdzenia zgodności przetwarzania danych z przepisami. Ale uwaga: dotyczy to tylko ABI wpisanego do rejestru prowadzonego przez GIODO (o tym rejestrze będzie mowa w odrębnym wpisie), a więc jeśli ABI nie jest wpisany do rejestru (nawet jeśli został powołany zgodnie z nowymi przepisami) to GIODO nie ma takiej możliwości i w razie potrzeby samodzielnie przeprowadza kontrolę u administratora danych.

Wynikiem sprawdzenia przez ABI jest sporządzone przez niego sprawozdanie, które przekazuje on – za pośrednictwem administratora danych, a więc w praktyce kierownictwa jednostki – do GIODO.

Sprawdzenia nie dokonuje się jednak tylko na wniosek GIODO. Projekt stosownego rozporządzenia przewiduje, że obok sprawdzenia dla GIODO, ABI będzie dokonywać sprawdzeń dla administratora danych, i to dwojakiego rodzaju: planowych i pozaplanowych (doraźnych), czyli dokonywanych w przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych. Projekt rozporządzenia do art. 36a ust. 9 znowelizowanej UODO określający szczegółowo sposób wykonywania zadań przez ABI zasługuje na odrębne omówienie, nie będę więc go szczegółowo teraz omawiać. Miejmy zresztą nadzieję, że rozporządzenie zostanie rychło opublikowane, bo w końcu nie jest normalną sytuacja, że na obywateli, w tym przedsiębiorców nakłada się nowe obowiązki, a jednocześnie brak przepisów precyzujących jak mają one wyglądać.

Na koniec kilka słów o rejestrze zbiorów, którego prowadzenie jest nowym zadaniem ABI. ABI „wyręcza" więc w tym zakresie GIODO. Rejestr nie obejmuje zbiorów, które do tej pory nie wymagały zgłoszenia do GIODO, z więc np. zbiorów danych pracowniczych. Rejestr zbiorów ma być jawny, nie oznacza to jednak, że administrator musi go publikować. Musi natomiast umożliwić każdemu zapoznanie się z jego zawartością.

Rejestr ma zawierać następujące informacje, odrębnie o każdym zbiorze:

  • nazwa zbioru
  • oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych innemu podmiotowi (tzw. procesorowi) lub wyznaczenia przedstawiciela administratora danych - oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania
  • cel przetwarzania danych
  • opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych
  • sposób zbierania oraz udostępniania danych
  • informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane
  • informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Szczegóły dotyczące prowadzenia rejestru zbiorów przez ABI znajdą się w rozporządzeniu wykonawczym, które niestety również jeszcze się nie ukazało.




Dodaj komentarz
Nick/Pseudonim
E-mail (ukryty)
WWW
Treść
Subskrybuj

Powiadamiaj mnie o nowych komentarzach do tego artykułu
E-mail (ukryty)


Bądź na bieżąco

Możesz zaprenumerować ten blog. Wpisz adres e-mail, a powiadomienie o nowym wpisie dostaniesz na swoją skrzynkę. 


Autor o serwisie
  • Komentuję bieżące wydarzenia związane z ochroną danych osobowych i dostępem do informacji, telekomunikacją i szeroko rozumianym prawem administracyjnym.
  • Omawiam orzecznictwo polskie i europejskie i propozycje zmian w przepisach w tych dziedzinach.
  • Odnoszę się do działań organów takich jak GIODO, UKE czy ULC.
Główne działy
O autorze
Ostatnie komentarze
Regulaminowo.pl komentuje Jest rozporządzenie – i co dalej?
Kacprzak komentuje Co dalej z PPP?
Tomasz komentuje Co dalej z PPP?
Archiwum
2016
Tagi
Poznaj inne nasze serwisy

Blog EuroZamowienia.pl
Blog IPwSieci.pl
Blog kodeksWpracy.pl
Blog PrzepisNaEnergetyke.pl

Ta strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych oraz dla prawidłowego funkcjonowania strony. Każdy może zaakceptować pliki cookies albo poprzez ustawienia przeglądarki lub wyrażenie zgody poniżej. Możliwe jest także wyłączenie cookies poprzez ustawienia przeglądarki, dzięki czemu nie będą zbierane żadne informacje. Dowiedz się więcej w naszej polityce prywatności.



Akceptuję