fbTrack
REKLAMA
REKLAMA

Kadry

Administrator Bezpieczeństwa Informacji: które firmy muszą wyznaczyć ABI

123RF
Części pracodawców dotyczy obowiązek wyznaczenia Inspektora Ochrony Danych. Jeżeli nie będzie nim dotychczasowy ABI, do 31 lipca muszą wyznaczyć IOD i powiadomić o tym Prezesa Urzędu Ochrony Danych Osobowych.

Nową instytucję – Inspektora Ochrony Danych (IOD) wprowadziło Rozporządzenie Parlamentu Europejskiego i  Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Konsekwencją zmian wprowadzanych przez RODO jest także nowa, obowiązująca od 25 maja 2018 r., ustawa z 10 maja 2018 r. o ochronie danych osobowych (dalej: ustawa). Potwierdza ona, że IOD zastąpił dotychczasową instytucję Administratora Bezpieczeństwa Informacji (ABI).

W przeciwieństwie do wyboru ABI, który był dobrowolny, wyznaczenie IOD jest obowiązkiem, gdy przepisy RODO tak stanowią. Każdy przedsiębiorca – bez względu na to, czy skorzystał z uprawnienia wyznaczenia ABI – powinien ustalić, czy zgodnie z przepisami RODO zalicza się do grupy przedsiębiorców zobowiązanych do wyznaczenia IOD.

Podmioty publiczne...

Do pierwszej grupy zobowiązanej do wyznaczenia IOD należą organy i podmioty publiczne, które przetwarzają dane osobowe. Nie dotyczy to tylko sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.

Ustawa sprecyzowała, że obowiązek wyznaczenia IOD dotyczy:

a) jednostek sektora finansów publicznych,

b) instytutów badawczych,

c) Narodowego Banku Polskiego.

... oraz sektor prywatny

Drugą grupę stanowią przedsiębiorcy (administratorzy danych lub podmioty przetwarzające dane osobowe), których główna działalność polega na operacjach przetwarzania danych – jeśli ze względu na charakter, zakres lub cele tych operacji konieczne jest regularne i systematyczne monitorowanie osób, których dane dotyczą na dużą skalę. W wyjaśnieniu, o jakie podmioty tu chodzi, pomagają wytyczne Grupy Roboczej art. 29 >patrz ramka.

Trzecią i ostatnią grupę stanowią przedsiębiorcy (administratorzy danych lub podmioty przetwarzające dane osobowe), których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o jakich mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO. Pod pojęciem informacji stanowiących szczególną kategorię danych należy rozumieć wyszczególniony w RODO katalog danych ujawniających:

- pochodzenie rasowe lub etniczne,

- poglądy polityczne,

- przekonania religijne lub światopoglądowe,

- przynależność do związków zawodowych,

- dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,

- dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Wymóg wyznaczenia IOD w ramach tej grupy dotyczy m.in. firm świadczących usługi outsourcingu danych medycznych czy danych HR.

Działalność IOD, wyznaczonych przez przedsiębiorców, którzy jednocześnie pełnią funkcję pracodawców, powinna obejmować także wszelkie operacje przetwarzania danych prowadzone przez dany podmiot, w tym dotyczące danych pracowników.

Informacja na stronie

Jeżeli przedsiębiorca należy do jednej z powyższych grup, to po wyznaczeniu IOD ma obowiązek udostępnić jego dane kontaktowe, w tym:

a) imię i nazwisko,

b) adres poczty elektronicznej lub

c) numer telefonu kontaktowego

na swojej stronie internetowej. W razie nieprowadzenia strony internetowej, te dane należy podać w sposób ogólnie dostępny w miejscu prowadzenia działalności.

Podmiot, którego przepisy nie zobowiązują do wyznaczenia IOD, może wyznaczyć go dobrowolnie. Wówczas jednak zastosowanie mają wszystkie przepisy dotyczące IOD, w tym dotyczące obowiązku zawiadomienia o jego wyznaczeniu Prezesa Urzędu Ochrony Danych Osobowych.

Do wiadomości urzędu

Przedsiębiorca ma obowiązek powiadomić o wyznaczeniu IOD Prezesa Urzędu Ochrony Danych Osobowych (PUODO) w ciągu 14 dni od dnia jego wyznaczenia. To jednak ogólna zasada. Ustawa przewiduje bowiem konkretne daty wyznaczające termin końcowy na dostosowanie do zmian wprowadzonych przez RODO.

Przedsiębiorcy, którzy przed 25 maja 2018 r. nie powołali ABI, a są zobowiązani do wyznaczenia IOD, muszą powiadomić PUODO o wyznaczeniu IOD do 31 lipca 2018 r.

Natomiast przedsiębiorcy, którzy 25 maja 2018 r. zdecydowali, aby ich dotychczasowy ABI został wyznaczony na IOD, zobowiązani są do powiadomienia o tym fakcie PUODO najpóźniej do 1 września 2018 r.

Przedsiębiorca, który wyznaczył IOD, musi ponadto zawiadamiać PUODO o każdej zmianie danych kontaktowych IOD oraz o jego odwołaniu w terminie 14 dni od dnia zaistnienia tych okoliczności.

Zawiadomień o wyznaczeniu IOD można dokonać jedynie w formie elektronicznej opatrzonej kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym w elektronicznej Platformie Usług Administracji Publicznej (Epuap).

Wewnętrzny dokument

Gdy przedsiębiorca uzna, że nie ma obowiązku wyznaczenia w swojej organizacji IOD, zalecane jest – zgodnie z wytycznymi Grupy Roboczej art. 29 – udokumentowanie tego faktu w wewnętrznej procedurze odzwierciedlającej przeprowadzone badanie tej materii. Przy ewentualnej kontroli będzie to spełniało jedną z zasad obowiązujących na gruncie RODO – zasadę rozliczalności. ?

Monika Politowska-Bar adwokat kancelaria Chajec, Don-Siemion & Żyto

Ważne definicje

GŁÓWNA DZIAŁALNOŚĆ – działalność kluczowa z punktu widzenia osiągnięcia celów administratora, a także działalność w zakresie przetwarzania danych nierozerwalnie związana z działalnością główną. Przykładowo działalność główna spółki, która świadczy usługi telekomunikacyjne, nie jest możliwa bez przetwarzania danych osobowych klientów. To samo dotyczy szpitali, których główną działalnością jest zapewnienie szeroko rozumianej opieki medycznej pacjentów, do czego niezbędne jest przetwarzanie ich danych osobowych.

MONITOROWANIE – wszelkie formy śledzenia i profilowania, w tym na potrzeby reklam behawioralnych. Regularne i systematyczne monitorowanie osób obejmuje działania polegające np. na monitorowaniu danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych, śledzeniu lokalizacji poprzez aplikacje mobilne, świadczeniu usług telekomunikacyjnych czy udział w różnego typu programach lojalnościowych.

Źródło: Rzeczpospolita
REKLAMA
REKLAMA
REKLAMA
REKLAMA
NAJNOWSZE Z RP.PL
REKLAMA
REKLAMA
REKLAMA