Przedsiębiorca, który przetwarza dane osobowe, będzie mógł powierzyć zadania z tym związane administratorowi bezpieczeństwa informacji (ABI), który spełni określone wymagania. Do zadań takiej osoby ma należeć nie tylko pilnowanie, by dane klientów nie wpadły w niepowołane ręce. Ma też uświadamiać pracowników co do zagrożeń oraz obowiązków prawnych związanych z danymi osobowymi.
Takie wymogi od 1 stycznia 2015 r. wprowadzi ustawa o ułatwieniu wykonywania działalności gospodarczej, która znowelizowała m.in. przepisy o ochronie danych osobowych.
ABI musi znać przepisy
Do tej pory przepisy nic nie mówiły na temat zadań i obowiązków administratorów bezpieczeństwa informacji. Wiadomo było, że przedsiębiorca może powołać taką osobę i powierzyć jej przetwarzanie danych osobowych. Nowe przepisy stanowią, że powołany w firmie ABI ma sprawdzać, czy postępuje się z danymi w odpowiedni sposób, a także zapoznawać osoby, które mają z nimi styczność, z ich obowiązkami.
Nowelizacja ustawy określa wymagania, jakie musi spełnić kandydat na administratora bezpieczeństwa informacji. Mianowicie musi mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych. ABI nie może być też karany za umyślne przestępstwo. Powinien też dysponować odpowiednią wiedzą w zakresie ochrony danych osobowych.
Nowe przepisy nie określają jednak, w jaki sposób ma być weryfikowana wiedza administratorów bezpieczeństwa informacji. Nie muszą się bowiem legitymować żadnym szkoleniem. Nie muszą też zdawać żadnych egzaminów.
Ustawa nie wskazuje także, czy mają to być osoby z wykształceniem prawniczym czy informatycznym. Dlatego to przedsiębiorca administrujący danymi osobowymi sam musi ocenić, czy dany kandydat poradzi sobie na tym stanowisku.
Przedsiębiorca może również powołać zastępców administratora. Z tym że muszą oni spełniać te same wymagania co ABI.
Obowiązki i sprawozdania
Prawne uwarunkowania prowadzenia e‑sklepu w 2022 roku
Do zadań administratora bezpieczeństwa informacji należy przede wszystkim zapewnienie, by w firmie czy w urzędzie przestrzegano przepisów o ochronie danych osobowych. Musi on też nie tylko kontrolować, czy dane osobowe są przetwarzane zgodnie z prawem, ale i opracowywać sprawozdania w tym zakresie dla swojego pracodawcy.
Nowela przewiduje też, jak mają dokładnie wyglądać sprawozdania dotyczące przestrzegania przez firmę bądź urząd przepisów o ochronie danych osobowych. Taki dokument powinien zawierać oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania. ABI musi podać swoje imię i nazwisko.
W sprawozdaniu muszą się znaleźć wykaz czynności podjętych przez administratora bezpieczeństwa informacji oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach. Trzeba też podać datę rozpoczęcia i zakończenia sprawdzenia przestrzegania przepisów w firmie, określić zakres takiego sprawdzenia.
ABI musi dołączyć też opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie. Jeżeli stwierdzi naruszenia przepisów, to również musi o tym wspomnieć i napisać, jakie planuje (lub już podjął) działania przywracające stan zgodny z prawem.
Przeszkolone kadry w firmie
Nowe przepisy określają, że administratorzy bezpieczeństwa informacji mają nadzorować i opracować dokumentację opisującą sposób przetwarzania danych osobowych. W tych dokumentach mają wskazać, jakie zastosowali środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych. A te powinny być dobrane odpowiednio do istniejących zagrożeń.
W opracowywanej dokumentacji należy także opisać zastosowane zabezpieczenia przed nieupoważnionym zabraniem danych, ich skasowaniem, przetwarzaniem czy zniszczeniem lub uszkodzeniem. Ponadto dane osobowe powinny być zabezpieczone przed ich modyfikacją, co również należy opisać w dokumentacji.
Administratorzy bezpieczeństwa informacji będą musieli także zapoznawać osoby, które mają styczność z danymi, z przepisami ustawy o ochronie danych osobowych. Mają też prowadzić rejestry zbiorów danych przetwarzanych przez administratorów danych (przedsiębiorców czy urzędy).
podstawa prawna: ustawa z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej DzU z 27 listopada, poz. 1662
Dagmara Christensen, radca prawny z kancelarii DLA Piper
Administrator danych, który nie zdecyduje się na powołanie administratora bezpieczeństwa informacji, sam musi wykonywać obowiązki wynikające z ustawy o ochronie danych osobowych. W takiej sytuacji nie prowadzi rejestru zbiorów danych, ale musi zgłosić do GIODO zbiór danych, chyba że z takiego obowiązku jest zwolniony na podstawie ustawy. Zmiana ta ułatwi korzystanie ze zwolnienia z rejestracji zbioru danych tym przedsiębiorcom, którzy sprostają nowym wymogom związanym z powołaniem ABI. Pozostali przedsiębiorcy, którzy finansowo nie będą mogli zapewnić funkcjonowania ABI, nadal będą zobowiązani rejestrować zbiory. Po zmianach administrator danych nie będzie musiał zgłaszać do GIODO zbiorów danych osobowych w formie papierowej, np. dzienników korespondencji. Zwolnienie nie dotyczy przetwarzania danych sensytywnych.
