HITY GOFINU |
|||||||||||||||||
Obowiązki przedsiębiorców, którzy nie powołali i nie zgłosili ABI
Gazeta Podatkowa nr 69 (1214) z dnia 27.08.2015
Na mocy zmian wprowadzonych do ustawy o ochronie danych osobowych z dniem 1 stycznia br. administratorzy danych (np. przedsiębiorcy będący spółkami prawa handlowego lub będący osobami fizycznymi) uzyskali możliwość powoływania w swoich firmach administratorów bezpieczeństwa informacji (ABI) na nowych zasadach. Obecnie powołanie w firmie ABI jest uprawnieniem, a nie obowiązkiem administratora danych. Powołanie ABI i zgłoszenie go do rejestru administratorów bezpieczeństwa informacji prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych powoduje, że administrator danych nie ma obowiązku zgłaszania do rejestracji u GIODO zbiorów przetwarzanych przez siebie danych. Taki obowiązek obciąża natomiast tych administratorów danych, którzy nie powołają w swoich firmach ABI. Jakie jeszcze obowiązki obciążają tych administratorów danych, którzy nie powołali ABI? Co, jeśli nie zgłoszono ABI?Ci przedsiębiorcy, którzy powołali ABI w swoich firmach na podstawie przepisów obowiązujących przed 1 stycznia 2015 r., byli zobowiązani zgłosić ich do rejestru administratorów bezpieczeństwa informacji prowadzonego przez GIODO, na nowych zasadach do 30 czerwca tego roku. Jeżeli takiego zgłoszenia nie dokonali, to po tej dacie dotychczasowi ABI przestali pełnić tę funkcję z mocy prawa, a wszelkie obowiązki w zakresie zapewniania przestrzegania przepisów o ochronie danych osobowych przejęli administratorzy danych. Generalny Inspektor Ochrony Danych Osobowych twierdzi, że odsetek podmiotów, które powołały ABI, jest jednak wciąż zbyt mały. To zaś oznacza, że duża część przedsiębiorców wybiera ten model zarządzania ochroną danych w firmie, który zakłada niepowoływanie ABI z jednoczesnym obowiązkiem zgłaszania do rejestracji Generalnemu Inspektorowi zbiorów danych osobowych. Jeżeli administrator danych nie powołał w swojej firmie ABI, to przetwarzanie danych może rozpocząć dopiero po zgłoszeniu zbioru danych do rejestracji Generalnemu Inspektorowi, chyba że ustawa zwalnia go z tego obowiązku. Jeżeli zaś chodzi o tzw. dane wrażliwe (patrz ramka), to administrator danych może rozpocząć ich przetwarzanie w zbiorze danych po zarejestrowaniu zbioru przez GIODO (nie już w momencie dokonania zgłoszenia do GIODO). Trzeba zauważyć, że nie wszystkie zbiory danych podlegają obowiązkowi zgłaszania ich do rejestracji u GIODO. Katalog administratorów danych, którzy podlegają takiemu zwolnieniu, i którzy nawet jeśli nie powołają ABI nie muszą dokonywać wspomnianych zgłoszeń, zawiera art. 43 ust. 1 i 1a ustawy o ochronie danych osobowych (patrz ramka).
Jakie obowiązki ma administrator danych?Administrator danych zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Przede wszystkim powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, które stosuje w celu zabezpieczania danych. Przedsiębiorca, który zdecyduje się nie powoływać w swojej firmie ABI, zobowiązany jest wykonywać wszystkie te obowiązki, które obciążają ABI, z wyłączeniem obowiązku sporządzania przez administratora bezpieczeństwa informacji sprawozdania dla administratora danych. W związku z tym zapewnia przestrzeganie przepisów o ochronie danych osobowych, w szczególności przez:
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Zgłoszenie zbiorów danych do GIODOJak już wspomniano, administrator danych jest zobowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 i 1a ustawy. Takie zgłoszenie powinno zawierać:
Zgłoszenia można dokonać także drogą elektroniczną, z użyciem bezpiecznego podpisu elektronicznego. Zgłoszenie może również zostać przekazane drogą elektroniczną bez użycia podpisu elektronicznego, jeżeli zostanie uzupełnione zgłoszeniem w formie papierowej. Aplikacja umożliwiająca skuteczne dokonanie zgłoszenia drogą elektroniczną znajduje się na stronie internetowej GIODO - w systemie "platforma e-GIODO" (www.giodo.gov.pl). Wzór takiego zgłoszenia zawiera rozporządzenie Ministra Administracji i Cyfryzacji w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r. nr 229, poz. 1536). Administrator danych jest zobowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji dotyczących danego zbioru, w terminie 30 dni od dnia dokonania modyfikacji w zbiorze danych. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych. W związku z tym, że rejestr jest ogólnodostępny, to każdy ma prawo go przeglądać. Na żądanie administratora danych może być wydane zaświadczenie o zarejestrowaniu zgłoszonego przez niego zbioru danych. Wykreślenie z rejestru zbiorów danych osobowych jest dokonywane, w drodze decyzji administracyjnej, jeżeli:
Administrator danych w każdym czasie może powołać ABI. Termin graniczny do 30 czerwca br. dotyczył tylko tych administratorów, którzy chcieli, by dotychczasowi ABI pełnili u nich w firmach dalej tę funkcję, na nowych zasadach. Jeśli administrator danych zdecyduje się powołać ABI, ma 30 dni na zgłoszenie go do rejestru prowadzonego przez GIODO. W ciągu 14 dni powinien poinformować GIODO o wszelkich zmianach dotyczących powołanego ABI, a w ciągu 30 dni musi go powiadomić o ewentualnym odwołaniu go z tego stanowiska. Dokumentacja dotycząca ochrony danychZakres dokumentacji, jaki powinien opracować administrator danych w zakresie zapewnienia prawidłowej ochrony danych osobowych, określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. nr 100, poz. 1024). Na tę dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Dokumenty te powinny być prowadzone w formie pisemnej. Polityka bezpieczeństwa powinna zawierać:
Z kolei instrukcja powinna zawierać w szczególności:
System informatyczny, w którym przetwarzane są dane osobowe, musi mieć określony poziom bezpieczeństwa, uzależniony od kategorii danych, które podlegają przetwarzaniu. Wyróżnia się trzy poziomy:
Poziom podstawowy ma zastosowanie, gdy w systemie informatycznym nie są przetwarzane dane wrażliwe oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych, nie jest połączone z siecią publiczną. Opis środków bezpieczeństwa stosowany na wspomnianych poziomach określa załącznik do powołanego rozporządzenia. Podstawa prawna Ustawa z dnia 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 ze zm.) |
|