Inspektor ochrony danych a ABI – porównanie zadań i wymagań

Dariusz Skrzyński

Autor: Dariusz Skrzyński

Dodano: 26 czerwca 2017
Inspektor ochrony danych a ABI – porównanie zadań i wymagań

Inspektorzy ochrony danych 25 maja 2018 r. mają zastąpić administratorów bezpieczeństwa informacji. Czy oznacza to, że będą realizować te same zadania co ABI, będą mieć taki sam status i odpowiedzialność? Przeczytaj ten artykuł i dowiedz się, czym funkcja inspektora ochrony danych będzie różniła się od funkcji administratora bezpieczeństwa informacji.

Ogólne rozporządzenie o ochronie danych nie posługuje się nazwą znaną z polskiej ustawy o ochronie danych osobowych – „administrator bezpieczeństwa informacji” (ABI), lecz sformułowaniem „inspektor ochrony danych” (IOD). Na podstawie art. 61 projektu nowej ustawy o ochronie danych osobowych każdy administrator bezpieczeństwa informacji stanie się automatycznie inspektorem ochrony danych, ale tylko do 1 września 2018 r. Do tego czasu administrator danych powinien zawiadomić o wyznaczeniu przez siebie ABI/IOD (albo że ABI nie pełni funkcji IOD) Prezesa Urzędu Ochrony Danych Osobowych (UODO). Zgłoszenie będzie można zrealizować również w formie elektronicznej.

Jak ABI są zgłaszani obecnie

Powołanie i odwołanie administratora bezpieczeństwa informacji należy zgłosić do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) w terminie 30 dni od dnia jego powołania lub odwołania (art. 46b ustawy o ochronie danych osobowych). Wzór zgłoszenia określa rozporządzenie ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji. Administratorzy bezpieczeństwa informacji wpisywani są do ogólnokrajowego, jawnego rejestru prowadzonego przez GIODO.

Ważne:

Zgodnie z obowiązującą ustawą o ochronie danych osobowych administrator danych nie musi powoływać ABI. Jednak jeżeli nie powoła ABI, jego zadania będzie musiał wykonywać sam. Powołanie ABI i zgłoszenie go GIODO do rejestracji ma też wpływ na zakres obowiązków dotyczących rejestracji zbiorów danych osobowych. Jeśli administrator danych powoła ABI, to on prowadzi rejestr zbiorów danych osobowych (z wyjątkiem zbiorów danych wyłączonych z obowiązku zgłoszenia do rejestracji GIODO na podstawie art. 43 ust. 1 i 1a ustawy).

Czy inspektorów trzeba będzie zgłaszać do organu nadzorczego

Jeżeli po 25 maja 2018 r. administrator wyznaczy inspektora ochrony danych, będzie miał 14 dni na zawiadomienie o tym Prezesa Urzędu Ochrony Danych Osobowych (następca GIODO). Jak wynika z projektu ustawy o ochronie danych osobowych, zawiadomienie sporządza się w postaci papierowej albo elektronicznej. Prezes Urzędu będzie prowadził system teleinformatyczny umożliwiający przesyłanie zawiadomień w postaci elektronicznej. Będzie on również prowadził ewidencję zawiadomień (art. 59 projektu ustawy o ochronie danych osobowych).

Porównanie wymagań i zadań administratora bezpieczeństwa informacji i inspektora ochrony danych

Zdarzenie

ABI według aktualnej ustawy o ochronie danych osobowych

IOD według ogólnego rozporządzenia i projektu ustawy o ochronie danych osobowych

Kto może powołać

administrator danych (art. 36a ustawy)

a) administrator,

b) podmiot przetwarzający dane,

c) zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających (tylko w sytuacji, kiedy można dobrowolnie wyznaczyć IOD) – art. 37 rozporządzenia unijnego

Powołanie – możliwość czy obowiązek

Od 1 stycznia 2015 r. administrator danych może (nie musi) powołać administratora bezpieczeństwa informacji – ABI (art. 36a ust. 1 ustawy), a w przypadku jego niepowołania sam realizuje jego zadania (art. 36b ustawy). Oznacza to, że od decyzji administratora zależy, czy on sam podejmie się realizacji zadań ABI, czy powoła w tym celu konkretną osobę. ADO nie jest ABI i nie może się nim wyznaczyć. Wykonuje tylko jego zadania, jeżeli ABI nie zostanie powołany.

Rozporządzenie unijne nie nakłada generalnego obowiązku powołania inspektora ochrony danych (IOD), ale przewiduje trzy sytuacje, w których powołanie IOD jest obligatoryjne. Jego powołanie będzie obowiązkowe, dla:
a) podmiotów administracji publicznej,
b) jeśli główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
c) jeśli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych).

Zgłoszenie powołania/

wyznaczenia

Jeżeli dotychczas nie funkcjonował ABI, jego powołanie należy zgłosić w terminie 30 dni od dnia powołania do GIODO. Wzór zgłoszenia określa rozporządzenie ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. z 2014 r. poz. 1934).

Nie trzeba zgłaszać powołania IOD, ale należy zawiadomić o wyznaczeniu IOD Prezesa UODO w terminie 14 dni od wyznaczenia – można również elektronicznie. Administrator, który powoła IOD, ma dwa obowiązki:

a) opublikować dane kontaktowe inspektora ochrony danych,

 b) zawiadomić organ nadzorczy o tych danych kontaktowych (w Polsce Urząd Ochrony Danych Osobowych).

Podległość

ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej, która jest administratorem danych.

IOD bezpośrednio podlega najwyższemu kierownictwu administratora.

Zastępcy

Administrator danych może powołać zastępców ABI, którzy spełniają warunki kwalifikacyjne takie jak ABI.

Przepisy nie przewidują możliwości powołania zastępców.

Kwalifikacje

ABI może być osoba, która spełnia łącznie następujące warunki:

a) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,

b) nie była karana za umyślne przestępstwo,

c) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych.

IOD jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań inspektora.

Pracownik czy outsourcing usług

Funkcję ABI można zlecić pracownikowi podmiotu. Osoba musi spełniać określone ustawowo wymogi oraz mieć zapewnioną możliwość realizacji ustawowo nałożonych na nią zadań. Do administratora danych należy również rozstrzygnięcie, czy konkretny pracownik będzie w stanie pogodzić swoje obowiązki pracownicze z obowiązkami wynikającymi z pełnienia funkcji ABI. Istnieje również możliwość tzw. outsourcingu funkcji ABI, czego ustawa nie zakazuje.

Inspektor ochrony danych może być:

a) członkiem personelu administratora,

b) wykonywać zadania na podstawie umowy o świadczenie usług (outsourcingu funkcji IOD).

Jeden wspólny ABI lub IOD

Przepisy nie przewidują takiego rozwiązania.

Będzie można powołać jednego wspólnego IOD dla:
a) grupy przedsiębiorstw (ale tylko pod warunkiem, że można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej); grupa przedsiębiorstw – oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane,

b) kilku organów lub podmiotów publicznych (ale tylko z uwzględnieniem struktury organizacyjnej i wielkości),

c) zrzeszeń lub innych podmiotów reprezentujących określone kategorie administratorów (ale tylko w sytuacji, gdy nie zachodzą przesłanki określone w art. 37 ust. 1 rozporządzenia, które stanowią, kiedy jest obligatoryjne powołanie IOD).

Zadania

Ustawowe zadania ABI to:

1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

a) sprawdzenie zgodności przetwarzania danych osobowych z przepisami oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

b) nadzorowanie opracowania i aktualizacja dokumentacji ochrony danych osobowych,

c) zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,

2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Powierzenie innych obowiązków osobie pełniącej funkcję ABI możliwe jest wyłącznie wtedy, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa wyżej.

Tryb i sposób realizacji zadań przez ABI określony został w rozporządzeniu ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745). 

IOD ma następujące zadania:

a) informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy ogólnego rozporządzenia oraz innych przepisów o ochronie danych i doradzanie im w tej sprawie,

b) monitorowanie przestrzegania ogólnego rozporządzenia, innych przepisów o ochronie danych oraz polityk administratora w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,

c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,

d) współpraca z organem nadzorczym (UODO w Polsce),

e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

IOD może wykonywać inne zadania i obowiązki. Administrator zapewnia jednak, by takie zadania i obowiązki nie powodowały konfliktu interesów.

Podstawa prawna: 
Dariusz Skrzyński

Autor: Dariusz Skrzyński

Prawnik, trener, specjalista z zakresu prawa oświatowego, prawa pracy i prawa autorskiego, project manager projektów oświatowych realizowanych z funduszy UE, prowadzi szkolenia i konferencje dla kierowniczej kadry oświaty, rad pedagogicznych, nauczycieli oraz wychowawców

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel