Administrator Bezpieczeństwa Informacji (ABI) – powoływać czy nie?
14 wrz 2016
Zgodnie z obecnie obowiązującą Ustawą o ochronie danych osobowych, powołanie ABI – organu doradczego - jest dobrowolne.
Niemniej, należy mieć na uwadze, iż od dnia 25 maja 2018 r. powyższa sytuacja ulegnie zmianie. Zgodnie z rozporządzeniem o ochronie danych osobowych, które wówczas zacznie obowiązywać we wszystkich krajach Unii Europejskiej, wiele podmiotów przetwarzających dane osobowe będzie zobligowanych powołać ABI – tj. Inspektora Ochrony Danych (IOD).
Główną zaletą powołania ABI jest ograniczenie ryzyka kontroli „z urzędu” ze strony Generalnego Inspektora Ochrony Danych Osobowych (dalej: „GIODO”). Nadto, w oczach GIODO, fakt powołania i zgłoszenia ABI do rejestru GIODO przez podmioty przetwarzające dane osobowe, oznacza domniemanie zgodnego z prawem przetwarzania danych w tychże podmiotach.
Do głównych obowiązków ABI i IOD należy:
- sprawdzanie zgodności przetwarzania danych z obowiązującymi przepisami prawa oraz sporządzanie sprawozdań z tychże czynności,
- sporządzanie planu sprawdzeń na okres nie krótszy niż kwartał i nie dłuższy niż rok (wewnętrzne plany kontroli),
- sprawdzanie zbiorów danych oraz systemów informatycznych (minimum raz na 5 lat),
- sporządzenie sprawozdania na żądanie GIODO,
- czuwanie nad prawidłowym przygotowaniem oraz aktualizacją dokumentów obrazujących proces przetwarzania danych, a także opisujących wprowadzone środki służące ochronie tych danych,
- czuwanie nad prawidłowym stosowanie procedur wskazanych w dokumentach,
- dbanie o prawidłowe przetwarzanie danych osobowych przez osoby do tego upoważnione, m.in. zapoznanie ich z przepisami prawa dotyczącymi ochrony danych osobowych.
W odniesieniu do rozporządzenia o ochronie danych, które wejdzie w życie w maju 2018 r., do głównych obowiązków IOD będzie należało m.in:
- informowanie podmiotu przetwarzającego dane osobowe (administratora danych) oraz upoważnionych do ich przetwarzania pracowników, o ich obowiązkach wynikających z rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych, także doradzaniem im w tym zakresie,
- sprawdzanie stosowania rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk podmiotu przetwarzającego w zakresie ochrony danych osobowych,
- szkolenie osób przetwarzających dane osobowe,
- wykonywanie audytów z zakresu prawidłowego przetwarzania danych osobowych,
- współpracowanie z organem nadzorczym.
Konkludując, w celu ograniczenia ryzyka kontroli ze strony GIODO, a zwłaszcza w celu prawidłowego, zgodnego z prawem przetwarzania danych osobowych i podniesienia poziomu ich bezpieczeństwa, zasadnym jest powołanie ABI, a od maja 2018 r. IOD.