Po nowelizacji ze stycznia 2015 roku Ustawy o ochronie danych osobowych, zmienił się status Administratora Bezpieczeństwa Informacji w Instytucji czy firmie. Jeśli ABI został powołany do 30 czerwca 2015 roku i zgłoszony do Centralnego Rejestru w GIODO, nie zgłasza wszystkich zbiorów do Generalnego Inspektora Ochrony Danych Osobowych a prowadzi własny jawny rejestr. Dotyczy to tylko tych zbiorów, które nie zawierają danych osobowych wrażliwych ( art. 27 ust. 1 u.o.d.o.).
Administratorem Bezpieczeństwa Informacji może zostać osoba, która spełnia następujące warunki:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
3) nie była karana za umyślne przestępstwo.
- sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
- nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną oraz przestrzegania zasad w niej określonych,
- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
Jednym z nowych obowiązków ABI jest wykonywanie sprawozdań ze sprawdzeń. Sprawdzanie to termin zarezerwowany przez prawodawcę dla ABI w odróżnieniu od kontroli, które przeprowadzają kontrolerzy GIODO. Inna nomenklatura ale istota ta sama. Sprawdzanie planuje się na rok poprzedzający rok kontroli – jest to tzw. sprawdzianie planowane. Sprawdzanie może być też doraźne przeprowadzane zawsze po wystąpieniu incydentu bezpieczeństwa, oraz na żądanie GIODO.
Sprawozdanie ABI powinno zawierać:
1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania,
2) imię i nazwisko administratora bezpieczeństwa informacji,
3) wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach,
4) datę rozpoczęcia i zakończenia sprawdzenia,
5) określenie przedmiotu i zakresu sprawdzenia,
6) opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
7) stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem,
8) wyszczególnienie załączników stanowiących składową część sprawozdania,
9) podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej – dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania,
10) datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.
Dodaj komentarz