Skopiuj link
Status ABI w zakładzie
W świetle aktualnie obowiązujących przepisów o ochronie danych osobowych administrator bezpieczeństwa informacji jest powoływany (i odwoływany) przez administratora danych osobowych (art. 36a ust. 1 ustawy). Aby mógł rozpocząć legalne funkcjonowanie w zakładzie pracy musi być zgłoszony przez administratora danych osobowych do rejestru GIODO (art. 46b ust. 1 ustawy).
W zakładzie ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych, może posiadać zastępców powołanych przez administratora danych osobowych (art. 36a ust. 6 i 7 ustawy). Musi spełniać stosowne wymogi formalne wskazane w art. 36a ust. 5 ustawy.
Obowiązki ABI
Podkreślając kontrolną funkcję ABI ustawodawca powierzył mu obowiązki dwojakiego rodzaju: sprawdzające oraz porządkowe / rejestracyjne (art. 36a ust. 2 ustawy).
Do pierwszych z nich należy zaliczyć zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez:
- sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
- nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych oraz przestrzegania zasad w niej określonych,
- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
Drugim z obszarów jest (co do zasady) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych zawierającego nazwę zbioru oraz konkretne informacje wskazane przez ustawodawcę.
Rejestr prowadzony przez ABI
W zakresie zawartości rejestru ABI prawodawca odsyła do art. 41 ust. 1 pkt 2-4a i 7 ustawy. Dlatego też wśród wymaganych danych należy wymienić:
- oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania (w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany) oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi zewnętrznemu lub wyznaczenia przedstawiciela RP w państwie trzecim – oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania;
- cel przetwarzania danych;
- opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych;
- sposób zbierania oraz udostępniania danych;
- informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane;
- informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Należy podkreślić, iż zgodnie z wolą ustawodawcy ABI ma prowadzić rejestr zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 ustawy o ochronie danych osobowych.
