KA Facebook Fanbox 1.1
Nowe Media/News/Legislacja/Z ABI, czy bez ABI? Jutro ważny termin dla niektórych ADO...
poniedziałek, 29 czerwca 2015 08:11

Z ABI, czy bez ABI? Jutro ważny termin dla niektórych ADO...

Redaktor:  Rafał Cisek

Od 1 stycznia 2015 r. weszła nowelizacja ustawy o ochronie danych osobowych. Zgodnie z nią, 30 czerwca 2015 r. jest ostatecznym terminem decyzji dla ADO (Administrator Danych Osobowych) czy powoływać ABI (Administrator Bezpieczeństwa Informacji), czy nie w tych organizacjach, które przed nowelizacją miały powołanego ABI. W braku decyzji do jutra, dotychczasowi ABI przestaną nimi być. Chodzi o decyzję co do wybrania modelu przetwarzania danych osobowych – z ABI czy bez.

Skomentuj na Facebooku


Oczywiście, w związku z nowelizacją i jutrzejszą datą aktywowała się mocna spamerka, co do komercyjnych usług (szkoleń, audytów, etc.) w zakresie ustawy o ochronie danych osobowych, funkcji administratora bezpieczeństwa informacji i wszelkich aspektów związanych z przetwarzaniem danych osobowych (oczywiście trzeba zgłosić zbiory danych osobowych, bo inaczej będzie źle, a komercyjne firmy za odpowiednią opłatą chętnie Ci pomogą).


Alerty są w tonie, musisz się przeszkolić, jak chcesz być ABI. No i że jutrzejsza data to w ogóle koniec świata, że do jutra trzeba zgłosić zbiory danych osobowych a o szczegółach dowiesz się najlepiej na płatnym szkoleniu (lub powinieneś zgłosić audyt lub dać odpowiednie zlecenie „specjalistom”). Nie mówiąc już o karach finansowych rzędu 200 tys. zł za niezgłoszenie baz danych do jutra.


W związku z tym pojawiły się nawet ważne informacje na stronie GIODO, celem rozwiązania wątpliwości. Oburzyło się też w związku z rozpowszechnianiem nieprawdziwych informacji w spamie m. in. Stowarzyszenie Administratorów Bezpieczeństwa Informacji, wydając swój komunikat. Ich uwagi są w dużej mierze słuszne. Jednak nie można też zupełnie bagatelizować jutrzejszej daty, o czym słusznie zauważają specjaliści z prawa ochrony danych osobowych, tacy jak np. mój kolega mec. Paweł Litwiński.


Słusznie on bowiem zauważył m. in. na Facebook’u, że data jutrzejsza jest ważna dla świadomego wyboru modelu przetwarzania danych w przedsiębiorstwie i kontroli nad nim.

Skomentuj na Facebooku


KANCELARIA PRAWA GOSPODARCZEGO


Zatem chodzi o to, czy – jeżeli zgłosiliśmy zbiory do rejestracji przed 1 stycznia 2015 r., to czy po 30 czerwca 2015 r. będziemy dalej przetwarzać dane osobowe z ABI, czy bez. I bez aktywnego działania ze strony administratora danych osobowych (ADO), przejdziemy w model bez ABI, bo dotychczasowy ABI (powołany w reżimie sprzed nowelizacji ustawy o ochronie danych osobowych, a zatem przed 1 stycznia 2015 r.), przestanie nim być (o ile nie dokonamy stosownego zgłoszenia).


Podstawa prawna - art. 35 ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U.2014.1662 z dnia 27 listopada 2014 r.):


Art. 35. Administrator bezpieczeństwa informacji wyznaczony na podstawie art. 36 ust. 3 ustawy zmienianej w art. 9, w brzmieniu dotychczasowym, pełni funkcję administratora bezpieczeństwa informacji w rozumieniu art. 36a ust. 1 ustawy zmienianej w art. 9, w brzmieniu nadanym niniejszą ustawą, do czasu zgłoszenia go do rejestru, o którym mowa w art. 46c ustawy zmienianej w art. 9, w brzmieniu nadanym niniejszą ustawą, nie dłużej jednak niż do dnia 30 czerwca 2015 r.


Oczywiście ustawa zmieniana w art. 9, to ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182).


We wcześniejszym modelu zgłaszania zbiorów danych osobowych do GIODO (Generalny Inspektor Ochrony Danych Osobowych), ABI był w zasadzie obowiązkowy, jednak nie zgłaszało się go do GIODO, a jedynie działał on niejako wyłącznie wewnątrz organizacji i np. jego dane osobowe widniały tylko w wewnętrznej dokumentacji firmy wymaganej przez GIODO (chodzi np. o politykę bezpieczeństwa, która określała m. in. zakres obowiązków ABI oraz instrukcję zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych)


Obecnie można nie zgłaszać zbiorów danych osobowych do GIODO, a zamiast tego zgłosić do GIODO ABI – do specjalnego rejestru („ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji”). Dzięki temu nie będziemy musieli zgłaszać każdego nowego zbioru do GIODO czy aktualizować zgłoszeń istniejących zbiorów.


Nowelizacja bowiem niejako scedowała kompetencje GIODO „w dół” na wyznaczonego ABI – jeżeli się go oczywiście powoła. Zatem ABI staje się takim firmowym „małym GIODO” i jego rola staje się zdecydowanie bardziej konkretna, niż było w modelu przed nowelizacją, kiedy w zasadzie kompetencje ABIego były nie do końca jasne, a odpowiedzialność za przetwarzanie danych osobowych i kontrolę i tak, tak naprawdę, spoczywała w zasadzie wyłącznie na ADO.


Teraz ABI to taki „rozproszony” firmowy GIODO. Co daje zarówno pewne przywileje i elastyczność, jak i sporą odpowiedzialność, która już spoczywa na ABI, jeżeli go powołamy i zgłosimy do GIODO w obecnym reżimie ustawy o ochronie danych osobowych, po nowelizacji, która weszła w życie w dniu 1 stycznia 2015 r.


Mec. Rafał Cisek

Skomentuj na Facebooku


KANCELARIA PRAWA GOSPODARCZEGO


Warto zapoznać się m oficjalnymi materiałami publikowanymi na stronie GIODO:




Poprawiane: poniedziałek, 29 czerwca 2015 08:46
Więcej z tej kategorii:
« E-sąd nie taki zły
Login to post comments

Kancelaria Prawna | Kancelaria Prawa Gospodarczego i E-commerce
PolskiProgram.pl