Gdy ADO nie powoła ABI – prowadzenie sprawdzeń

Data: 22-02-2016 r.

Jednym z podstawowych obowiązków związanych z ochroną danych osobowych jest przeprowadzenie sprawdzenia zgodności ich przetwarzania z przepisami. Powinien zająć się tym administrator bezpieczeństwa informacji. Jednak co w sytuacji, gdy administrator danych osobowych nie powołał ABI? Czy sam realizuje ten obowiązek?

W kontekście obowiązku prowadzenia sprawdzeń zgodności przetwarzania danych osobowych z przepisami przez administratora danych osobowych pojawia się kilka pytań. Czy administrator danych osobowych jest w ogóle zobowiązany do przeprowadzenia sprawdzenia? Jeśli tak, to jakie warunki powinien spełnić, przygotowując plan sprawdzenia? Jakie czynności powinien podjąć?

 

Rozporządzenie ministra administracji i cyfryzacji z 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji doprecyzowuje obowiązki administratora bezpieczeństwa informacji przewidziane w ustawie o ochronie danych osobowych.

Sprawdzenie – uproszczona procedura kontroli

Celem niniejszej publikacji nie jest wskazanie na podstawowe plusy powołania administratora bezpieczeństwa informacji, niemniej jednak stanowić one będą dobry punkt odniesienia do przyszłych rozważań. Podmioty, które zdecydują się na powołanie administratora bezpieczeństwa informacji, mogą mieć większą pewność, że przestrzegają przepisy o ochronie danych osobowych.

Mogą także oczekiwać zwiększenia bezpieczeństwa samych danych osobowych1. Najważniejszą jednak zaletą są kwestie „uproszczonej procedury kontroli”, którą rozporządzenie nazywa sprawdzeniem dokonywanym na wniosek Generalnego Inspektora Ochrony Danych Osobowych.

Zaletą takiej „uproszczonej kontroli” jest to, że Generalny Inspektor Ochrony Danych Osobowych nie wysyła inspekcji, tylko zwraca się do administratora bezpieczeństwa informacji, aby ten w imieniu GIODO przeprowadził kontrolę. Nie jest to jednak jednoznaczne z tym, że taka kontrola w ogóle nie nastąpi.

Jednakże, jak wynika z wypowiedzi Generalnego Inspektora Ochrony Danych Osobowych, jeżeli przekazane sprawozdanie będzie zawierało opis podjętych środków usuwających uchybienia z ustawy o ochronie danych osobowych, to GIODO na wynikach takiego sprawozdania może poprzestać.

Zatem w podmiocie, w którym powołano administratora bezpieczeństwa informacji, nastąpi kontrola wewnętrzna prowadzona w formie sprawdzenia, a rola ABI sprowadzi się do funkcji quasi-audytora. Administrator bezpieczeństwa informacji w świetle nowelizacji stał się zatem swoistym łącznikiem pomiędzy administratorem danych osobowych a Generalnym Inspektorem Ochrony Danych Osobowych.

Po co prowadzić sprawdzenie

Przyjrzyjmy się teraz instytucji sprawdzenia. Na początek kilka słów wprowadzających. Sprawdzenie jest zespołem czynności, które mają na celu zweryfikowanie, czy w danej jednostce przetwarzanie danych osobowych odbywa się w zgodzie z przepisami o ochronie danych osobowych.

Celem sprawdzenia jest więc weryfikacja zgodności procesów przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz dobrymi praktykami, w obszarze ochrony danych osobowych. Dodatkowo sprawdzenie ma za zadanie ograniczyć możliwość wystąpienia incydentów godzących w bezpieczeństwo danych osobowych.

Możemy je porównać do kontroli przeprowadzanej przez kontrolerów Generalnego Inspektora Ochrony Danych Osobowych. Co prawda kontrola ta nie jest tak sformalizowana, ale możemy znaleźć kilka tożsamych elementów. Są dwa rodzaje sprawdzeń – dokonywane dla administratora danych osobowych lub na wniosek Generalnego Inspektora Ochrony Danych Osobowych. Sprawdzenie dla administratora danych osobowych może mieć zarówno charakter sprawdzenia planowego, jak i doraźnego.

Sprawdzenie, gdy nie ma powołanego ABI

A co w sytuacji niepowołania administratora bezpieczeństwa informacji? Czy administrator danych osobowych jest zwolniony z obowiązków nałożonych przez ustawę o ochronie danych osobowych?

W razie niewyznaczenia administratora bezpieczeństwa informacji administrator danych osobowych musi sam realizować obowiązki wynikające z przepisów ustawy o ochronie danych osobowych. Jednakże, w przypadku niepowołania administratora bezpieczeństwa informacji administratora danych osobowych nie ma obowiązku prowadzenia jawnego rejestru zbiorów danych osobowych, przeprowadzenia sprawdzenia zgodności przetwarzania danych osobowych z przepisami oraz przygotowania sprawozdania z takiego sprawdzenia. Dodatkowo administrator danych, który nie powoła ABI, nie zostanie wezwany przez GIODO do przeprowadzenia sprawdzenia i złożenia z niego sprawozdania.

Piotr Janiszewski, radca prawny

Tagi: ADO, ABI

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 38614 )
Array ( [docId] => 38614 )