Kompetencje kontrolne GIODO wobec ABI

Data: 01-02-2016 r.

Generalny Inspektor Ochrony Danych Osobowych wśród wielu funkcji ma także uprawnienia kontrolne. Niektórymi środkami dysponuje w odniesieniu do administratora bezpieczeństwa informacji. GIODO może kontrolować cały zakres odpowiedzialności ABI.

Jeżeli administrator danych osobowych skorzystał ze swojego uprawnienia i powołał administratora bezpieczeństwa informacji, to musi się liczyć z możliwością podejmowania przez Generalnego Inspektora Ochrony Danych Osobowych określonych działań. Administrator danych ma obowiązek zgłosić do rejestracji GIODO powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania. Generalny Inspektor Ochrony Danych Osobowych potwierdza zarejestrowanie administratora bezpieczeństwa informacji wydając, na wniosek administratora danych osobowych lub samego ABI, stosowne zaświadczenie.

Administrator bezpieczeństwa informacji zostaje wykreślony z rejestru nie tylko w razie jego odwołania lub śmierci. GIODO ma bowiem możliwość wydania administratorowi danych decyzji o wykreśleniu danego ABI z rejestru administratorów bezpieczeństwa informacji. Co więcej, decyzję taką Generalny Inspektor Ochrony Danych Osobowych wydaje z urzędu, czyli bez wniosku administratora danych czy jakiegokolwiek innego podmiotu.

Zmieniając strukturę organizacyjną w firmie, czy planując szkolenia pracowników na nowy rok, warto pamiętać o wpływie tych decyzji na ewentualną możliwość wykreślenia administratora bezpieczeństwa informacji z rejestru. Administrator bezpieczeństwa informacji, który został wykreślony przez GIODO z rejestru, może zostać do niego ponownie wpisany, jeżeli GIODO stwierdzi, że nie zachodzą już przyczyny wykreślenia z rejestru. Dla administratora danych najistotniejsze jest to, że przez czas, w jakim ABI jest wykreślony z rejestru, nie korzysta on z przywileju zwolnienia z obowiązku rejestracji zbioru danych.

Przypomnijmy, że administrator danych, który powołał ABI i zgłosił go do GIODO, nie musi rejestrować zbiorów danych osobowych z wyjątkiem zbiorów danych wrażliwych. Od momentu uprawomocnienia się decyzji o wykreśleniu ABI z rejestru do momentu ponownego wpisania go do niego administrator danych powinien mieć zarejestrowane prowadzone przez siebie zbiory danych osobowych.

Ustawa z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej dodała do ustawy o ochronie danych osobowych nowe, istotne uprawnienie GIODO względem administratora bezpieczeństwa informacji. Generalny Inspektor może zwrócić się do zarejestrowanego ABI, aby ten dokonał u swojego administratora danych sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. GIODO wskazuje przy tym ABI zakres i termin sprawdzenia. Rezultatem pracy ABI powinno być sprawozdanie, które jest przedstawiane GIODO za pośrednictwem administratora danych osobowych.

Jest to więc swoisty nakaz „doniesienia” na własnego pracodawcę czy zleceniodawcę. ABI nie może bowiem kwestionować zarówno samego polecenia dokonania sprawdzenia, jak i zakresu czy terminu wskazanego przez GIODO. Sporządzenie sprawozdania powinno być przez administratora danych i ABI traktowane jako pewnego rodzaju szansa na uniknięcie kontroli GIODO. Jeżeli bowiem organ uzna, że sprawozdanie niedostatecznie wyjaśnia jego wątpliwości, zarządzi przeprowadzenie kontroli na zasadach ogólnych.

Warto przy tym pamiętać, że sprawozdania sporządzane na żądanie GIODO są czymś innym niż sprawozdania opracowywane przez ABI dla administratora danych. Te drugie sprawozdania mogą być planowane lub doraźne i mają charakter wewnętrzny. Są robione wyłącznie po to, aby administrator danych miał świadomość czy i jakie nieprawidłowości w przetwarzaniu danych osobowych następują w jego organizacji i mógł je wyeliminować, a w zasadzie nadzorować ich usunięcie przez ABI.

Samo sprawozdanie może być sporządzone zarówno w wersji elektronicznej, jak i papierowej. Jeżeli termin wyznaczony przez GIODO do sporządzenia sprawozdania nie pozwala na uprzednie zawiadomienie przez ABI swojego administratora danych, zawiadomienie takie nie musi być nawet dokonane.

Marcin Sarna, radca prawny

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 38527 )
Array ( [docId] => 38527 )