Page 6 - DN 4
P. 6
ODO@WIP.PL
UWAGA
Korzyści z powołania Istotą kontroli uproszczonej jest to, że nie ma ona charakteru kontroli
Administratora „zewnętrznej” wykonywanej przez pracowników GIODO, ale kontro-
li „wewnętrznej” realizowanej przez osobę powołaną przez admini-
Bezpieczeństwa Informacji stratora danych. Niewątpliwie jest to rozwiązanie korzystne dla ADO.
to uproszczona kontrola Uproszczona rejestracja jest z kolei regulowana przepisem
i uproszczona rejestracja art. 43a) ust. 1a znowelizowanej uodo.
Zgodnie z nim powołanie ABI i zgłoszenie go Generalne-
mu Inspektorowi do rejestracji skutkuje brakiem koniecz-
W ich przypadku możliwe było więc osobiste sprawowa- ności zgłaszania przez administratora danych do rejestracji
nie nadzoru nad danymi osobowymi, bez konieczności zbiorów zwykłych, a więc zbiorów niezawierających danych
wyznaczania ABI. wrażliwych, których katalog określony jest w art. 27 usta-
Nowelizacja uodo wprowadza istotną zmianę w powyż- wy o ochronie danych osobowych.
szym zakresie. Przepis art. 36a ust. 1 znowelizowanej Oprócz wyraźnie wskazanych w ustawie korzyści dotyczą-
uodo stanowi bowiem, że „administrator danych może cych powołania ABI-ego wymienić należy dalsze jeszcze za-
powołać Administratora Bezpieczeństwa Informacji”. lety przyjęcia takiego modelu.
Równocześnie w art. 36b wyraźnie wskazano, że w przy- W pierwszej kolejności należy wskazać na ograniczenie ry-
padku niepowołania Administratora Bezpieczeństwa In- zyka ponoszenia odpowiedzialności karnej za nieprzestrze-
formacji zadania w zakresie zapewnienia przestrzegania ganie przepisów o ochronie danych osobowych przez osoby
przepisów o ochronie danych osobowych wykonuje ad- sprawujące w imieniu Administratora Danych Osobowych
ministrator danych. nadzór nad ochroną danych (np. członkowie zarządu).
W świetle powyższych przepisów należy uznać, że po Po drugie, ustanowienie Administratora Bezpieczeństwa
1 stycznia 2015 r. każdy administrator danych (a więc Informacji – w stosunku do części administratorów danych
również osoby prawne) będzie mógł wybrać bądź model – przewidziane jest w projekcie rozporządzenia Parlamentu
osobistego sprawowania nadzoru nad ochroną danych Europejskiego i Rady w sprawie ochrony osób f zycznych
osobowych, bądź też utworzyć powołaną do tego spe- w związku z przetwarzaniem danych osobowych i swobod-
cjalną strukturę, w skład której wchodzą ABI i – ewen- nym przepływem takich danych (tzw. ogólne rozporządze-
tualnie – jego zastępcy (art. 36a ust. 6). nie o ochronie danych).
Dalsze uwagi poświęcone zostaną modelowi, w którym Powołanie Administratora Bezpieczeństwa Informacji na
administrator danych powołuje Administratora Bezpie- podstawie znowelizowanych przepisów uodo stanowić więc
czeństwa Informacji. będzie dla tych podmiotów element przygotowania danej
Związane jest z nim bowiem ustanowienie dodatko- organizacji do spełnienia wymogów prawnych, które po-
wych korzyści w ustawie, jest on również – patrząc na jawią się w przyszłości.
treść projektu rozporządzenia Parlamentu Europejskie- Po trzecie, nie do przeceniania jest tzw. aspekt wizerunko-
go i Rady w sprawie ochrony osób fizycznych w związ- wy. Podmioty, które posiadają sprofesjonalizowaną struktu-
ku z przetwarzaniem danych osobowych i swobodnym rę ochrony informacji, powszechnie traktowane są jako lepiej
przepływem takich danych – docelowym sposobem dla dbające o należyte zabezpieczenie danych osobowych.
dużej grupy administratorów danych. Może to mieć szczególne znaczenie w przypadku tych ad-
ministratorów danych, których podstawowa działalność
Korzyści płynące nierozerwalnie związana jest z korzystaniem z danych oso-
z powołania ABI bowych.
Status i zadania ABI
Fakultatywność obowiązku powołania ABI każe zadać py-
tanie, czy i jakie są ewentualne korzyści dla administratora – istota zmian
danych związane z jego ustanowieniem. Analiza przepi-
sów znowelizowanej uodo pozwala w związku z tym na Nowelizacja uodo stanowi wyraz realizacji postulatu, wy-
wskazanie dwóch podstawowych zachęt. Należą do nich żej już opisanego, zwiększenia kontroli funkcjonalnej. Ma
w szczególności tzw. uproszczona kontrola oraz uprosz- się ona odbywać poprzez wprowadzenie wielu rozwiązań,
czona rejestracja. które pozwalają ABI wykonywać zadania, będące do tej
Do uproszczonej kontroli odnosi się art. 19b ust. 1 znowe- pory wyłączną domeną Generalnego Inspektora (kontro-
lizowanej uodo. la instytucjonalna).
Zgodnie z tym przepisem Generalny Inspektor może zwró- Z drugiej strony kontrola funkcjonalna odbywa się poprzez
cić się do Administratora Bezpieczeństwa Informacji wpi- ustanowienie instrumentów, które zapewniają osobom
sanego do rejestru o dokonanie sprawdzenia zgodności sprawującym funkcję ABI faktyczne możliwości wykony-
przetwarzania danych osobowych z przepisami o ochro- wania powierzonych im zadań (m.in. gwarancje niezależ-
nie danych osobowych. Sprawdzenie to wykonywane jest ności, odpowiednie środki itp.).
u administratora danych, który powołał ABI-ego, a jego Zawarte w nowelizacji rozwiązania w zakresie zasad ochro-
zakres i termin określa Generalny Inspektor. ny danych osobowych, w tym statusu i zadań Administra-
OCHRONA DANYCH OSOBOWYCH 144 STYCZEŃ 2015