Page 9 - DN 4
P. 9
NOWELIZACJA USTAWY
nej ustawy. Obowiązek wykonywania tych zadań aktualizuje Do zadań zewnętrznych ABI
się od chwili zgłoszenia ABI do rejestracji u Generalnego In- należy m.in. sprawdzanie,
spektora Ochrony Danych Osobowych.
W drugiej grupie sytuacji mieszczą się natomiast różne za- na żądanie GIODO, zgodności
dania, które ABI powinien wykonać w ramach struktury
administratora danych. przetwarzania danych
Obowiązek ich wykonywania aktualizuje się zarówno w sto-
sunku do „nowych”, jak i „starych” ABI, od chwili wejścia osobowych u ADO z przepisami
w życie nowelizacji, tj. 1 stycznia 2015 r. Bez znaczenia jest
więc, czy dokonane zostało już zgłoszenie Administratora
Bezpieczeństwa Informacji do rejestracji. Obowiązek rejestracji ABI
Zakres zadań wewnętrznych W przypadku wyboru modelu zarządzania ochroną da-
ABI nych osobowych poprzez powołanie Administratora
Bezpieczeństwa Informacji administrator danych jest
2
zobowiązany do zgłoszenia go do rejestracji .
W grupie zadań „wewnętrznych” ABI-ego mieszczą się dwa Zgłoszenie to, z wyjątkiem „starego” ABI, powinno nastą-
podstawowe rodzaje działań. pić w terminie 30 dni od jego powołania (art. 46b ust. 1).
Do pierwszej grupy zadań „wewnętrznych” zaliczyć należy W ustawie wprowadzono również 14-dniowy obowiązek
zapewnienie przestrzegania przepisów o ochronie danych aktualizacyjny, dotyczący informacji objętych pierwot-
osobowych (art. 36a ust. 2 pkt 1). Chodzi tu o różnego ro- nym zgłoszeniem (art. 46b ust. 5).
dzaju działania o charakterze wykonawczym, kontrolnym Dokonanie zgłoszenia ABI do rejestracji ma trojakiego
1
oraz opiniodawczym . rodzaju znaczenie prawne. Po pierwsze, możliwość za-
W ustawie wskazano w związku z tym na takie czynno- żądania przez Generalnego Inspektora przeprowadzenia
ści, jak: kontroli uproszczonej aktualizuje się dopiero po zgłosze-
a) sprawdzanie zgodności przetwarzania danych osobo- niu ABI do rejestracji (art. 19b ust. 1).
wych z przepisami o ochronie danych osobowych, Po drugie, o ile sam obowiązek powołania ABI ma cha-
b) nadzorowanie opracowania i aktualizowania doku- rakter fakultatywny, o tyle już po podjęciu takiej decyzji
mentacji przetwarzania i ochrony danych osobowych przez administratora danych nie ma on swobody i powi-
oraz przestrzeganie zasad w niej określonych, nien dokonać zgłoszenia ABI.
c) zapewnienie zapoznania osób upoważnionych do Jego niewykonanie będzie skutkowało odpowiedzialnością
przetwarzania danych osobowych z przepisami administracyjną, należy natomiast przyjąć, że administra-
o ochronie danych osobowych. tor nie ponosi wówczas odpowiedzialności karnej. W ra-
mach nowelizacji nie zmieniono bowiem dotychczasowego
UWAGA
art. 53 uodo, który przewiduje sankcję karną za niewyko-
Zakres zadań ABI wykracza poza problematykę zabezpieczenia da- nanie zgłoszenia rejestracyjnego (ale w zakresie zbiorów
nych osobowych i dotyczy również np. weryfikacji podstaw prawnych danych, a nie ABI).
przetwarzania danych przez administratora. Realizacji tego zadania Po trzecie, zgłoszenie ABI do rejestracji jest warunkiem
służyć mają m.in. okresowe sprawdzenia (audyty) zgodności prze- skorzystania przez administratora danych zbiorów ze zwol-
twarzania z przepisami o ochronie danych osobowych. nienia z obowiązku rejestracji zbiorów danych osobowych
na podstawie art. 43 ust. 1a (uproszczona rejestracja).
Należy również pamiętać, że wyliczenie zadań w art. 36a ust. 2
pkt 1 nie ma charakteru zamkniętego, Administratorzy Bez- Uprawnienia kontrolne GIODO
pieczeństwa Informacji mogą i powinni wykonywać inne jesz-
cze zadania (np. będąc punktem kontaktowym w przypadku wobec ABI
zgłaszanych skarg przez podmioty danych czy działając jako
pełnomocnicy administratora danych w trakcie kontroli wyko- Zgłoszenie ABI do rejestracji skutkuje zwolnieniem admi-
nywanych przez inspektorów Generalnego Inspektora Ochrony nistratora danych z obowiązku rejestracji zwykłych zbio-
Danych Osobowych). rów danych.
Drugim, niewystępującym dotychczas w ustawie, rodzajem Szczególnego znaczenia nabiera w związku z tym regulacja
wewnętrznych zadań ABI jest obowiązek prowadzenia reje- dotycząca wykreślania ABI. Znowelizowana ustawa różni-
stru zbiorów danych przetwarzanych przez administratora cuje w tym zakresie dwie grupy sytuacji.
danych (art. 36a ust. 2 pkt 2 uodo). Rejestr ten powinien Do pierwszej zalicza się przypadki wykreślenia Administra-
być jawny. tora Bezpieczeństwa Informacji z rejestru wskutek powiado-
Uszczegółowienie obu wyżej opisanych działań wewnętrz- mienia o jego odwołaniu albo jego śmierci (art. 46d ust. 1).
nych ma nastąpić w rozporządzeniu wykonawczym, wyda- Należy przyjąć, że jeżeli równocześnie zostanie powołany
nym na podstawie art. 36a ust. 9. nowy ABI, w stosunku do którego administrator danych
2 Szerzej na temat obowiązku zgłoszenia ABI do rejestracji – zob. J. Byrski w ni-
1 Bogusława Pilc, dodatek Monitor Prawniczy nr 7/2012. niejszym numerze „Rejestracja zbiorów danych osobowych po nowelizacji”.
OCHRONA DANYCH OSOBOWYCH 147 STYCZEŃ 2015