www.giodo.gov.pl

Rola administratora bezpieczeństwa informacji a kontrole Generalnego

Inspektora Ochrony Danych Osobowych

Bogusława Pilc, Radca Prawny, Dyrektor Departamentu Inspekcji w Biurze Generalnego

Inspektora Ochrony Danych Osobowych

www.giodo.gov.pl

Plan prezentacji

– Przepisy prawa dot. ABI– Wyznaczenie ABI – obowiązkowe czy dobrowolne– Kwalifikacje ABI– Status ABI u Administratora Danych osobowych– Główne zadania ABI w zapewnieniu przestrzegania przepisów o ochronie

danych osobowych– Odpowiedzialność ABI– Uprawnienia i obowiązki GIODO wobec ABI– Zakres uprawnień kontrolnych inspektora GIODO– Czynności podejmowane przez ABI podczas kontroli GIODO– Kompetencje ABI w kontaktach z GIODO

www.giodo.gov.pl

• Ustawa o ochronie danych osobowych (t.j. Dz.U.2014.1182 ze zm.)

• Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji

• Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych

• Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji

PRZEPISY PRAWA DOT. ABI PO 01 STYCZNIA 2015

www.giodo.gov.pl

WYZNACZENIE ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI (ABI) PO 1 STYCZNIA 2015 R.

• Wyznaczenie ABI jest dobrowolnedobrowolne (art. 36a ustawy o ochronie danych osobowych).

• W przypadku niepowołania administratora bezpieczeństwa informacji jego zadania wykonuje administrator danych osobowych (ADO), z wyłączeniem obowiązku sporządzenia sprawozdania (art. 36b ustawy).

• Ustawa przewiduje możliwość powołania zastępców ABI (art.36a ust. 6 ustawy).

www.giodo.gov.pl

ABI PO 1 STYCZNIA 2015 R.

• Obowiązek zgłoszenia powołania i odwołania ABI do rejestracji Generalnemu Inspektorowi, w terminie 30 dni od dnia powołania lub odwołania (art. 46b ustawy, Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji Dz. U. 2014, poz. 1934).

• Jawność rejestru administratorów bezpieczeństwa informacji prowadzonego przez Generalnego Inspektora, w zakresie:

- oznaczenia administratora danych oraz adresu jego siedziby, - danych ABI, obejmujących: imię i nazwisko oraz adres do

korespondencji, jeżeli jest inny niż adres siedziby administratora danych (art. 46c ustawy).

www.giodo.gov.pl

KWALIFIKACJE ABI PO 1 STYCZNIA 2015 R.

Kwalifikacje administratora bezpieczeństwa informacji (art. 36a ust. 5 ustawy):

• Pełna zdolność do czynności prawnych i korzystanie z pełni praw publicznych.

• Odpowiednia wiedza w zakresie ochrony danych osobowych.

• Niekaralność za umyślne przestępstwo.

www.giodo.gov.pl

STATUS ABI PO 1 STYCZNIA 2015 R.

Status administratora bezpieczeństwa informacji:

- Podległość bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych (art. 36a ust. 7 ustawy).

- Organizacyjna odrębność w zakresie niezbędnym do wykonywania zadań ABI (art. 36a ust. 8 ustawy).

- Możliwość wykonywania innych powierzonych przez administratora danych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań ABI (art. 36a ust. 4 ustawy).

www.giodo.gov.pl

GŁÓWNE ZADANIA ABI PO 1 STYCZNIA 2015 R.

Zadania administratora bezpieczeństwa informacji (I):

Zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

• sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych (zakres informacji, które sprawozdanie powinno zawierać określa art.36c ustawy)

www.giodo.gov.pl

GŁÓWNE ZADANIA ABI PO 1 STYCZNIA 2015 R.

• Zadania administratora bezpieczeństwa informacji (II):

- nadzorowanie opracowania i aktualizowania dokumentacji (tj. polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych oraz przestrzegania zasad w niej określonych

- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych

Podstawa prawna: art. 36a ust. 2 pkt 1 ustawy, rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w

sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r. poz. 745)

www.giodo.gov.pl

GŁÓWNE ZADANIA ABI PO 1 STYCZNIA 2015 R.

Zadania administratora bezpieczeństwa informacji (III):

Prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów ustawowo zwolnionych z rejestracji. Rejestr ten powinien zawierać: nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7 ustawy.

Podstawa prawna: art. 36a ust. 2 pkt 2 ustawy, rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w

sprawie prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych (Dz. U. z 2015 r., poz. 719)

www.giodo.gov.pl

GŁÓWNE ZADANIA ABI PO 1 STYCZNIA 2015 R.

Zadania administratora bezpieczeństwa informacji (IV):

• Dokonywanie sprawdzenia, w przypadku zwrócenia się o dokonanie sprawdzenia przez Generalnego Inspektora i przedstawienie Generalnemu Inspektorowi za pośrednictwem administratora danych, sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a ustawy.

Podstawa prawna: art. 19b ustawy, rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie

trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r. poz. 745)

www.giodo.gov.pl

ODPOWIEDZIALNOŚĆ ABI PO 1 STYCZNIA 2015

Odpowiedzialność administratorów bezpieczeństwa informacji:

• Odpowiedzialność pracownicza za niewłaściwe wykonywanie obowiązków.

• Odpowiedzialność karna.

www.giodo.gov.pl

UPRAWNIENIA I OBOWIĄZKI GIODO WOBEC ABI PO 1 STYCZNIA 2015 R.

• Nowe uprawnienia i obowiązki Generalnego Inspektora wobec administratorów bezpieczeństwa informacji:

• Zwracanie się do ABI o przeprowadzenie sprawdzenia i przedstawienie sprawozdania z tego sprawdzenia (dokonanie sprawdzenia nie wyłącza prawa Generalnego Inspektora do przeprowadzenia kontroli).

• Prowadzenie rejestru administratorów bezpieczeństwa informacji. • Wydawanie decyzji o wykreśleniu z rejestru, wpisaniu lub odmowie

wpisania ABI do rejestru w przypadkach przewidzianych przez ustawę.

• Wydawanie zaświadczeń o zarejestrowaniu ABI.

www.giodo.gov.pl

Zakres uprawnień kontrolnych inspektora GIODO• wstęp do pomieszczeń, w których przetwarzane są

dane osobowe;• żądanie pisemnych lub ustnych wyjaśnień;• wzywanie i przesłuchiwanie osób;• wgląd do dokumentów i sporządzanie ich kopii;• oględziny urządzeń, nośników i systemów

informatycznych;• zlecanie ekspertyz i opinii

www.giodo.gov.pl

Czynności podejmowane przez ABI podczas kontroli (1)• Funkcja organizatorska:• udział w organizowaniu spotkań z kierownictwem kontrolowanego

podmiotu;• współpraca z inspektorami w zakresie koordynowania czynności

kontrolnych np. poprzez wskazanie osób posiadających wiedzę w zakresie objętym kontrolą, umawianie spotkań z tymi osobami oraz innymi osobami, których obecność jest niezbędna w związku z celem kontroli;

• wskazywanie obszaru objętego kontrolą Aktywne uczestnictwo w poszczególnych czynnościach kontrolnych:• udostępnianie dokumentacji wymaganej przepisami o ochronie danych

osobowych;• wydanie kopii dokumentów oraz wydruków obrazów z ekranu

komputerowego;• przedstawianie funkcjonalności systemu informatycznego w przypadku

gdy ABI jest informatykiem i posiada uprawnienia administratora, co przekłada się na dostęp do systemu informatycznego;

www.giodo.gov.pl

Czynności podejmowane przez ABI podczas kontroli (2)

• szczegółowe przedstawienie przesłanek legalności przetwarzania danych ze wskazaniem - jeżeli dotyczy - przepisów prawa materialnego – w przypadku gdy ABI jest prawnikiem;

• udział w przeprowadzanych oględzinach dokumentacji, elektronicznych nośników informacji oraz systemów informatycznych;

www.giodo.gov.pl

Kompetencje ABI w kontaktach z GIODO• Umocowanie ABI do reprezentowania podmiotu w toku kontroli w

siedzibie podmiotu jak również w trakcie czynności „pokontrolnych” • Składanie wyjaśnień i przedstawianie pozostałych dowodów

wskazanych przez GIODO;• Realizowanie w imieniu podmiotu praw strony w postępowaniu

administracyjnym prowadzonym przez GIODO na skutek przeprowadzonej kontroli np. poprzez wgląd w akta sprawy w Biurze GIODO, sporządzania z nich notatek, kopii lub odpisów;

• Uczestnictwo w konferencjach, seminariach, szkoleniach oraz spotkaniach w ramach podejmowanych przez GIODO przedsięwzięć w zakresie doskonalenia ochrony danych osobowych

www.giodo.gov.pl

Dziękuję za uwagę