Zmiana przepisów dotyczących zgłoszenia do GIODO

1 stycznia 2015 r. weszły w życie znowelizowane przepisy ustawy o ochronie danych osobowych. Jedną z poważniejszych zmian jest fakultatywna możliwość powołania Administratora Bezpieczeństwa Informacji (ABI). Ważna informacja – zmiany przepisów nie dotyczą zbiorów, które zostały zgłoszone do GIODO do końca ubiegłego roku.

Na początek wyjaśnijmy różnicę pomiędzy ADO a ABI. Administratorem Danych Osobowych (ADO) jest każdy podmiot przetwarzający dane osobowe. W przypadku sklepów internetowych jest albo spółka prowadząca działalność handlową, albo przedsiębiorca prowadzący jednoosobową działalność gospodarczą. Natomiast Administrator Bezpieczeństwa Informacji (ABI) to osoba zarządzająca ochroną danych osobowych w ramach organizacji. Osobą tą może być wyznaczony do tych zadań pracownik firmy lub zewnętrzny podwykonawca, który posiada wystarczającą wiedzę z zakresu ochrony danych osobowych. GIODO będzie prowadził ewidencję podmiotów pełniących obowiązki ABI.

Przed zmianą przepisów powołanie ABI było obligatoryjne – obecnie ADO może sam wykonywać obowiązki ABI lub zlecić je odpowiednio przygotowanemu pracownikowi lub wyspecjalizowanej firmie. Istotną zaletą powołania ABI jest brak konieczności zgłaszania przez podmiot prowadzący sklep zbioru danych osobowych do GIODO. Ponadto po wybraniu takiego rozwiązania sklep nie zajmuje się już czynnościami związanymi z ochroną tych danych. To ABI będzie zobowiązany do zgłoszenia zbiorów oraz do kontroli poprawności wdrożenia odpowiednich procedur przetwarzania danych oraz nadzorowania ich prawidłowego przestrzegania. ABI zajmował się będzie prowadzeniem pełnej dokumentacji (ewidencja pomieszczeń, rejestr zbiorów, wykaz osób upoważnionych, rejestr zgód na przetwarzanie danych itp.). Do jego obowiązków należeć będzie również zajmowania się wszelkimi incydentami, związanymi z naruszeniem ochrony danych (kradzież danych, włamania do sytemu informatycznego, skargi klientów itp.). Zatem sklep może w całości przerzucić wszelkie obowiązki związane z obsługą procedur dotyczących danych osobowych na wyznaczony podmiot. Jednak na tym zalety powołania ABI się kończą.

Poważną wadą takiego rozwiązania jest fakt, iż ABI jest zobowiązany do wykonywania cyklicznego, corocznego audytu poprawności trybu przetwarzania danych osobowych w danym podmiocie. Raporty te będą musiały zawierać informacje o najdrobniejszych nawet uchybieniach. Informacje o ich wystąpieniu ABI będzie zobowiązany przesyłać do GIODO – tak więc ABI stają się kolejnymi instytucjami kontrolnymi.

Warto w tym miejscu zauważyć, że właściciele sklepów internetowych mają wybór – albo wyznaczą Administratora Bezpieczeństwa Informacji albo sami przejmą jego obowiązki i zgłoszą zbiory danych do GIODO.

Jeśli zdecydujesz się na samodzielne zgłoszenie zbioru do GIODO, możesz to zrobić poprzez interaktywny formularz dostępny na stronie GIODO (https://egiodo.giodo.gov.pl). Po wypełnieniu formularza należy go wydrukować i wysłać na adres Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa. Jeśli posiadasz elektroniczny podpis kwalifikowany, możesz podpisać nim wniosek – wówczas nie musisz go już przesyłać fizycznie do GIODO.

Pamiętaj jednak, iż samo zgłoszenie nie wystarczy. Każda firma przetwarzająca dane osobowe we własnym zakresie musi mieć opracowany i wdrożony kompletny zestaw procedur (polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym, ewidencje pomieszczeń, rejestr zbiorów oraz osób upoważnionych oraz posiadać umowy powierzenia przetwarzania danych osobowych podmiotom zewnętrznym). Brak wspomnianej powyżej dokumentacji, pomimo poprawnego zgłoszenia zbioru danych osobowych do GIODO, może łączyć się z karami grzywien za każde uchybienie, sięgających do 10.000 dla przedsiębiorców indywidualnych lub nawet do 50.000 zł dla podmiotów prawnych.

Podziel się!

    Dodaj komentarz

    Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *