Prezentacja Bogusławy Pilc przedstawiona podczas Konwentu Ochrony Danych i Informacji 2015

1. www.giodo.gov.pl
Rola administratora bezpieczeństwa
informacji a kontrole Generalnego
Inspektora Ochrony Danych Osobowych
Bogusława Pilc, Radca Prawny, Dyrektor
Departamentu Inspekcji w Biurze Generalnego
Inspektora Ochrony Danych Osobowych

2. www.giodo.gov.pl
Plan prezentacji
– Przepisy prawa dot. ABI
– Wyznaczenie ABI – obowiązkowe czy dobrowolne
– Kwalifikacje ABI
– Status ABI u Administratora Danych osobowych
– Główne zadania ABI w zapewnieniu przestrzegania przepisów o ochronie
danych osobowych
– Odpowiedzialność ABI
– Uprawnienia i obowiązki GIODO wobec ABI
– Zakres uprawnień kontrolnych inspektora GIODO
– Czynności podejmowane przez ABI podczas kontroli GIODO
– Kompetencje ABI w kontaktach z GIODO

3. www.giodo.gov.pl
• Ustawa o ochronie danych osobowych (t.j. Dz.U.2014.1182 ze
zm.)
• Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10
grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania
administratora bezpieczeństwa informacji
• Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja
2015 r. w sprawie sposobu prowadzenia przez administratora
bezpieczeństwa informacji rejestru zbiorów danych
• Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja
2015 r. w sprawie trybu i sposobu realizacji zadań w celu
zapewnienia przestrzegania przepisów o ochronie danych
osobowych przez administratora bezpieczeństwa informacji
PRZEPISY PRAWA DOT. ABI PO 01 STYCZNIA
2015

4. www.giodo.gov.pl
WYZNACZENIE ADMINISTRATOR
BEZPIECZEŃSTWA INFORMACJI (ABI)
PO 1 STYCZNIA 2015 R.
• Wyznaczenie ABI jest dobrowolnedobrowolne (art. 36a ustawy o ochronie
danych osobowych).
• W przypadku niepowołania administratora bezpieczeństwa
informacji jego zadania wykonuje administrator danych
osobowych (ADO), z wyłączeniem obowiązku sporządzenia
sprawozdania (art. 36b ustawy).
• Ustawa przewiduje możliwość powołania zastępców ABI (art.36a
ust. 6 ustawy).

5. www.giodo.gov.pl
ABI PO 1 STYCZNIA 2015 R.
• Obowiązek zgłoszenia powołania i odwołania ABI do rejestracji
Generalnemu Inspektorowi, w terminie 30 dni od dnia powołania
lub odwołania (art. 46b ustawy, Rozporządzenie Ministra
Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie
wzorów zgłoszeń powołania i odwołania administratora
bezpieczeństwa informacji Dz. U. 2014, poz. 1934).
• Jawność rejestru administratorów bezpieczeństwa informacji
prowadzonego przez Generalnego Inspektora, w zakresie:
- oznaczenia administratora danych oraz adresu jego siedziby,
- danych ABI, obejmujących: imię i nazwisko oraz adres do
korespondencji, jeżeli jest inny niż adres siedziby administratora
danych (art. 46c ustawy).

6. www.giodo.gov.pl
KWALIFIKACJE ABI PO 1 STYCZNIA 2015 R.
Kwalifikacje administratora bezpieczeństwa informacji (art. 36a
ust. 5 ustawy):
• Pełna zdolność do czynności prawnych i korzystanie z pełni praw
publicznych.
• Odpowiednia wiedza w zakresie ochrony danych osobowych.
• Niekaralność za umyślne przestępstwo.

7. www.giodo.gov.pl
STATUS ABI PO 1 STYCZNIA 2015 R.
Status administratora bezpieczeństwa informacji:
- Podległość bezpośrednio kierownikowi jednostki organizacyjnej
lub osobie fizycznej będącej administratorem danych (art. 36a ust.
7 ustawy).
- Organizacyjna odrębność w zakresie niezbędnym do wykonywania
zadań ABI (art. 36a ust. 8 ustawy).
- Możliwość wykonywania innych powierzonych przez administratora
danych obowiązków, jeżeli nie naruszy to prawidłowego
wykonywania zadań ABI (art. 36a ust. 4 ustawy).

8. www.giodo.gov.pl
GŁÓWNE ZADANIA ABI PO 1 STYCZNIA 2015 R.
Zadania administratora bezpieczeństwa informacji (I):
Zapewnianie przestrzegania przepisów o ochronie danych
osobowych, w szczególności przez:
• sprawdzanie zgodności przetwarzania danych osobowych z
przepisami o ochronie danych osobowych oraz opracowanie w tym
zakresie sprawozdania dla administratora danych (zakres
informacji, które sprawozdanie powinno zawierać określa art.36c
ustawy)

9. www.giodo.gov.pl
GŁÓWNE ZADANIA ABI PO 1 STYCZNIA 2015 R.
• Zadania administratora bezpieczeństwa informacji (II):
- nadzorowanie opracowania i aktualizowania dokumentacji (tj.
polityki bezpieczeństwa i instrukcji zarządzania systemem
informatycznym służącym do przetwarzania danych oraz
przestrzegania zasad w niej określonych
- zapewnianie zapoznania osób upoważnionych do przetwarzania
danych osobowych z przepisami o ochronie danych osobowych
Podstawa prawna:
art. 36a ust. 2 pkt 1 ustawy, rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w
sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie
danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r. poz. 745)

10. www.giodo.gov.pl
GŁÓWNE ZADANIA ABI PO 1 STYCZNIA 2015 R.
Zadania administratora bezpieczeństwa informacji (III):
Prowadzenie jawnego rejestru zbiorów danych przetwarzanych
przez administratora danych, z wyjątkiem zbiorów ustawowo
zwolnionych z rejestracji. Rejestr ten powinien zawierać: nazwę
zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7
ustawy.
Podstawa prawna:
art. 36a ust. 2 pkt 2 ustawy, rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w
sprawie prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych
osobowych (Dz. U. z 2015 r., poz. 719)

11. www.giodo.gov.pl
GŁÓWNE ZADANIA ABI PO 1 STYCZNIA 2015 R.
Zadania administratora bezpieczeństwa informacji (IV):
• Dokonywanie sprawdzenia, w przypadku zwrócenia się o
dokonanie sprawdzenia przez Generalnego Inspektora i
przedstawienie Generalnemu Inspektorowi za pośrednictwem
administratora danych, sprawozdania, o którym mowa w art. 36a
ust. 2 pkt 1 lit. a ustawy.
Podstawa prawna:
art. 19b ustawy, rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie
trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych
osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r. poz. 745)

12. www.giodo.gov.pl
ODPOWIEDZIALNOŚĆ ABI PO 1 STYCZNIA 2015
Odpowiedzialność administratorów bezpieczeństwa informacji:
• Odpowiedzialność pracownicza za niewłaściwe wykonywanie
obowiązków.
• Odpowiedzialność karna.

13. www.giodo.gov.pl
UPRAWNIENIA I OBOWIĄZKI GIODO WOBEC
ABI PO 1 STYCZNIA 2015 R.
• Nowe uprawnienia i obowiązki Generalnego Inspektora wobec
administratorów bezpieczeństwa informacji:
• Zwracanie się do ABI o przeprowadzenie sprawdzenia i
przedstawienie sprawozdania z tego sprawdzenia (dokonanie
sprawdzenia nie wyłącza prawa Generalnego Inspektora do
przeprowadzenia kontroli).
• Prowadzenie rejestru administratorów bezpieczeństwa informacji.
• Wydawanie decyzji o wykreśleniu z rejestru, wpisaniu lub odmowie
wpisania ABI do rejestru w przypadkach przewidzianych przez
ustawę.
• Wydawanie zaświadczeń o zarejestrowaniu ABI.

14. www.giodo.gov.pl
Zakres uprawnień kontrolnych
inspektora GIODO
• wstęp do pomieszczeń, w których przetwarzane są
dane osobowe;
• żądanie pisemnych lub ustnych wyjaśnień;
• wzywanie i przesłuchiwanie osób;
• wgląd do dokumentów i sporządzanie ich kopii;
• oględziny urządzeń, nośników i systemów
informatycznych;
• zlecanie ekspertyz i opinii

15. www.giodo.gov.pl
Czynności podejmowane przez
ABI podczas kontroli (1)
• Funkcja organizatorska:
• udział w organizowaniu spotkań z kierownictwem kontrolowanego
podmiotu;
• współpraca z inspektorami w zakresie koordynowania czynności
kontrolnych np. poprzez wskazanie osób posiadających wiedzę w zakresie
objętym kontrolą, umawianie spotkań z tymi osobami oraz innymi osobami,
których obecność jest niezbędna w związku z celem kontroli;
• wskazywanie obszaru objętego kontrolą
Aktywne uczestnictwo w poszczególnych czynnościach kontrolnych:
• udostępnianie dokumentacji wymaganej przepisami o ochronie danych
osobowych;
• wydanie kopii dokumentów oraz wydruków obrazów z ekranu
komputerowego;
• przedstawianie funkcjonalności systemu informatycznego w przypadku gdy
ABI jest informatykiem i posiada uprawnienia administratora, co
przekłada się na dostęp do systemu informatycznego;

16. www.giodo.gov.pl
Czynności podejmowane przez
ABI podczas kontroli (2)
• szczegółowe przedstawienie przesłanek legalności przetwarzania
danych ze wskazaniem - jeżeli dotyczy - przepisów prawa
materialnego – w przypadku gdy ABI jest prawnikiem;
• udział w przeprowadzanych oględzinach dokumentacji,
elektronicznych nośników informacji oraz systemów
informatycznych;

17. www.giodo.gov.pl
Kompetencje ABI w kontaktach z
GIODO
• Umocowanie ABI do reprezentowania podmiotu w toku kontroli w
siedzibie podmiotu jak również w trakcie czynności „pokontrolnych”
• Składanie wyjaśnień i przedstawianie pozostałych dowodów
wskazanych przez GIODO;
• Realizowanie w imieniu podmiotu praw strony w postępowaniu
administracyjnym prowadzonym przez GIODO na skutek
przeprowadzonej kontroli np. poprzez wgląd w akta sprawy w
Biurze GIODO, sporządzania z nich notatek, kopii lub odpisów;
• Uczestnictwo w konferencjach, seminariach, szkoleniach oraz
spotkaniach w ramach podejmowanych przez GIODO
przedsięwzięć w zakresie doskonalenia ochrony danych
osobowych

18. www.giodo.gov.pl
Dziękuję za uwagę