Prowadzenie takiego rejestru przez GIODO przewiduje art. 46c ustawy o ochronie danych osobowych (DzU z 2014 r. poz. 1182 ze zm.). Został on wprowadzony do jej przepisów na podstawie ustawy z 7 listopada 2014 r. o ułatwieniu działalności gospodarczej. Rejestr ten zawiera informacje o powołanych przez administratorów danych i zarejestrowanych u generalnego inspektora administratorach bezpieczeństwa informacji (ABI).
Nowy status
A wszystko za sprawą zmiany statusu ABI, która także została wprowadzona na mocy ostatniej nowelizacji przepisów. Przypomnijmy, że zgodnie z art. 36a ustawy o ochronie danych osobowych administrator danych, którym jest każda osoba lub instytucja decydująca o środkach i celach gromadzenia oraz przetwarzania danych, może powołać administratora bezpieczeństwa informacji. Do zadań takiej osoby należy zapewnianie przestrzegania przepisów o ochronie danych, w szczególności przez:
- sprawdzanie zgodności ich przetwarzania z przepisami oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
- nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania i środki służące ich zabezpieczeniu oraz przestrzeganie zasad w niej określonych,
- zapewnianie zapoznania osób upoważnionych do przetwarzania danych z przepisami o ich ochronie.
Wprawdzie do tej pory przepisy także przewidywały możliwość powołania ABI, ale nie wskazywały, jakie warunki muszą być przy tym spełnione. Tymczasem znowelizowane przepisy nie tylko dokładnie wskazują na zakres jego zadań, ale także na to, kto może zostać ABI. Traktuje o tym art. 36a ust. 5. Zgodnie z nim ABI może być osoba, która:
- ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
- ma odpowiednią wiedzę w zakresie ochrony danych osobowych,
- nie była karana za umyślne przestępstwo.
Dodatkowo w myśl ust. 7 tego artykułu administrator bezpieczeństwa informacji musi podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.
Inne obowiązki
Zgodnie z cytowanym artykułem administrator może, ale nie musi powoływać ABI. Jeżeli jednak to zrobi, a osoba ta będzie spełniać powyższe warunki i zostanie zarejestrowana u generalnego inspektora, administrator danych zwolniony jest z obowiązku rejestrowania zbiorów danych osobowych, którymi dysponuje. Instytucja rejestru ABI zastąpiła więc (chociaż nie we wszystkich przypadkach) konieczność rejestrowania zbiorów. Zgodnie bowiem z art. 43 ust. 1a obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1 (tzw. dane wrażliwe), nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go generalnemu inspektorowi do rejestracji.
E-giodo
Skoro przepisy stworzyły taką możliwość, konieczne było utworzenie nowego rejestru ABI. Dostęp do niego jest możliwy poprzez elektroniczną platformę komunikacji z generalnym inspektorem ochrony danych osobowych zwaną e-GIODO. Platforma ta służy nie tylko do udostępniania informacji zawartych w prowadzonych przez GIODO ogólnopolskim jawnym rejestrze zbiorów danych i ogólnopolskim jawnym rejestrze administratorów bezpieczeństwa informacji, ale również do wspomagania operacji przesyłania drogą elektroniczną wniosków do GIODO o wpis lub aktualizację zawartych w nich informacji.
Uruchomiony 26 stycznia 2015 r. moduł systemu e-GIODO umożliwiający dostęp do rejestru ABI jest jednym z pierwszych etapów prac nad tym rejestrem. Kolejnymi etapami jego rozbudowy będą funkcjonalności, które pozwolą przekazywać wnioski o wpis, aktualizację lub wykreślenie ABI drogą elektroniczną z wykorzystaniem platformy ePUAP. Zgodnie bowiem z art. 46b administrator jest zobowiązany zgłosić do rejestracji powołanie i odwołanie ABI w terminie 30 dni od dnia jego powołania lub odwołania. Takie zgłoszenie powinno zawierać:
- oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany,
- dane administratora bezpieczeństwa informacji (imię i nazwisko, numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość, adres do korespondencji, jeżeli jest inny niż adres administratora danych),
- datę powołania,
- oświadczenie administratora o spełnianiu przez ABI warunków określonych w art. 36a ust. 5 i 7.
System e-GIODO umożliwiający publiczny dostęp do prowadzonych przez GIODO rejestru zbiorów danych osobowych oraz rejestru administratorów bezpieczeństwa informacji dostępny jest pod adresem: http://egiodo.giodo.gov.pl.
