Download - Rola ABI a kontrole GIODO
![Page 1: Rola ABI a kontrole GIODO](https://reader036.vdocuments.site/reader036/viewer/2022081520/587b703a1a28abc62f8b553b/html5/thumbnails/1.jpg)
www.giodo.gov.pl
Rola administratora bezpieczeństwa informacji a kontrole Generalnego
Inspektora Ochrony Danych Osobowych
Bogusława Pilc, Radca Prawny, Dyrektor Departamentu Inspekcji w Biurze Generalnego
Inspektora Ochrony Danych Osobowych
![Page 2: Rola ABI a kontrole GIODO](https://reader036.vdocuments.site/reader036/viewer/2022081520/587b703a1a28abc62f8b553b/html5/thumbnails/2.jpg)
www.giodo.gov.pl
Plan prezentacji
– Przepisy prawa dot. ABI– Wyznaczenie ABI – obowiązkowe czy dobrowolne– Kwalifikacje ABI– Status ABI u Administratora Danych osobowych– Główne zadania ABI w zapewnieniu przestrzegania przepisów o ochronie
danych osobowych– Odpowiedzialność ABI– Uprawnienia i obowiązki GIODO wobec ABI– Zakres uprawnień kontrolnych inspektora GIODO– Czynności podejmowane przez ABI podczas kontroli GIODO– Kompetencje ABI w kontaktach z GIODO
![Page 3: Rola ABI a kontrole GIODO](https://reader036.vdocuments.site/reader036/viewer/2022081520/587b703a1a28abc62f8b553b/html5/thumbnails/3.jpg)
www.giodo.gov.pl
• Ustawa o ochronie danych osobowych (t.j. Dz.U.2014.1182 ze zm.)
• Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji
• Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych
• Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji
PRZEPISY PRAWA DOT. ABI PO 01 STYCZNIA 2015
![Page 4: Rola ABI a kontrole GIODO](https://reader036.vdocuments.site/reader036/viewer/2022081520/587b703a1a28abc62f8b553b/html5/thumbnails/4.jpg)
www.giodo.gov.pl
WYZNACZENIE ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI (ABI) PO 1 STYCZNIA 2015 R.
• Wyznaczenie ABI jest dobrowolnedobrowolne (art. 36a ustawy o ochronie danych osobowych).
• W przypadku niepowołania administratora bezpieczeństwa informacji jego zadania wykonuje administrator danych osobowych (ADO), z wyłączeniem obowiązku sporządzenia sprawozdania (art. 36b ustawy).
• Ustawa przewiduje możliwość powołania zastępców ABI (art.36a ust. 6 ustawy).
![Page 5: Rola ABI a kontrole GIODO](https://reader036.vdocuments.site/reader036/viewer/2022081520/587b703a1a28abc62f8b553b/html5/thumbnails/5.jpg)
www.giodo.gov.pl
ABI PO 1 STYCZNIA 2015 R.
• Obowiązek zgłoszenia powołania i odwołania ABI do rejestracji Generalnemu Inspektorowi, w terminie 30 dni od dnia powołania lub odwołania (art. 46b ustawy, Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji Dz. U. 2014, poz. 1934).
• Jawność rejestru administratorów bezpieczeństwa informacji prowadzonego przez Generalnego Inspektora, w zakresie:
- oznaczenia administratora danych oraz adresu jego siedziby, - danych ABI, obejmujących: imię i nazwisko oraz adres do
korespondencji, jeżeli jest inny niż adres siedziby administratora danych (art. 46c ustawy).
![Page 6: Rola ABI a kontrole GIODO](https://reader036.vdocuments.site/reader036/viewer/2022081520/587b703a1a28abc62f8b553b/html5/thumbnails/6.jpg)
www.giodo.gov.pl
KWALIFIKACJE ABI PO 1 STYCZNIA 2015 R.
Kwalifikacje administratora bezpieczeństwa informacji (art. 36a ust. 5 ustawy):
• Pełna zdolność do czynności prawnych i korzystanie z pełni praw publicznych.
• Odpowiednia wiedza w zakresie ochrony danych osobowych.
• Niekaralność za umyślne przestępstwo.
![Page 7: Rola ABI a kontrole GIODO](https://reader036.vdocuments.site/reader036/viewer/2022081520/587b703a1a28abc62f8b553b/html5/thumbnails/7.jpg)
www.giodo.gov.pl
STATUS ABI PO 1 STYCZNIA 2015 R.
Status administratora bezpieczeństwa informacji:
- Podległość bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych (art. 36a ust. 7 ustawy).
- Organizacyjna odrębność w zakresie niezbędnym do wykonywania zadań ABI (art. 36a ust. 8 ustawy).
- Możliwość wykonywania innych powierzonych przez administratora danych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań ABI (art. 36a ust. 4 ustawy).
![Page 8: Rola ABI a kontrole GIODO](https://reader036.vdocuments.site/reader036/viewer/2022081520/587b703a1a28abc62f8b553b/html5/thumbnails/8.jpg)
www.giodo.gov.pl
GŁÓWNE ZADANIA ABI PO 1 STYCZNIA 2015 R.
Zadania administratora bezpieczeństwa informacji (I):
Zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
• sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych (zakres informacji, które sprawozdanie powinno zawierać określa art.36c ustawy)
![Page 9: Rola ABI a kontrole GIODO](https://reader036.vdocuments.site/reader036/viewer/2022081520/587b703a1a28abc62f8b553b/html5/thumbnails/9.jpg)
www.giodo.gov.pl
GŁÓWNE ZADANIA ABI PO 1 STYCZNIA 2015 R.
• Zadania administratora bezpieczeństwa informacji (II):
- nadzorowanie opracowania i aktualizowania dokumentacji (tj. polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych oraz przestrzegania zasad w niej określonych
- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych
Podstawa prawna: art. 36a ust. 2 pkt 1 ustawy, rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w
sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r. poz. 745)
![Page 10: Rola ABI a kontrole GIODO](https://reader036.vdocuments.site/reader036/viewer/2022081520/587b703a1a28abc62f8b553b/html5/thumbnails/10.jpg)
www.giodo.gov.pl
GŁÓWNE ZADANIA ABI PO 1 STYCZNIA 2015 R.
Zadania administratora bezpieczeństwa informacji (III):
Prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów ustawowo zwolnionych z rejestracji. Rejestr ten powinien zawierać: nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7 ustawy.
Podstawa prawna: art. 36a ust. 2 pkt 2 ustawy, rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w
sprawie prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych (Dz. U. z 2015 r., poz. 719)
![Page 11: Rola ABI a kontrole GIODO](https://reader036.vdocuments.site/reader036/viewer/2022081520/587b703a1a28abc62f8b553b/html5/thumbnails/11.jpg)
www.giodo.gov.pl
GŁÓWNE ZADANIA ABI PO 1 STYCZNIA 2015 R.
Zadania administratora bezpieczeństwa informacji (IV):
• Dokonywanie sprawdzenia, w przypadku zwrócenia się o dokonanie sprawdzenia przez Generalnego Inspektora i przedstawienie Generalnemu Inspektorowi za pośrednictwem administratora danych, sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a ustawy.
Podstawa prawna: art. 19b ustawy, rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie
trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r. poz. 745)
![Page 12: Rola ABI a kontrole GIODO](https://reader036.vdocuments.site/reader036/viewer/2022081520/587b703a1a28abc62f8b553b/html5/thumbnails/12.jpg)
www.giodo.gov.pl
ODPOWIEDZIALNOŚĆ ABI PO 1 STYCZNIA 2015
Odpowiedzialność administratorów bezpieczeństwa informacji:
• Odpowiedzialność pracownicza za niewłaściwe wykonywanie obowiązków.
• Odpowiedzialność karna.
![Page 13: Rola ABI a kontrole GIODO](https://reader036.vdocuments.site/reader036/viewer/2022081520/587b703a1a28abc62f8b553b/html5/thumbnails/13.jpg)
www.giodo.gov.pl
UPRAWNIENIA I OBOWIĄZKI GIODO WOBEC ABI PO 1 STYCZNIA 2015 R.
• Nowe uprawnienia i obowiązki Generalnego Inspektora wobec administratorów bezpieczeństwa informacji:
• Zwracanie się do ABI o przeprowadzenie sprawdzenia i przedstawienie sprawozdania z tego sprawdzenia (dokonanie sprawdzenia nie wyłącza prawa Generalnego Inspektora do przeprowadzenia kontroli).
• Prowadzenie rejestru administratorów bezpieczeństwa informacji. • Wydawanie decyzji o wykreśleniu z rejestru, wpisaniu lub odmowie
wpisania ABI do rejestru w przypadkach przewidzianych przez ustawę.
• Wydawanie zaświadczeń o zarejestrowaniu ABI.
![Page 14: Rola ABI a kontrole GIODO](https://reader036.vdocuments.site/reader036/viewer/2022081520/587b703a1a28abc62f8b553b/html5/thumbnails/14.jpg)
www.giodo.gov.pl
Zakres uprawnień kontrolnych inspektora GIODO• wstęp do pomieszczeń, w których przetwarzane są
dane osobowe;• żądanie pisemnych lub ustnych wyjaśnień;• wzywanie i przesłuchiwanie osób;• wgląd do dokumentów i sporządzanie ich kopii;• oględziny urządzeń, nośników i systemów
informatycznych;• zlecanie ekspertyz i opinii
![Page 15: Rola ABI a kontrole GIODO](https://reader036.vdocuments.site/reader036/viewer/2022081520/587b703a1a28abc62f8b553b/html5/thumbnails/15.jpg)
www.giodo.gov.pl
Czynności podejmowane przez ABI podczas kontroli (1)• Funkcja organizatorska:• udział w organizowaniu spotkań z kierownictwem kontrolowanego
podmiotu;• współpraca z inspektorami w zakresie koordynowania czynności
kontrolnych np. poprzez wskazanie osób posiadających wiedzę w zakresie objętym kontrolą, umawianie spotkań z tymi osobami oraz innymi osobami, których obecność jest niezbędna w związku z celem kontroli;
• wskazywanie obszaru objętego kontrolą Aktywne uczestnictwo w poszczególnych czynnościach kontrolnych:• udostępnianie dokumentacji wymaganej przepisami o ochronie danych
osobowych;• wydanie kopii dokumentów oraz wydruków obrazów z ekranu
komputerowego;• przedstawianie funkcjonalności systemu informatycznego w przypadku
gdy ABI jest informatykiem i posiada uprawnienia administratora, co przekłada się na dostęp do systemu informatycznego;
![Page 16: Rola ABI a kontrole GIODO](https://reader036.vdocuments.site/reader036/viewer/2022081520/587b703a1a28abc62f8b553b/html5/thumbnails/16.jpg)
www.giodo.gov.pl
Czynności podejmowane przez ABI podczas kontroli (2)
• szczegółowe przedstawienie przesłanek legalności przetwarzania danych ze wskazaniem - jeżeli dotyczy - przepisów prawa materialnego – w przypadku gdy ABI jest prawnikiem;
• udział w przeprowadzanych oględzinach dokumentacji, elektronicznych nośników informacji oraz systemów informatycznych;
![Page 17: Rola ABI a kontrole GIODO](https://reader036.vdocuments.site/reader036/viewer/2022081520/587b703a1a28abc62f8b553b/html5/thumbnails/17.jpg)
www.giodo.gov.pl
Kompetencje ABI w kontaktach z GIODO• Umocowanie ABI do reprezentowania podmiotu w toku kontroli w
siedzibie podmiotu jak również w trakcie czynności „pokontrolnych” • Składanie wyjaśnień i przedstawianie pozostałych dowodów
wskazanych przez GIODO;• Realizowanie w imieniu podmiotu praw strony w postępowaniu
administracyjnym prowadzonym przez GIODO na skutek przeprowadzonej kontroli np. poprzez wgląd w akta sprawy w Biurze GIODO, sporządzania z nich notatek, kopii lub odpisów;
• Uczestnictwo w konferencjach, seminariach, szkoleniach oraz spotkaniach w ramach podejmowanych przez GIODO przedsięwzięć w zakresie doskonalenia ochrony danych osobowych
![Page 18: Rola ABI a kontrole GIODO](https://reader036.vdocuments.site/reader036/viewer/2022081520/587b703a1a28abc62f8b553b/html5/thumbnails/18.jpg)
www.giodo.gov.pl
Dziękuję za uwagę