02 gru

Stanowisko Ministerstwa Gospodarki w kwestii nowych obowiązków ABI

Ustawa o ułatwieniu wykonywania działalności gospodarczej, która wchodzi w życie z dniem 1. stycznia 2015 r. wprowadza szereg zmian dotyczących obowiązków Administratora Bezpieczeństwa Informacji. Poniżej przedstawiam wybrane fragmenty konsultacji międzyresortowych i społecznych, które mama nadzieję, że lepiej pozwolą zrozumieć zakres zmian i intencje ustawodawcy.

Większość wątpliwości budzą zapisy dotyczące ABI-ego.

Przykład (Biuro Informacji Kredytowej): 

Art. 12 pkt 4 – propozycja prowadzenia przez GIODO, rejestru administratorów
bezpieczeństwa informacji nie stanowi ułatwienia wykonywania działalności gospodarczej, a wprost przeciwnie nakłada na przedsiębiorców dodatkowe obowiązki tj. zgłaszania i odwoływania, a także aktualizowania informacji o ABI.

Odpowiedzi MG na pytania dotyczącego ABI:

1. Wydaje się, że możliwość wyboru optymalnego
rozwiązania jest dla przedsiębiorców bardziej
korzystnym rozwiązaniem, niż obowiązujące
unormowania. Zgodnie z proponowanymi zmianami
po stronie administratora danych istnieć będzie
dobrowolność w zakresie powołania ABI. Trudno
mówić zatem w takim przypadku o utrudnieniach w
funkcjonowaniu przedsiębiorstw, gdyż
przedsiębiorca nie ma obowiązku stosowania się do
nowego systemu i może pozostać przy obecnie ob.
rozwiązaniach w zakresie dopełniania ob. rejestr.
Przewidywane zmiany mają pozwolić przedsiębiorcy
optymalizować stosowane rozwiązania w zakresie
wypełniania obowiązków wynikających z przepisów
o ochron. dan. osob. W wyniku dokonanej analizy
wszelkich okoliczności towarzyszących operacjom
przetwarzania danych osobowych przedsiębiorca
może uznać, iż ewentualne powołanie ABI nie będzie dla niego korzystne lub opłacalne i – w konsekwencji – zrezygnować z jego powoływania,
np. ze względu na wzmocnienie uprawnień ABI, czy
niewielkie dla danego przedsiębiorcy koszty
związane z rejestracją zbiorów danych osobowych i
aktualizacją informacji o zbiorach już
zarejestrowanych. 

2. Ponadto, wobec przyjęcia, iż ABI może wykonywać
inne nałożone na niego zadania, które nie naruszają
jego obowiązków dotyczących ochrony danych
osobowych, projektowana zmiana unika regulowania
kwestii zmierzającej w kierunku tworzenia nowej
grupy zawodowej.

3. Ponadto, wobec przyjęcia, iż ABI może wykonywać
inne nałożone na niego zadania, które nie naruszają
jego obowiązków dotyczących ochrony danych
osobowych, projektowana zmiana unika regulowania
kwestii zmierzającej w kierunku tworzenia nowej
grupy zawodowej.

4. Decyzja o powołaniu ABI będzie leżała w wyłącznej
gestii administratora danych. Podejmując decyzję w
tym względzie przedsiębiorca będzie brał pod uwagę
możliwość przeprowadzenia, na wniosek GIODO,
uproszczonej kontroli przez ABI i ewentualnie
będzie mógł zrezygnować z powołania takiego
administratora.
Wydaje się jednak, iż w sytuacji, gdy przedsiębiorca
zdecyduje się na powołanie ABI, nie wystapią po
jego stronie żadne dodatkowe koszty związane z
prowadzeniem przez tego administratora
uproszczonej kontroli. Wskazać bowiem należy, że
w świetle obowiązujących przep. o ochr. dan. osob.
administratorzy danych zobowiązani są do
zapewnienia przestrzegania zasad przetwarzania
danych i muszą w tym celu nadzorować operacje
przetwarzania danych w ich przedsiębiorstwach.
Przeprowadzenie uproszczonej kontroli w zakresie
zgodności przetwarzania danych z przepisami o
ochronie danych osobowych nie będzie więc – co do 33
zasady – związane z obowiązkiem dokonywania
jakichkolwiek dodatkowych czynności w stosunku
do tych, które administratorzy danych są już obecnie
zobowiązani podejmować.
Jednocześnie, w związku z przewidywanym
zwolnieniem z obowiązku rejestracyjnego –
zmniejszyć powinna się liczba postępowań
rejestracyjnych, w których (na podst. art. 14 pkt 2
ust. o ochr. dan. osob.) GIODO będzie występował o
złożenie wyjaśnień przez administratora danych (np.
przedsiębiorcę).

5. Zgodnie z informacją uzyskaną od GIODO kwestia
wymogów o charakterze formalnym, których
spełnienie warunkować będzie możliwość
sprawowania funkcji ABI była przedmiotem
intensywnych dyskusji od początku prac
dotyczących nowelizacji ustawy o ochronie danych
osobowych. Rozwiązanie przyjęte ostatecznie w –
projektowanym art. 36 a ust. 4 ustawy o ochronie
danych osobowych stanowi kompromis między
przeciwstawnymi poglądami. W odniesieniu do
wymagania legitymowania się przez kandydata na
administratora bezpieczeństwa informacji
odpowiednim wykształceniem w trakcie dyskusji
ścierały się dwie koncepcje. Zgodnie z pierwszą z
nich – wymóg wykształcenia w ogóle nie powinien
być wprowadzany do projektu. Jako kontrpropozycję
zgłaszano zaś postulat, by osoba chcąca sprawować
funkcję administratora bezpieczeństwa informacji
musiała posiadać specjalistyczne wykształcenie (np.
prawnicze, informatyczne).
Regulacja ta jest zatem próbą pogodzenia tych sprzecznych stanowisk.

Źródło tutaj.
 

Sylwia CzubSpodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie


Data aktualizacji: 3 czerwca 2018