21:21
30/6/2015

Być ABI czy mieć ABI?

W roku 2015 weszła w życie nowelizacja ustawy o ochronie danych osobowych. Ustawa zmienia zasady dotyczące organizacji ochrony danych osobowych i precyzuje obowiązki zarejestrowanych ABI. Pojawia się też konkretna data, 30 czerwca 2015, jako termin zgłoszenia ABI… Co się stanie, jeśli firma nie zdążyła zgłosić ABI?

Co się stanie po 30 czerwca 2015?

Na to pytanie nadal wiele spółek nie zna odpowiedzi, a godzina zero właśnie wybiła. Czy ustawa wymusza jakiekolwiek działania, które firmowy ADO musiał do dziś wykonać? Otóż nie. W skrócie:

  • zgłoszenie obecnych ABI do GIODO mogło nastąpić najpóźniej do 30 czerwca 2015. Zgłoszenie nie oznacza jednak rejestracji (konieczność spełnienia czterech wymogów wg ustawy)
  • po 30 czerwca dotychczasowi ABI, którzy nie zostali zgłoszeni do rejestru GIODO, przestają pełnić funkcję ABI, a obowiązki przejmuje ADO

Podsumowując, nowi ABI którzy zostali zgłoszeni i zarejestrowani w rejestrze GIODO, pełnią tą funkcję wg nowych przepisów od dnia zgłoszenia. Natomiast „starzy” ABI od 1 stycznia bez względu na zgłoszenie w rejestrze, pełnią obowiązki wg nowych przepisów.

personal-data-control

Należy pamiętać również, że nowe przepisy zmieniają zapis mówiący o powołaniu ABI. Dotychczas przepis mówił, że ADO „wyznacza” ABI, co było interpretowane przez GIODO jako wymóg wyznaczenia, natomiast obecnie ADO „może powołać” ABI. Nie ma więc przymusu powoływania ABI, co oznacza wprost, że ADO może spełniać obowiązek ochrony danych w inny sposób. Natomiast jeżeli ABI zostanie powołany, to musi być osobą fizyczną, na co wprost wskazują wymogi:

  • posiadania pełni praw publicznych
  • niekaralność za przestępstwo umyślne
  • odpowiedniej wiedzy z ochrony danych osobowych

Co jeśli ADO nie powołał ABI?

Skoro nie ma przymusu powołania ABI, co się stanie gdy ADO nie zdecyduje o jego powołaniu? W tym przypadku ADO samodzielnie wykonuje czynności związane z zapewnieniem odpowiedniej ochrony danych osobowych. ADO powinien zdecydować jakimi środkami organizacyjnymi spełni wymogi ochrony, a odpowiednie kompetencje wpisać w zakres obowiązków osób zajmujących się ochroną danych. Możliwości jest w tym przypadku wiele — odpowiedzialnym za ochronę danych może być np. członek zarządu, a obowiązki przydzielone zostają do poszczególnych pracowników w podległych mu działach.

Nazwa ABI jest zarezerwowana dla osób, które będą zgłoszone do rejestru GIODO i nie może być używana dla osób nie wpisanych do tego rejestru. Nazwa którą można się posiłkować to specjalista ochrony danych osobowych, pełnomocnik ds. ochrony danych osobowych lub inna wskazująca na kompetencje.

Co się stanie jeżeli do 30 czerwca ADO nie powołał ABI, a zdecyduje się na to np. w czwartym kwartale lub później?

Do czasu powołania obowiązki wynikające z u.o.d.o. wykonuje bezpośrednio ADO (posiłkując się strukturami wewnętrznymi), zbiory nadal zgłaszane są do rejestru GIODO, a obowiązki dotyczące ABI wskazane w nowej ustawie nie obowiązują ADO wprost.

W czwartym kwartale 2015, od dnia powołania ABI, wykonuje on/ona obowiązki wg ustawy oraz zaczyna prowadzić wewnętrzny rejestr zbiorów, które od tej pory nie muszą być zgłaszane do GIODO (oprócz zbiorów danych sensytywnych, które należy zgłaszać bez względu na powołanie ABI).

Jeżeli ABI zostanie powołany to:

  • osoba taka powinna mieć zapewnione środki (finansowe) oraz organizacyjne możliwości aby możliwie niezależnie wykonywać swoje obowiązki
  • musi podlegać pod kierownika jednostki organizacyjnej, co powinno przełożyć się na zdolność wprowadzania ochrony danych osobowych niezależnie od innych osób w strukturze
  • zapewnienie, że pozostałe obowiązki nie wpłyną na poprawne wykonywanie zadań ABI

Jeden ABI może zostać powołany w kilku jednostkach organizacyjnych, jednak każdy z powyższych wymogów musi być spełniony w każdej z jednostek osobno. Nie ma natomiast możliwości powołania kilku ABI w ramach jednej jednostki np. do każdego zbioru danych. Pozwala się za to powoływać zastępców ABI.

Jeśli doczytaliście artykuł do tego miejsca, to znaczy, że tematyka u.o.d.o Was rzeczywiście mocno interesuje. W przyszłym tygodniu chcemy kontynuować serię artykułów poświęconych ochronie danych osobowych. Planujemy poruszyć takie tematy jak:

  • obowiązki i odpowiedzialność ABI po nowelizacji,
  • uprawnienia kontrolne GIODO
  • co i jak rejestrować po nowelizacji?

Jeśli macie jakieś wątpliwości związane z nowelizacją lub inne zagadnienia dotyczące ochrony danych osobowych nie są dla Was w pełni zrozumiałe — dajcie znać w komentarzach. Postaramy się zaadresować Wasze problemy w kolejnych artykułach.

P,S. Pamiętajcie że ADO ma 30 dni na zgłoszenie do GIODO informacji o powołaniu lub odwołaniu ABI.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

92 komentarzy

Dodaj komentarz
  1. ABI GIODO ADO u.o.d.o. ? przy tym artykule chyba przydał by się słowniczek pojęć ;)

    • Dla kogoś, kto jest w tzw. temacie, te skróty nie są problemem :P

    • Agnieszka, racja, ale każdy kiedyś nie był w temacie. Tutaj dość myślę obszernie wyjaśnione jest co i jak: http://nf.pl/manager/kim-sa-ado-abi-i-asi,,12507,115

    • A jak ktoś nie jest w temacie, ale chce być?

    • No, to wypadałoby przeczytać ustawę:) po lekturze wszystkie skróty nabiorą sensu.

    • Ado – administrator danych osobowych
      abi – admnistrator bezpieczeństwa informacji
      giodo – glowny instytut ochrony danych osobowych – pasozyt

  2. “po 30 czerwca dotychczasowi ABI, którzy nie zostali zgłoszeni do rejestru GIODO, przestają pełnić funkcję ABI, a obowiązki przejmuje ADO”

    “Natomiast „starzy” ABI od 1 stycznia bez względu na zgłoszenie w rejestrze, pełnią obowiązki wg nowych przepisów.”

    Hm, brzmi sprzecznie – jak nie zgłoszeni to przestają pełnić obowiązki.

    • Od 1 stycznia obowiązują ich nowe przepisy, ale jeżeli ADO nie zgłosi ABI do 30 czerwca, to dotychczasowy ABI przestaje pełnić tą funkcję od 1 lipca.

  3. Jedna poprawka, ABI pełnią swą funkcję od dnia powołania, a nie od zgłoszenia lub rejestracji. Na rejestrację zresztą pewnie trzeba będzie długo poczekać. Mimo braku rejestracji ABI wykonuje wszystkie swoje obowiązki, z wyjątkiem dokonywania sprawdzeń zlecanych przez GIODO.

    • No my czekamy już dwa miesiące na rejestrację. I nie bardzo wiem jak ma to wyglądać… niby jestem ABI… ale z drugiej strony mogę nie być, gdyby GIODO odrzuciło zgłoszenie. W obu przypadkach narażamy się na spore konsekwencje, bo ludzie mieliby np. poprzyznawane nielegalnie upoważnienia lub ADO zapomniałby o zgłoszeniu bazy do GIODO (zamiast ABI opublikować ją na stronie)… masakra…

    • @Jan Bartnik Upoważnienia wydaje ADO nie ABI, wobec czego są one ważne. Owszem można mieć pełnomocnictwo do tego, ale [b]nie jest to określone w ustawowych obowiązkach ABI[/b]. ABI może wypisać, określić zakres, ale zatwierdza to ADO.
      Jeżeli masz nową bazę danych, która jest zwolniona z rejestracji (z wyjątkiem tych zawierających dane z art 27 ust. 1 uodo), to na podstawie powołania (zarządzeniem, uchwałą zarządu… wskazany imiennie) pełnisz obowiązki, do momentu aż dostaniesz odmowę rejestracji. Wówczas ponownie obowiązki przejmuje ADO (z wyjątkiem sprawdzeń, prowadzenia zbiorów i tych dodatkowych określonych przez firmę), co wiąże się z odwołaniem ABI (znowu zarządzeniem, uchwałą…). Pamiętaj, że nadal możesz pełnić funkcję specjalisty lub pełnomocnika.

  4. @sjs masz racje , jest to doprecyzowane dalej :od dnia powołania ABI, wykonuje on/ona obowiązki wg ustawy oraz zaczyna prowadzić wewnętrzny rejestr zbiorów

  5. Może by tak w pierwszym akapicie rozwinąć te skróty? Jeśli nie wykładając definicję to przynajmniej w nawiasie napisać pełną nazwę? Może “w branży” są znane ale wśród przeciętnych obywateli może 10% umie rozwinąć skrót GIODO a i tego nie jestem pewien.

    • Przeciętnemu obywatelowi lata to koło ucha.

  6. ABI adminstrator bezpieczeństwa informacji, ADO administrator danych osobowych

    • i Dystrybucja Uniwersalnych Produktow Amwaya tyz…. :)

  7. Niestety ustawa dalej nie rozwiązuje problemu łączenia funkcji ABI+ASI, gdyż ustawa mówi “nie powinno się łączyć tych dwóch funkcji”. Ale z braku funduszy w wielu jednostkach samorządowych, takie łączenie funkcji ma miejsce.

    • w którym miejscu ustawa mówi “nie powinno się łączyć tych dwóch funkcji”?
      w ustawie nie ma takiego pojęcia jak ASI. Jest to termin powstały w literaturze dotyczącej ochrony danych osobowych ale nie ma on odzwierciedlenia w przepisach.

  8. Od 1 stycznia do 30 czerwca jest okres przejsciowy w ktorym starzy abi pelnia swoja role wg nowych przepisow ale tylko do 30 czerwca o ile nie zostana powolani

  9. @roberto
    GIODO – Generalny Inspektor Ochrony Danych Osobowych
    ABI – Administrator Bezpieczeństwa Informacji
    ADO – Administrator Danych Osobowych

    @sjs fakt, rejestracja trwa czasami ponad rok

  10. abi odo ago ado udo epo..trza się znać żeby poczytać :)

  11. -ABI Wan never told you what happended to your data!
    -Yes! You betrayed GIODO and stole my data!
    -No! I am your data!

    …kwaśne, wiem…

  12. Każda firma zarejestrowana w DEBI ma obowiązek zgłoszenia do BETI bazy do 30 czerwca zgodnie z ustawą, bo RAMA zgłosi sprawę do GRUMY i wtedy ZUBI zlicytuje ci dom! Potwierdzone info!

  13. Nadal przepisy są niezbyt precyzyjne, bo np. nie widzę jasnego wyjaśnienia, czy posiadając system ERP powinienem zarejestrować bazę? A co w przypadku strony WWW typu forum, gdzie ludzie mogą podać swoje prawdziwe dane?
    Krótko mówiąc, kiedy *trzeba* się zarejestrować – czy ktoś wie?

    • Jesli Twoj ERP przechowuje dane osobowe to jak najbardziej nalezy taka baze zewidencjonowac (i zarejestrowac w Giodo lub “wsadzic do szuflady” jesli jest ABI). W przypadku forum jest podobnie – jesli sa powazne przeslanki lub co najmniej jedna osobe da sie zidentyfikowac na podstawie podanych inforamcji to Twoja baza uzytkownikow podlega pod ustawe.

    • W zależności jaki dane tam trzymasz. Wszystko jest wyjaśnione :).

  14. Zacny skomplikowany tekst, nic nie rozumiem :D Rzucam proste pytanie: załóżny że mam forum dyskusyjne – mam je rejestrować w GIODO? I jeśli tak – dlaczego?

    Wszak nick daną osobową nie jest, można sobie wpisać cokolwiek. Imion i nazwisk nie zbieram, ktoś może nawet podać, ale może podać też zmyślone. Maile są w bazie, ale też nie muszą być prawdziwe, rejestracje z temp maili też są obecne. Sądząc też po ilości zwrotów z powiadomień np. o prywatnych wiadomościach śmiem twierdzić, że spora część maili to nawet już nie działa.

    Nic innego nie jest wymagane. Czasami ktoś może podać numer GG, ale większość nie podaje (ktoś z tego jeszcze korzysta)?

    Zatem czy ja mam bazę danych osobowych? Gdzie tu są jakieś dane osobowe?

    • dane osobowe – czyli takie które identyfikują lub pozwalają zidentyfikować konkretną osobę (bez ponoszenia nadmiernych kosztów, działań i czasu). W przypadku forum na którym ludzie mogą podać swoje różne dane imie, nazwisko, tel itd. to jest to zbiór danych osobowych. Jest tez wiele wyjątków zwalniających z obowiązku rejestracji dlatego wiele forów ma regulaminach że są np. klubem dyskusyjnym ;)

    • Adres email to dana osobowa. Rok temu zgłaszaliśmy bazę danych właśnie ze względu na email ;)

    • email nie jest dana osobowa – nie wskazuje jednoznacznie na osobe. Nie wiem skad kolega xxmisc ma taka interpretacje. Idac tym tropem nalezaloby zglaszac/rejestrowac kazda baze MS outlook/Thunderbird/Lotus.

    • A Niebezpiecznik jakoś takiego zbioru nie zgłosił ;)

    • @xxmisc
      Adres e-mail mogą być danymi osobowymi, ale nie muszą. Nie ma zamkniętego katalogu co jest daną osobową a co nie, wszystko zależy od kontekstu w jakim te dane występują.
      @CIA
      Jeśli to jest forum, bez żadnego zaplecza marketingowo/usługowo/komercyjnego, pro publico bono, to nie dokonywałbym jego rejestracji… Jeśli jednak już dziś masz dalekosiężne plany “zarabiania” na członkach tej społeczności, to zarejestruj i bardzo dobrze opracuj cel przetwarzania danych osobowych.

    • Dane osobowe to nie takie, które pozwalają na zidentyfikowanie użytkownika, a

      Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

      Niby mała różnica, a bardzo dużo zmienia.

  15. Ale nigdzie w u.o.d.o nie ma wspomnianego ASI. To tylko wymysł

  16. Mam temat na kolejne prt* o bezpieczeństwie:
    – Tato, jak rozmnażają się jeże?
    – Ostrożnie, synku, bardzo ostrożnie…
    A tak poważnie, to czy szanowna redakcja dzisiaj ma jakiś piknik cy cóś? Jak nie okruszek o laniu wody na konfie sejmowej, to jadą niszowymi skrótami…
    P.S. wszelkie literówki zamierzone.

    • Po pierwszym akapicie przeskimowałem, czy to przypadkiem nie jakiś “artykÓł sponsorowany”. Bo tak trochę zajezdża. ;)

  17. Zdecydowanie. Dla mnie jedyne ABI to Application Binary Interface ale to chyba nie o to chodzi.

  18. ABI:Znaczenie = 30:0

  19. słuchałem ostatnio wypowiedzi prawników specjalizujących się w temacie i zdecydowanie odradzali powoływanie abi. myślę, że warto uważnie przeanalizować za i przeciw (np nowe obowiązki abi) i zdecydować. nie powinno być to automatem na zasadzie “mieliśmy, to zgłosiliśmy i teraz”

  20. U mnie w instytucji mam wpisane ABI w zakresie obowiązków. Ostatnio przyatakowali mnie o to zgłoszenie ABU do GIODO i siłą rzeczy zostałem zgłoszony. Czyli tak jak napisał matja “na zasadzie ‘mieliśmy’ to zgłosiliśmy i teraz”.
    Czytając artykuł również odniosłem wrażenie, że lepiej nie powoływać ABI bo mniejsza odpowiedzialność i mniejsze wymagania są w stosunku do ADO niż do ABI.

  21. Szczególnie interesująca wydaje się kwestia odpowiedzialności karnej ABI. Czy ADO ma mniejszą odpowiedzialność gdy powoła ABI ?
    Czekam na kolejny materiał.

    • Nie ma :)

  22. Zastanawiam się czy zgłoszenie ABI jest obowiązkowe także dla jednostek medycznych???.
    Zgodnie z ustawą bazy medyczne nie podlegają rejestracji w GIODO.

    • W ustawie nie przewidziano zwolnień od rejestracji ABI. Od 1 lipca albo masz ABI i wtedy musi on być zarejestrowany u GIODO, albo nie masz ABI (co nie zwalnia ADO od realizacji zadań, które domyślnie przypisano w ustawie ABI).

      Podmioty prowadzące działalność medyczną podlegają przepisom u.o.d.o tak jak większość innych, trzeba mieć Politykę Bezpieczeństwa, Instrukcję Zarządzania Systemem Informatycznym i spełniać różne inne obowiązki.
      Jedyne zwolnienie to z rejestracji zbiorów danych osób korzystających z usług medycznych.

    • No właśnie. Ale w przypadku jednostek medycznych – szczególnie tych, które rozliczają się z NFZ – większość danych dotyka osób korzystających z usług medycznych. Takie zbiory nie podlegają dodatkowej rejestracji (poniekąd przetwarzanie tych danych rozumie się samo przez się po zarejestrowaniu podmiotu w UW albo podpisaniu umowy z NFZ jako indywidualna praktyka.

      Co innego zbiory, które prowadzone są w związku z prowadzeniem kampanii promocyjnych na te usługi – np. jeżeli mamy świadczenia komercyjne i mamy bazę pacjentów (nawet zbudowaną na bazie tej ogólne, z przykładu wyżej), do których chcielibyśmy dotrzeć z nową ofertą – musimy ją zgłosić.

  23. Temat nowych przepisów w ogóle przydałoby się głębiej poruszyć…
    Podobno wg nowych przepisów, wystarczy, że ktoś gdzieś użyje maila typu:

    imie.nazwisko@domena.pl

    To nic, że nie muszą to być jego prawdziwe dane… GIODO domniemywa, że są i już powstaje obowiązek ochrony danych.

    Najgorsze jest w tym to, że tworząc głupi formularz kontaktowy (sprostuję, że bez żadnego przetwarzania w bazie – tylko funkcja wysyłająca maila), na byle wizytówce WWW dla firmy, owa firma powinna zarejestrować się w GIODO (?), dodać politykę prywatności i wajchy do fajkowania akceptacji przetwarzania i polityki…, podczas gdy (niech mnie ktoś poprawi jeśli się mylę) ktoś wysyła do nas maila przez swojego klienta pocztowego, to wszystko pozostaje ok.

  24. @CIA Wszystko zależy…
    W art 6 ust. 2 – [i]Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub [b]pośrednio[/b], w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.[/i]
    Wobec czego, jeżeli w zbiorze istnieją osoby, które podały swoje prawdziwe dane, lub podejrzewasz, że takimi mogą być i można te osoby łatwo zidentyfikować (bez dużych kosztów oraz czasu) to zbiór musisz zarejestrować. Ale pod warunkiem…
    …że dane nie są zbierane w celach prywatnych do użytku własnego, niezarobkowego np jeżeli jest to forum ‘rodzinne’, ‘klanowe’. Wyjątkiem jest, jeżeli chcesz udostępniać te dane dalej lub zarabiać na tym forum…

    @Mba nie ma wspomnianego Administratora Systemów Informatycznych (ASI), ale jest warunek, że Administrator Bezpieczeństwa Informacji(ABI) będzie wykonywał swoje obowiązki w pierwszej kolejności. Dodatkowe obowiązki powierzone przez Administratora Danych Osobowych (ADO) ABI wykonuje w ‘wolnym czasie’, dodatkowo. Ze względu na to, że ASI ma zawsze dużo powierzonych obowiązków, to naturalne jest, że w dużych firmach, korporacjach, żeby spełnić ten warunek należy rozdzielić te funkcje.
    Inną sprawą jest to, że ABI ma za zadanie wykonywanie sprawdzeń zbiorów, w większości tych elektronicznych. Czyli inaczej sprawdza samego siebie. Nie jest to dobra praktyka.
    Na ten temat powinna wypowiedzieć się GIODO (Generalny Inspektor Ochrony Danych Osobowych), ale na sprecyzowanie tego to pewnie jeszcze poczekamy. Na tą chwilę sprawa jest jeszcze ‘na pół domknięta’ ;)

    @matja Ja też odradzam, w małych firmach posiadających zaledwie kilka zbiorów danych osobowych i kilku-kilkudziesięciu pracowników. Niestety firmy, które chcą zarobić na wprowadzeniu nowych regulacji robią dużo zamieszania. Radzę poczytać wywiady z Maćkiem Byczkowskim, Prezesem Stowarzyszenia Administratorów Bezpieczeństwa Informacji oraz zajrzeć na stronę stowarzyszenia – http://www.sabi.org.pl, gdzie znajdziesz sporo odpowiedzi.

    I na wszelki jeszcze poinformuję o tym, o co często pytają się mnie przyszli ABI – nie jest wymagany do pełnienia funkcji ABI żaden certyfikat, studia czy szkolenie. Wymagana jest odpowiednia, szeroka wiedza (nie tylko z UODO, ale również innych ustaw, systemów informatycznych, zabezpieczeń, często kryptografii, kryptoanalizy itp…). Funkcja ta nie jest też tylko ładnie wyglądającym skrótem na papierku w CV. Jest to ogromna odpowiedzialność i dostępność 24/7. Pamiętajcie o tym przyszli ABI, jeżeli się zgodzicie na rejestrację (bez waszej zgody pracodawca was nie powinien rejestrować – w teorii). Plusem jest to, że wynagrodzenie powinno wam mocno polecieć w górę jeżeli macie pracę w pełnym etacie. Ile macie pracy sami musicie obliczyć.

    Kolejną sprawą jest mit na temat kar GIODO, ale mam nadzieję, że ten temat rozwiną redaktorzy w następnych artykułach ;)

    Starałem się pisać zrozumiałym językiem, ale w razie czego służę pomocą :P

  25. Jestem IBTI (znów skrócik :)….) więc wcisnęli mi robotę ABIego bo to przeca prawie to samo a ponieważ to budżetówka to można pracownika “zmusić” obietnicami wysokich dodatków za nową funkcje. I co… dostałem dodatek….300 zl. Tyle warta jest praca ABIego. No to popłakałem trochę wiec mam pytanie do następnych tematów:
    – czy baza w której dane osobowe dotyczą pracowników innej jednostki na rzecz której wykonuje sie zadania z innych ustaw i zostały one uzyskane bezpośrednio od pracowników (a nie od pracodawcy) muszą byc TEŻ umocowane w umowie podpisanej miedzy ich pracodawcą a podmiotem przetwarzającym dane tak jak chce ustawa czy skoro inny przepis tego wymaga to juz uodo nie ma tu nic do gadania?

  26. Apropo zgłaszania zbiorów DO do GIODO

    Zdaje się, że nie wszystkie typy zbiorów DO podlegają zgłoszeniom – szczególnie w branży medycznej, gdzie np. rejestr pacjentów na potrzeby realizacji świadczeń medycznych nie podlega zgłoszeniom, ale np. rejestr pacjentów na potrzeby badań naukowo-medycznych już tak.

  27. @qwas czyli na szkoleniu nam kit wciskali…

    • Nie wiem nie byłem na tym szkoleniu.
      Nie łączenie ABI i ASI wynika z dobrej praktyki wypracowanej w większych organizacjach, aby podział obowiązków i odpowiedzialność się rozkładały, ale w ustawie nie ma nawet pojęcia ASI.

  28. Wystarczy wyznaczyć ABI-ego z dniem 1 lipca i zgodnie z art. 46b ust. 1 ustawy o ochronie danych osobowych na zgłoszenie do GIODO jego powołania ADO ma 30 dni.

  29. ‘Każda firma zarejestrowana w DEBI ma obowiązek zgłoszenia do BETI bazy do 30 czerwca zgodnie z ustawą, bo RAMA zgłosi sprawę do GRUMY i wtedy ZUBI zlicytuje ci dom! Potwierdzone info!’

    Albo ja za dużo piłem albo zacznę pić więcej.

    Kolejne nikomu niepotrzebna gmatwanina papierkowo-organizacyjno-wręcz beletrystyczna..
    krótki cytat;

    Wyróżnia się administratorów

    Systemów operacyjnych.
    Baz danych.
    Serwerów.
    Sieci.
    Poszczególnych usług typu fora dyskusyjne, czaty itp.

    A ja na to la vida loca….

  30. Przypuśćmy, że mam zarejestrowane w GIODO zbiory danych wrażliwych, to wg nowelizacji rozporządzenia do niej w dalszym ciągu te zbiory muszę aktualizować, zgłaszać nowe tego typu do rejestru GIODO i to jest jasne. Ale czy ABI prowadzi swój wewnętrzny rejestr zbiorów danych wrażliwych? W mojej ocenie nie, ponieważ to samo widnieje w egiodo. Proszę o potwierdzenie jak to widzicie?

    • @Kubix, to troche dokladanie sobie niepotrzebnych zadan. I tak “sensitive data” musza byc po stronie GIODO i prowadzenie rejestru zbiorow przez ABIego jest zajeciem nadmiarowym.

  31. Uważam, że warto przekazać negatywne strony powołania ABI – de facto poza brakiem konieczności zgłaszania zbiorów do GIODO, zostaje on “szpiegiem” na usługach GIODO. Moim zdaniem ABI w takim układzie jest między młotem, a kowadłem. W przypadku, jeżeli zbiory zgłasza się np. raz na rok albo rzadziej korzyści płynące z powołania ABI są nieadekwatne do nowych obowiązków.

    • Korzyści są większe pod warunkiem, że ADO ogarnia prawy na tyle, aby samemu wykonywać też wszystkie inne obowiązki, które na niego spadają w takim układzie.
      Czyli np. audyty bezpieczeństwa, szkolenie pracowników, napisanie i dbanie o dość rozległą dokumentację itd.
      Zysk z powołania ABI (w przypadku małych firm – outsourcing, w przypadku dużych – na etat) jest jednak dużo większy niż sam przywilej dot. zgłaszania zbiorów danych.

  32. A jak jest z tym zgłaszaniem ? załóżmy że mamy w firmie kadry i program komputerowy do kadr, księgowość i bazę klientów/umów na jakieś usługi ()czyli jak pewnie 90% firm) – czy te zbiory gdziekolwiek trzeba rejestrować?

    • Zbiorów HR nie zgłaszamy; jeżeli w księgowości mamy bazę umów z podmiotami gospodarczymi lub nawet umowy zlecenia z osobami fizycznymi to też nie zgłaszamy tego rodzaju bazy.

      Baza klientów zawierająca np. e-mail, imię nazwisko itp. to inny temat. Trzeba sobie odpowiedzieć na pytanie o podstawę prawną zbierania tych danych cel przetwarzania itp. Zwykle należy ją zgłosić, chyba, że ma się zgłoszonego ABI do rejestru GIODO, wówczas to ABi jest zobowiązany prowadzić rejestr zbiorów danych w firmie.

    • Zgodnie z art 43.1 zgłaszanie nie dotyczy miedzy innymi:
      • zbiorów danych przetwarzanych w związku z zatrudnieniem u administratora danych lub w związku ze świadczeniem na rzecz administratora usług na podstawie umów cywilnoprawnych;
      • zbiorów danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
      • zbiorów danych zawierających wyłącznie dane powszechnie dostępne.

    • Akt pracowników nie trzeba zgłaszać do GIODO.
      Jeżeli ta baza klientów zawiera dane osobowe szczególnie osób fizycznych, to trzeba taką bazę zgłosić.

    • Chyba, że masz powołanego ABI, wtedy nie musisz.

  33. Słownik POLsko-ODOwski,
    czyli próba wyjaśnienie niektórych pojęć z zakresu ochrony danych osobowych w sposób _uproszczony_:

    o.d.o. – ochrona danych osobowych (często występuje w postaci ODO)

    u.o.d.o. – ustawa o ochronie danych osobowych (czasami występuje w postaci UODO),
    przepisy u.o.d.o. dotyczą praktycznie wszystkich, ale wielu o tym nie wie…

    GIODO – Generalny Inspektor Ochrony Danych Osobowych – urzędnik w randze ministra, który zajmuje się w Polsce ochroną danych osobowych (uczestniczy w pracach legislacyjnych, prowadzi akcje edukacyjne, przeprowadza kontrole (itd.)

    ADO – Administrator Danych Osobowych – nie, to nie jest informatyk (no chyba, że jest szefem firmy), to wg definicji “osoba, która decyduje o celach i środkach przetwarzania danych osobowych”, czyli w praktyce jest to właściciel firmy lub ktoś kto nią zarządza (np. dyrektor) lub reprezentuje zarząd (jeden z prezesów). ADO to decydent w danej instytucji/urzędzie/firmie/organizacji, który decyduje (na poziomie zarządczym) jakie dane są zbierane, po co są zbierane, jak są zabezpieczane i kto ma mieć do nich dostęp.
    ADO może być również w pewnych okolicznościach osoba fizyczna.

    ABI – Administrator Bezpieczeństwa Informacji – nie, to też nie jest informatyk, a przynajmniej niekoniecznie. ABI to funkcja wynikająca z u.o.d.o., w ustawie wymieniono pewne konkretne obowiązki które ABI ma, podstawowe dwa to:
    – zapewnienie przestrzegania przepisów (poprzez opracowywanie odpowiednich dokumentów, szkolenia lub inne formy uświadamiania, przeprowadzanie sprawdzeń – czyli wewnętrznych kontroli)
    – prowadzenie rejestru zbiorów danych osobowych przetwarzanych w danej organizacji
    Na podstawie nowych przepisów, które weszły od 1.01.2015 ABI jest nieobowiązkowy, tzn. organizacja może sobie powołać takiego fachowca, ale może też funkcjonować bez niego i wtedy ADO (sam lub przez wyznaczone osoby) zajmuje się tym co należy do obowiązków ABI. I o tym jest ten artykuł powyżej.
    Funkcja ABI to bardziej funkcja “urzędnicza” niż techniczna i ABIm niekoniecznie musi być informatyk, raczej osoba która zna przepisy u.o.do.o i potrafi zastosować je w praktyce danej organizacji, aczkolwiek często to informatycy są wyznaczani do pełnienia tej funkcji. Czy tak powinno być – o tym można by napisać osobny artykuł…

    ASI – Administrator Systemu Informatycznego – tak to jest informatyk (a przynajmniej zwykle powinien być :-p). W przepisach nie ma takiej funkcji, ale w komentarzach do przepisów jest … z konieczności. We współczesnych organizacjach, które większość danych przetwarzają w formie elektronicznej musi być ktoś kto ogarnia tematy IT i tego człowieka nazywa się umownie ASI. Co ma ODO do ASI? Wymogi wynikające z ODO mają duży wpływ na pracę informatyków pracujących dla danej organizacji. Przede wszystkim ASI musi przestrzegać Polityki Bezpieczeństwa (którą każdy ADO powinien mieć opracowaną), a tam są np. określone wymogi co do sposobu jak dane osobowe powinny być zabezpieczone, w jaki sposób i kto ma mieć prawo dostępu do nich, itd. itd.
    Można powiedzieć, że o ile ABI jest urzędasem, który nadzoruje przestrzeganie pewnych przepisów i reguł, to ASI jest robolem, które ma te reguły wdrożyć w życie jeżeli chodzi o IT w organizacji. Zdarza się, że ADO powołuje na funkcję ASI + ABI jedną osobę i wtedy zamiast urzędasa i robola mamy czarnucha… (tak jest w moim przypadku).

    PS. Pozdrowienia dla wszystkich ABIch

  34. U nas w firmie nie ma żadnej bazy zgłoszonej (a mamy sporo danych klientów), jakie są kary ? co nam grozi ? bo nie wiem czy warto zatrudnić firmę do wdrożenia.

    • A macie chociaż upoważnienia do przetwarzania danych osobowych?

    • :( nie mamy kompletnie nic, jedyne co mamy to duuuuuuży zbór danych osobowych.

    • Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

  35. Trzeba też wspomnieć, że najprawdopodobniej w 2016 pojawi się General Data Protection Regulation od matki Unii. Ma obowiązywać w całej wspólnocie i być nadrzędna do ustaw wewnętrznych poszczególnych członków. Pojawia się tam również DPO (Data Protection Officer/Official) czy tak nasz obecny ABI.

    • Tu można posłuchać co o tym mówi były GIODO, a obecnie Zastępca Europejskiego Inspektora Ochrony Danych:

      https://www.youtube.com/watch?v=sqRdyOooxsg

    • Mateczka Unia tak bardzo nas kocha, że non stop musi nas kontrolować, regulować wszystkie dziedziny naszego życia.

  36. Trochę cyrki z tym powołaniem. U mnie wniosek wysłano co prawda późno – dotarł do GIODO 22 czerwca. Dzwoniąc do GIODO aby zapytać się ile może rejestracja potrwać, powiedziano mi, że aktualnie weryfikują wnioski z marca…

  37. Wow, no to ego czytelników niebezpiecznika mnie rozwaliło.. Nie rozumiesz tekstu = nie jest dla Ciebie = nie czytaj. Ale tutaj mamy Duże ego + nie rozumiem = napisz narzekania / pseudo sarkazm w komentarzu

    • Muszę przyznać, że przez chwilę zastanawiałem do czego odnoszą się skróty ADO oraz ABI. Użyłem nawet wujka Google, żeby dowiedzieć się, że nie chodzi tu o ActiveX Data Objects i Application Binary Interface, a przecież wystarczyłoby na początku tekstu wstawić raz w nawiasie rozwinięcie obu skrótów. Fakt, tekst nie jest przeznaczony dla mnie, ale często wchodzę na niebezpiecznika, żeby dowiedzieć się czegoś nowego ;)

  38. Proszę o analizę następującego problemu.
    Skoro jest napisane i mówi się, iż “po 30 czerwca dotychczasowi ABI, którzy nie zostali zgłoszeni do rejestru GIODO, przestają pełnić funkcję ABI, a obowiązki przejmuje ADO”, to jak się ma do tego treść nowych rozporządzeń Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku poz. 719 w sprawie sposobu prowadzenia przez ABI rejestru zbiorów danych oraz poz. 745 w sprawie trybu i sposobu realizacji zadań …. przez ABI.
    Konkretne pytanie.
    1. Jeśli w organizacji obowiązki ABI sprawuje ADO to czy ADO musi wypełnić wszystkie zapisy z w/w rozporządzeń? (przypominam zapis: obowiązki ABI przejmuje ADO).

    • tych rozporządzeń nie stosuje się do ADO, którzy nie powołali ABI-iego. Jeśli nie masz ABI-iego, to wszystkie zbiory zgłaszasz do GIODO – więc pierwsze rozporządzenie odpada, drugie ma w tytule “wykonywania (…) przez ABI” = dotyczy tylko sytuacji, gdy powołano ABI-iego

  39. ABI – application binary interface. Reszta – nie wiem. Może chodziło o API i zgłaszanie do zaiksu po niedawnym wyroku sądu w USA?

  40. Tekst według mnie trochę “chaotycznie” napisany :)
    1. “Stary” ABI do 30 czerwca pracował po staremu – praktycznie do końca czerwca nie było najważniejszego rozporządzenia (funkcjonowało tylko to o zgłoszeniu). Praktycznie dotyczyło to także “nowych” zarejestrowanych ABI. Teoretycznie mieli pracować według nowych przepisów ale takowych nie było :)
    2. ABI można zarejestrować w dowolnym momencie – nic nie stoi na przeszkodzie, żeby od 1 lipca do 1 sierpnia funkcję ABI “przejął” ADO i 1 sierpnia zgłosił “starego” (po ponownym powołaniu) ABI
    3. Nic nie stoi na przeszkodzie żeby dotychczasowy “stary” ABI pracował dalej na zasadzie pełnomocnictwa nazywając się specjalistą – i tak do większości pism do GIODO trzeba było takie pełnomocnictwo dołączać (oprócz rejestracji zbioru)
    4. To co przedstawiane jest jako zaleta – zwolnienie z obowiązku rejestracji zbiorów “zwykłych” – według mnie nie jest żadną zaletą. Rejestracja nie była nigdy problemem, a prowadzenie jawnego publicznie dostępnego rejestru może być i kosztowne i problematyczne :)
    5. To prawda, że zmniejsza się w przypadku zarejestrowania ABi, odpowiedzialność ADO, ale zarejestrowany ABI musi “usztywnić” dotychczasowe stanowisko i w razie potrzeby składać skargi na ADO (kąsa rękę która go karmi:))
    6. Kontrole zlecane przez GIODO “nowemu” ABI – będzie to powszechnie wykorzystywany mechanizm i ABI dotychczas odpowiedzialny za przetwarzanie danych osobowych zgodnie z prawem, teraz będzie także odpowiedzialny za poprawność kontroli. Ten minus powoduje, że należy się głęboko według mnie zastanowić co jest lepsze. Niektóre z dużych firm, w tym z banków, po przeprowadzeniu audytów stwierdziły, że nie rejestrują ABI :)

  41. ADO (jeśli nie powołał i nie zarejestrował ABI) nie prowadzi rejestru, gdyż nie jest zwolniony z obowiązku rejestrowania “zwykłych” zbiorów danych osobowych w GIODO. ADO rejestruje “własnoręcznie” lub “poprzez pracownika na podstawie pełnomocnictwa” w GIODO i to GIODO prowadzi rejestr.

  42. Fajnie, że poruszyliście tę sprawę. Mniej najbardziej by się przydała np. przykładowa polityka bezpieczeństwa, bo pewnie niedługo zostanę ABI i będę musiał się przekopać przez całą papierologię.

  43. Czy funkcja ABI może być pełniona jako dodatkowa, obok zasadniczych obowiązków? Spotkałem się z praktyką powoływania na stanowisko ABI Pełnomocnika ds. ochrony informacji niejawnych. Zasadniczo, pełnomocnik doin spełnia wymogi ustawowe stawiane ABI. Problem, moim zdaniem pojawia się, kiedy jest mowa, że ABI można powierzyć dodatkowe obowiązki jeżeli nie koliduje to z jego zasadniczymi obowiązkami. W przytoczonym wyżej przypadku, to funkcja ABI jest dodatkowym obowiązkiem.

  44. W powołaniu funkcji ABI najbardziej intryguje mnie kwestia finansiwa. GIODO chce mieć bat na pracodawców w postaci ABI, którego właśnie ma opłacać ADO. Pachnie mi tu ogromną “niezależnością”… najgorsze w tym jest również to, że na nowo powołanego ABIgo spada bardzo duża odpowiedzialność, nawet karna, a jego pensja może zostać na niezmienionym poziomie. Martwi mnie brak tego uregulowania.

  45. Zaryzykuję przypuszczenie, że szerokopojęta ochrona danych osobowych jest w praktyce co najwyżej równie skuteczna jak ochrona praw autorskich – a zapewne w rzeczywistości jeszcze znacznie mniej, ponieważ podczas gdy za tą ostatnią stoją wpływowe konglomeraty medialne, to ta pierwsza to ostatecznie praktycznie zawsze “problem jednostki” której dane gdzieś tam sobie fruwają.

    • Ochrona jest tym bardziej skuteczna im częściej dochodzimy swoich praw. Jak mamy gdzieś naszą prywatność i nie egzekwujemy tych praw to trudno się dziwić wielkim “konglomeratom”, że nie przywiązują do tego szczególnej uwagi.

  46. CZY TWÓRCY NIEBEZPICZENIKA SŁYSZELI KIEDYŚ O ZASADZIE KISS ? :]

  47. Witam, tak dla ścisłości 30.06 to nie jest termin graniczny zgłaszania ABI do GIODO. ABI może być zgłaszany także po tym terminie. Taka mała nieścisłość w artykule.
    Pozdrawiam,
    Tomek

  48. Dla ścisłości w ustawie o ochronie danych osobowych został zdefiniowany Administrator danych (AD) a nie ADO – Administrator Danych Osobowych.

  49. a gdyby spojrzeć na ochronę danych osobowych z punktu widzenia Kowalskiego ? Kowalskiego, który chciałby, aby jego dane osobowe były chronione i zabezpieczone w sposób należy, właściwy, poprawny, czyli żeby były bezpieczne i chronione ?

  50. Czy pracodawca moze powołać Abi bez wyrażenia zgody pracownika, pracownik nie jest informatykiem , ma wypełniony zakres zadań i czynności każdego dnia, odpowiada przed instytucjami : ZUS , PIP , Urzędem Skarbowym, nie podlega bezpośrednio kierownikowi jednostki. Przejęcie obowiązków Abi kolidowałyby z jego codzienną pracą.

    • Absolutnie nie może. Po pierwsze pracodawca musi odebrać albo oświadczenia pracownika albo zaświadczenie o niekaralności z KRK które pracownik może sam donieść, po za tym pracownik musi mieć odpowiednią wiedzę (kompetencje) z zakresu przepisów o ochronie danych osobowych. Nie wyobrażam sobie jak może pracodawca nie zapytać pracownika? Do tego pozostaje niezależność i brak kolizji czasowej i merytorycznej w wykonywaniu zadań ABI i innych zadań. Zadania ABI muszą być pierwsze a potem inne. No i musi podlegać pod kierownika jednostki. Jeśli pracodawca skłamie w oświadczeniu, że powołany ABI podlega bezpośrednio kierownikowi jednostki ponosi odpowiedzialność przez organem – GIODO. Chyba nawet karną za składanie fałszywych oświadczeń przed organami admin. państwowej w toku postępowania.

  51. Czyli jeśli był ABI to nadal nim jest, tak?
    W innym przypadku jego zadania przejmuje ADO do czasu powołania nowego ABI?
    Czy zmieniły się wymagania wobec ABI tak, że może dojść do sytuacji, że obecny utraci uprawnienia?

    • Jeśli był “stary” ABI wyznaczony na podstawie art. 36 ust 3 to był tylko do 30.06.2015. Powinien być powołany na podstawie nowego przepisu art. 36a ust 1. i zgłoszony do GIODO. Niektórzy ważają, że tego starego bez odwołania też trzeba było do 30.06.2015 zgłosić do GIODO. Jeśli “stary” ABI nie został powołany na nowego lub nie został zgłoszony do GIODO do 30.06.2015 to wszystkie zadania ABI z ustawy przejął administrator danych – czyli kierownik jednostki organizacyjnej (zapewne najwyższy szef w organizacji).

      Co do ABI wymagania się nie tyle zmieniły co “pojawiły”. Do tej pory nie było żadnych wymagań. Każdy mógł być ABI. Teraz jest szereg wymagań:

      Polecam lekturę art. 36a.: Zadania ABI, kompetencje ABI, status ABI w organizacji,

      Art. 36a.
      1. Administrator danych może powołać administratora bezpieczeństwa informacji.
      2. Do zadań administratora bezpieczeństwa informacji należy:
      1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
      a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
      b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
      c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
      2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7.
      3. Rejestr, o którym mowa w ust. 2 pkt 2, jest jawny. Przepis art. 42 ust. 2 stosuje się odpowiednio.
      4. Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust. 2.
      5. Administratorem bezpieczeństwa informacji może być osoba, która:
      1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
      2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
      3) nie była karana za umyślne przestępstwo.
      6. Administrator danych może powołać zastępców administratora bezpieczeństwa informacji, którzy spełniają warunki określone w ust. 5.
      7. Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.
      8. Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań, o których mowa w ust. 2.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: