Poradnik - ngo.pl

PYTANIE PRZEDSTAWICIELA ORGANIZACJI POZARZĄDOWEJ

Byłem na szkoleniu, gdzie podano interpretację mówiącą, że organizacje nie mają wyboru  – powołanie ABI jest ich obowiązkiem. Wynikać to ma z tego, że jednostką zajmującą się ochroną danych ma być osoba fizyczna, a nie prawna. Czyli nie może być tak, że fundacja lub stowarzyszenie zajmują się kontaktem z GIODO, gdyż nie są osobami, ale instytucjami. Muszą zatem powołać konkretną osobę i tą osobą ma być właśnie ABI. Wokół tych spraw jest bardzo dużo nieporozumień i fajnie by było, gdyby ten wątek został przez ngo.pl rozwinięty i wyjaśniony.

Zgodnie z art. 36a ust. 1 znowelizowanej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych „administrator danych może powołać administratora bezpieczeństwa informacji” (ABI). W przypadku niepowołania administratora bezpieczeństwa informacji – zadania przypisane ABI w art. 36a ust. 2 pkt 1 (z wyłączeniem obowiązku sporządzania sprawozdania) wykonuje administrator danych – stanowi o tym art. 36b.

Zgodnie z art. 7 pkt 4 ustawy o ochronie danych osobowych „administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba (…) decydujące o celach i środkach przetwarzania danych osobowych”. Fundacje i stowarzyszenia są „podmiotami decydującymi o celach i środkach przetwarzania danych osobowych”, czyli są administratorami danych osobowych (AD). Odpowiedzialność za obowiązki AD ponosi zarząd organizacji.

ABI musi podlegać bezpośrednio kierownikowi jednostki organizacyjnej (AD). Może być zatrudniony na etat lub jego część (w zależności od potrzeb) lub organizacja może współpracować z zewnętrznym ABI.

Powołując ABI organizacja zdejmuje z siebie ciężar ustawowych obowiązków związanych z ochroną danych osobowych – przenosi je na ABI. Oczywiście, jeśli ABI zostaje ktoś „z organizacji” (np. ktoś z zarządu), to w praktyce nie do końca odczujemy to „przeniesienie obowiązków”, ale jeśli administratorem byłby ktoś z zewnątrz, to zmiana będzie bardziej oczywista.

Do obowiązków ABI należy m.in.

• zapewnianie przestrzegania przepisów o ochronie danych osobowych (czyli: sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie sprawozdania dla AD; nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych wymaganej przepisami prawa, zapoznanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych),
• prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez AD (z wyjątkiem zbiorów ustawowo zwolnionych z rejestracji),
• przygotowanie sprawozdania i przekazanie go (za pośrednictwem AD) do Generalnego Inspektora Ochrony Danych Osobowych (GIODO).

Przygotowanie i przekazanie sprawozdania nie wyłącza prawa GIODO do przeprowadzenia w organizacji, będącej AD, kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych – w związku z tym do obowiązków ABI należy także obecność w trakcie kontroli i udzielanie wyjaśnień inspektorom Biura GIODO przeprowadzającym kontrolę.

Oznacza to, że ABI jest „łącznikiem” w kontaktach pomiędzy organizacją a GIODO. W razie wystąpienia uzasadnionej konieczności skontaktowania się z organizacją (AD) GIODO będzie zwracał się bezpośrednio do powołanego ABI.

Więcej o powoływaniu ABI czytaj tutaj: Czy powołać ABI? oraz w serwisie poradnik.ngo.pl.

Generalny Inspektor Ochrony Danych Osobowych niejednokrotnie już podkreślał, że powołanie administratora bezpieczeństwa informacji jest UPRAWNIENIEM, a nie OBOWIĄZKIEM administratora danych (fundacji, stowarzyszenia). Takie stanowisko można znaleźć choćby tutaj na stronie GIODO: http://www.giodo.gov.pl/1520223/id_art/8344/j/pl/

W prowadzonym przez GIODO jawnym Rejestrze Administratorów Bezpieczeństwa Informacji na dzień 30 kwietnia 2015 r. zarejestrowanych zostało 1116 administratorów reprezentujących długą listę placówek publicznych i niepublicznych oraz przedsiębiorców prowadzących działalność gospodarczą.

Na tej liście jest też siedmiu administratorów powołanych i zgłoszonych do rejestracji GIODO przez organizacje pozarządowe (m.in. Towarzystwo Przyjaciół Niepełnosprawnych z Łodzi, Fundacja Betlehem Dom Chleba z Zabrza). Powołały one ABI spośród swoich pracowników lub członków zarządu. Organizacje, które zgłosiły już (do końca kwietnia br.) ABI do GIODO, to organizacje:

• kierujące swoje działania do osób z „zewnątrz”, często chorych lub niepełnosprawnych (choć warto pamiętać, że powołanie ABI nie znosi z administratora danych obowiązku rejestracji u GIODO zbiorów danych obejmujących dane wrażliwe),
• o długim stażu działania,
• posiadające odpowiednie zasoby pozwalające powołać ABI (kadrę, zaplecze lokalowe i techniczne, środki finansowe – w postaci chociażby wpływów z 1% podatku albo realizacji projektów współfinansowanych ze źródeł zewnętrznych, np. ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego).

Odpowiadając na pytanie Czytelnika – jeśli rzeczywiście ktoś podał na szkoleniu taką informację, że powołanie ABI jest obowiązkiem organizacji, to jest to wprowadzanie w błąd. Prawdą jest, że ABI musi być osobą fizyczną – nie może tej funkcji pełnić organizacja – bo niby kto by to był? Kto personalnie ponosiłby odpowiedzialność za obowiązki ABI?

Nic nie stoi jednak na przeszkodzie, żeby jako ABI w danej organizacji powołać kogoś z organizacji, np. jej pracownika lub członka / członkinię zarządu. Osoba ta musi mieć pełną zdolność do czynności prawnych, korzystać z pełni praw publicznych, nie może być karana za umyślne przestępstwo, a przede wszystkim musi posiadać wiedzę w zakresie ochrony danych osobowych. Przepisy nie określają, jak taką wiedzę należy poświadczyć. GIODO wyjaśnia (szczegóły tutaj: http://www.giodo.gov.pl/1520223/id_art/8346/j/pl), że każdy administrator danych sam decyduje, czy osoba, mająca w organizacji pełnić funkcję ABI, ma wiedzę wystarczającą do jej pełnienia u konkretnego administratora danych. Znowelizowana ustawa nie wymaga od kandydatów / kandydatek na ABI-ch posiadania certyfikatów, ani zaświadczeń o ukończeniu odpowiednich szkoleń.

Administrator danych może powołać administratora bezpieczeństwa informacji.

Ilekroć w ustawie jest mowa o: administratorze danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące
o celach i środkach przetwarzania danych osobowych.

W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania,
o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych.