Wójt gminy lub dyrektor szpitala nie może być powołany na stanowisko administratora bezpieczeństwa informacji. Jest już bowiem i tak administratorem danych osobowych
Od początku roku podmioty przetwarzające dane osobowe mogą zgłaszać do specjalnego rejestru powołanych przez siebie administratorów bezpieczeństwa informacji. Jeśli się na to zdecydują, to nie będą już musiały zgłaszać do generalnego inspektora ochrony danych osobowych zwykłych zbiorów danych. Takie zmiany wprowadziła ustawa z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 r. poz. 1662).
Choć nowe regulacje wprowadzono głównie z myślą o przedsiębiorcach, to nie oni są na razie ich głównymi beneficjentami. Do rejestrowania administratorów bezpieczeństwa informacji (dalej: ABI) ruszyła przede wszystkim szeroko rozumiana administracja publiczna. Wśród podmiotów widniejących w prowadzonym przez GIODO rejestrze przeważają jednostki samorządu terytorialnego, szpitale, szkoły czy izby celne i więzienia.
WAŻNE
Z obowiązku rejestracji zwolnione są jedynie zwykłe zbiory danych. Zbiory zawierające dane wrażliwe wskazane w art. 27 u.o.d.o. (np. informacje o stanie zdrowia, rasie czy wyznaniu) nadal trzeba zgłaszać GIODO
W poniedziałek, gdy zamykaliśmy to wydanie „Samorządu i Administracji”, w rejestrze widniało 465 administratorów bezpieczeństwa informacji. Mogłoby ich być dużo więcej, gdyż do GIODO wpłynęło już ok. 2000 wniosków. Niestety bardzo dużo z nich zawiera błędy lub braki, które uniemożliwiają rejestrację. Dlatego też GIODO wydał internetową broszurę „Rejestracja ABI krok po kroku”, która ma pomóc w prawidłowym przygotowaniu wniosku. Można się z nią zapoznać na stronie internetowej www.giodo.gov.pl (zakładka: Rejestracja zbiorów danych osobowych oraz ABI).
Wójt ma inne zadania
Jakie błędy najczęściej popełniane są we wnioskach? Pisanie ich po swojemu, zamiast użycia formularza zgłoszenia, brak podpisu osoby upoważnionej czy przesłanie skanu. GIODO przypomina, że zgłoszeń można dokonywać wyłącznie przy użyciu formularza, którego wzór stanowią załączniki do rozporządzenia ministra administracji i cyfryzacji z 10 grudnia 2014 r. (Dz.U. z 2014 r. poz. 1934). Wypełniony i – co ważne – podpisany przez osobę fizyczną formularz musi zostać przesłany lub dostarczony osobiście do GIODO.
Powtarzającym się błędem jest też wyznaczanie na funkcję ABI kierownika jednostki organizacyjnej. Kierownik jednostki w takiej sytuacji występowałby w dwóch rolach. Pierwsza to ABI, a druga to administrator danych osobowych (dalej: ADO), czyli podmiot przetwarzający dane. W podręczniku przywołano art. 36b ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.; dalej: u.o.d.o.). Zgodnie z nim jeśli ADO nie powoła ABI, to sam wykonuje obowiązki tego ostatniego. Zdaniem GIODO świadczy to o tym, że nie można jednocześnie wypełniać obydwu tych funkcji.
Jednocześnie autorzy podręcznika przypominają, że nie ma obowiązku powoływania ADO. To wolny wybór. Gmina, urząd czy szkoła mogą uznać, że powołanie ABI jest bezcelowe. Wówczas to wójt, kierownik urzędu czy dyrektor szkoły sam bierze na siebie odpowiedzialność za czynności związane z przetwarzaniem danych.
Rejestr dostępny
W niektórych zgłoszeniach pojawiają się informacje, których podawanie nie jest wymagane. Podawany jest np. jednocześnie numer ewidencyjny PESEL oraz informacje dotyczące dokumentu tożsamości, w tym jego seria i numer.
„Jeżeli ABI posiada nadany numer PESEL, wówczas wystarczające jest jego podanie, nie trzeba dodatkowo zamieszczać informacji odnośnie dokumentu tożsamości” – wyjaśniają autorzy podręcznika.
Niektórzy wnioskodawcy załączają do zgłoszenia także złożone przez niego odrębne oświadczenie np. o niekaralności.
„Jest to zbędne, gdyż wszelkie wymagane oświadczenia składa administrator danych w treści zgłoszenia powołania ABI do rejestracji GIODO” – zauważają autorzy.
Po zaakceptowaniu zgłoszenia ABI są wpisywani do prowadzonego przez GIODO ogólnokrajowego, jawnego rejestru (art. 46c u.o.d.o.). Dostęp do niego ma każdy zainteresowany pod adresem: https://egiodo.giodo.gov.pl/search_results_advanced_ado.dhtml.