Jako osoba fizyczna prowadzę sklep internetowy. Moja działalność rozrasta się, planuję założyć bazę klientów, którym będę rozsyłać m.in. newsletter. Wiem, że muszę stosować przepisy dotyczące ochrony danych osobowych. Czy mogę ustanowić się administratorem bezpieczeństwa informacji, tak bym nie musiał rejestrować zbiorów przetwarzanych danych u GIODO?
NIE. Rzeczywiście powołanie administratora bezpieczeństwa informacji w przypadku przetwarzania danych osobowych zwykłych, zwalnia administratora tych danych z obowiązku rejestrowania zbiorów zawierających takie dane u Generalnego Inspektora Ochrony Danych Osobowych. Art. 36a ust. 5 ustawy o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) określa jedynie ogólne kwalifikacje, jakie musi posiadać ABI. Są to:
Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Kierownikiem jednostki organizacyjnej jest osoba lub osoby (np. wchodzące w skład organu), które kierują jej pracami (np. ministrowie kierujący działami administracji rządowej, dyrektorzy szkół), prowadzą jej sprawy (np. zarząd spółki) albo podejmują zarobkową działalność (np. jednoosobowi przedsiębiorcy) działając jako administrator danych. Dlatego też administrator danych nie może powołać sam siebie na tę funkcję. ABI pracuje bowiem dla administratora danych m.in. przygotowując dla niego sprawozdania w zakresie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowy w jego firmie. Takie stanowisko wyraża również w tej kwestii GIODO (patrz ramka).
Jeżeli więc Czytelnik chce powołać w swojej firmie administratora bezpieczeństwa informacji, to musi to być inna niż on osoba. Może ją zatrudnić w ramach stosunku pracy lub zlecić jej wykonywanie czynności z tego zakresu na podstawie umowy cywilnoprawnej. Trzeba pamiętać, że powołanie ABI należy zgłosić GIODO w terminie 30 dni od momentu jego powołania. Wzór zgłoszenia powołania ABI zawiera rozporządzenie Ministra Administracji i Cyfryzacji w tej sprawie (Dz. U. z 2014 r. poz. 1934)
|
Niedopuszczalne jest powołanie na ABI osób będących kierownikami jednostki organizacyjnej, a więc np. dyrektorów, wójtów, kierowników, ale również członków zarządu spółki czy stowarzyszenia. Niemożliwe jest również powołanie na stanowisko ABI samego siebie przez osoby prowadzące jednoosobową działalność gospodarczą. Powołanie na administratora bezpieczeństwa informacji osoby będącej kierownikiem jednostki organizacyjnej/osoby zarządzającej podmiotem posiadającym status administratora danych osobowych jest błędem, ponieważ prowadzi to do sytuacji, w której administrator danych nadzoruje i kontroluje samego siebie. źródło: www.abi.giodo.gov.pl |
| ||||||||||||
|
||||||||||||
