Postępowanie zgłoszeniowe ABI do GIODO, to czynności, związane z powołaniem Administratora Bezpieczeństwa Informacji (ABI) do Generalnego Inspektora Ochrony Danych Osobowych (GIODO).ABI samodzielnie dokonuje zgłoszenia, na wniosek opatrzony podpisem ADO. Administrator Danych Osobowych (ADO), rozumiany jest jako każdy podmiot publiczny lub prywatny, który przetwarza dane osobowe i podjął decyzję o zatrudnieniu ABI. Administrator Danych Osobowych może skorzystać z tego prawa, w myśl art. 46b ust. 1 ustawy o ochronie danych osobowych z 1997 roku.
Organy powołania ABI:
- organy państwowe, w tym samorządy terytorialne oraz jednostki komunalne,
- podmioty niepubliczne: osoby fizyczne, prawne oraz inne jednostki przetwarzające dane osobowe w procesie działalności zarobkowej, zawodowej lub realizacji celów, zgodnych ze statutem.
Zgłoszenie ABI do GIODO od podstaw
Jeżeli administrator danych skorzysta z przysługującego mu uprawnienia i powoła administratora bezpieczeństwa informacji (ABI) ma 30 dni liczonych od daty powołania ABI, na zgłoszenie do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Następnie organ weryfikuje wniosek i sprawdza stan formalny, m. in. zgodność ze wzorem. Po spełnieniu wymogów formalnych ABI jest wpisywany do ogólnokrajowego rejestru. Wniosek o rejestrację, zgłoszenie ABI w GIODO, jest dostępny w internecie i zawiera następujące dane:
- oznaczenie Administratora Danych (ADO),
- dane Administratora Bezpieczeństwa Informacji (ABI) i datę jego powołania,
- oświadczenie ADO o spełnieniu przez ABI warunków określonych w ustawie, tj. czy posiada pełną zdolność do czynności prawnych i korzystania z praw publicznych, odpowiednią wiedzę o ochronie danych osobowych oraz niekaralność, a także potwierdzenie faktu podlegania ABI bezpośrednio Administratorowi Danych Osobowych.
Na wniosek ADO lub ABI, organ naczelny wydaje potwierdzenie wpisu do ogólnokrajowego rejestru, za opłatą skarbową.
Jaką wiedzę powinien posiadać ABI zgłaszany do GIODO?
Administrator Bezpieczeństwa Informacji powinien dysponować wiedzą w zakresie:
- prawa – ze szczególnym uwzględnieniem ochrony danych osobowych,
- zarządzania zasobami ludzkimi – normowanie wewnętrznych reguł korzystania z danych osobowych,
- bezpieczeństwa teleinformatycznego – bowiem nadzoruje funkcjonowanie systemów informatycznych: ich konserwację, awaryjne zabezpieczanie danych, nadzoruje stosowane oprogramowanie stacji roboczych, zarządza hasłami pracowników, nadzoruje zabezpieczanie pomieszczeń pracy,
- procedur skojarzonych ze zgodnym z ustawą przetwarzaniem danych osobowych na różnych nośnikach, łącznie z dokumentami papierowymi,
- etyki pracy.
Niektóre z powyższych kompetencji są przypisane merytorycznie i formalnie Administratorowi Danych Osobowych, jednak w praktyce, to właśnie ABI weryfikuje i koryguje stworzoną politykę bezpieczeństwa. ABI jest więc osobą kompetentną w wielu aspektach ochrony danych, które ADO może pełnić samodzielnie ale specjalistą, zgodnie z przepisami prawa, być nie musi.
Zgłoszenie ABI do GIODO powinno być dokonywane przez Administratora Danych Osobowych, z jednoczesnym przekazywaniem obowiązków specjaliście, do którego mamy pełne zaufanie.