Jednym z celów nowelizacji UODO, która weszła w życie z początkiem roku 2015 było stworzenie ram funkcjonowania ABI-ich. Na podstawie zmian wprowadzono faktycznie nową funkcję oraz nowe obowiązki ABI. Obowiązków jest kilka, w różny sposób należy je także wykonywać. Po roku funkcjonowania w nowym stanie prawnym można już pokusić się o ich opisanie razem z praktycznymi poradami jak należy je prawidłowo wykonywać.
Dokonywanie sprawdzeń
Pierwszą grupą obowiązków ciążących na ABI jest dokonywanie sprawdzeń. Sprawdzenia te mogą mieć różny charakter oraz dla różnych podmiotów mogą być wykonywane.
Sprawdzenia w pierwszej kolejności mogą być wykonywane dla ADO. Wśród tego rodzaju sprawdzeń możemy wymienić sprawdzenia planowe oraz pozaplanowe (doraźne).
Sprawdzenia planowe są przeprowadzane według wcześniej ustalonego planu sprawdzeń, który obejmuje swoim zakresem niedużej niż rok i nie krócej niż kwartał. Więcej na temat przeprowadzania i dokumentowania sprawdzeń planowych przeczytasz tutaj.
Sprawdzenia pozaplanowe natomiast nie są objęte planem sprawdzeń, a dokonuj się ich niezwłocznie po uzyskaniu informacji o naruszeniu ochrony danych osobowych lub uzasadnionym podejrzeniu takiego naruszenia (§ 3 ust. 7 rozporządzenia w sprawie trybu i sposobu realizacji zadań ) .
Drugim podmiotem, dla którego możemy przeprowadzić sprawdzenie jest GIODO. GIODO na podstawie art. 19 a UODO, może odstąpić od czynności kontrolnych i zlecić ich przeprowadzenie ABI-emu . Sprawdzenie to jest wykonywane w zastępstwie kontroli, jaką miało przeprowadzić Biuro GIODO. Sprawdzenie takie jest dokonywane przez powołanego u danego ADO– ABI-ego w zakresie i terminie wskazanym przez GIODO. Zlecenie sprawdzenia nie wyłącza późniejszej możliwości dokonania takiej kontroli przez GIODO.
Nadzór nad tworzeniem i aktualizacją dokumentacji
Kolejnym ustawowym obowiązkiem ABI jest sprawowanie nadzoru nad dokumentacją przetwarzania danych.
Nadzór na dokumentacją jest uregulowany w rozporządzeniu w sprawie trybu i sposobu realizacji zadań przez ABI.
Realizacja tego obowiązku dotyczy sprawdzania czy została opracowana dokumentacja wymagana przez UODO oraz co ważniejsze czy dokumentacja odzwierciedla aktualny stan faktyczny. ABI dodatkowo musi nadzorować przestrzeganie zasad oraz procedur zawartych w dokumentacji.
Prowadzenie jawnego rejestru zbiorów
Innym nowym obowiązkiem ABI-ego jest prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, które są wyłączone spod obowiązku ich rejestracji (art. 36a ust.2 pkt 2 UODO).
Prowadzenie jawnego zbioru musi być dokonywane zgodnie z rozporządzeniem w sprawie prowadzenia jawnego rejestru zbiorów danych osobowych. Rozporządzenie to szczegółowo normuje, jakie dane mają się zawierać w rejestrze oraz w jaki sposób mają być one udostępniane.
Zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych
Art. 36a ust.2 lit. c UODO nakłada na ABI-ego obowiązek zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Ustawa nie precyzuje jednak, w jaki sposób ma to być dokonywane.
Inne obowiązki
Na podstawie Art. 36a ust.4 UODO ADO może powierzyć również i inne obowiązki ABI-emu. Ważne tylko by powierzone obowiązki nie wpływały na prawidłowe wykonywanie obowiązków przez ABI-ego. Więcej o tym przeczytacie w tym artykule.
Podsumowanie
Nowelizacja ustawy o ochronie danych osobowych nakłada na barki ABI-ego wiele nowych obowiązków. Niektóre z nich są konsekwencją ułatwień wprowadzenia ułatwień dla ADO np. prowadzenie jawnego rejestru zbiorów w zamian za zwolnienie z obowiązku rejestracji. Mają też zwiększać bezpieczeństwo danych poprzez nadzór nad procesami związanymi z ich przetwarzaniem lub edukację personelu. Mają też ułatwiać prace GIODO (sprawdzenia w trybie 19a UODO). Każdy z nowych obowiązków wymaga głębszego omówienia, co również będę czynił w ramach tego cyklu. By zostać poinformowanym o nowych wpisach polecam śledzić mnie na portalach społecznościowych lub zapisać się na newsletter.