Rejestracja ABI w GIODO - wzór zgłoszenia i procedura

Spis treści

Rejestr Administratorów Bezpieczeństwa Informacji prowadzony przez Generalnego Inspektora Danych Osobowych funkcjonuje od stycznia 2015 roku. Dla wielu przedsiębiorców i administratorów danych osobowych kwestia powołania i rejestracji ABI pozostaje zagadnieniem wymagającym szczegółowego wyjaśnienia. Procedura ta, choć nie jest obowiązkowa, niesie ze sobą określone konsekwencje prawne i wymaga przestrzegania konkretnych formalności.

Decyzja o powołaniu Administratora Bezpieczeństwa Informacji należy wyłącznie do administratora danych osobowych. Ustawa o ochronie danych osobowych daje możliwość, ale nie nakłada obowiązku w tym zakresie. Jeśli jednak administrator zdecyduje się na ten krok, musi wypełnić wszystkie wymagania formalne, w tym obowiązek rejestracyjny w GIODO.

Podstawy prawne powołania ABI w firmie

Administrator Danych Osobowych stoi przed dylematem, czy powołanie Administratora Bezpieczeństwa Informacji w jego organizacji jest konieczne. Odpowiedź na to pytanie znajduje się w przepisach ustawy o ochronie danych osobowych, która precyzyjnie określa zarówno możliwości, jak i ograniczenia w tym zakresie.

Artykuł 36a ust. 1 ustawy o ochronie danych osobowych stanowi jednoznacznie, że administrator danych może powołać administratora bezpieczeństwa informacji. Użycie przez ustawodawcę słowa "może" wskazuje na fakultatywny charakter tego rozwiązania. Oznacza to, że żaden administrator danych nie ma prawnego obowiązku powoływania ABI w swojej organizacji.

Brak powołania Administratora Bezpieczeństwa Informacji nie skutkuje żadnymi sankcjami karnymi ani grzywnami dla administratora danych. Decyzja ta pozostaje w pełnej dyspozycji administratora, który musi samodzielnie ocenić korzyści i wady takiego rozwiązania w kontekście swojej działalności

Administrator danych, podejmując decyzję o powołaniu ABI, powinien przeanalizować specyfikę swojej działalności, rodzaj przetwarzanych danych oraz skomplikowanie procesów związanych z ochroną informacji. W przypadku małych firm prowadzących prostą działalność gospodarczą, powołanie ABI może okazać się nieuzasadnione ekonomicznie i organizacyjnie.

Istotnym ograniczeniem ustawowym jest zakaz powołania na stanowisko ABI kierownika jednostki organizacyjnej. Oznacza to, że prezes spółki z ograniczoną odpowiedzialnością, członkowie zarządu spółki akcyjnej czy jednoosobowi przedsiębiorcy nie mogą formalnie pełnić funkcji Administratora Bezpieczeństwa Informacji w swoich organizacjach.

Kierownicy jednostek organizacyjnych są z mocy prawa administratorami danych osobowych. Zgodnie z artykułem 36b ustawy, osoby te wypełniają obowiązki ABI bez konieczności formalnego powoływania na to stanowisko. Dotyczy to prezesów, członków zarządów oraz właścicieli jednoosobowych działalności gospodarczych

To ograniczenie wynika z logiki prawnej - osoba, która decyduje o celach i środkach przetwarzania danych osobowych, nie może jednocześnie pełnić funkcji kontrolnej wobec własnych decyzji. Rozdział tych kompetencji ma zapewnić obiektywność i skuteczność systemu ochrony danych osobowych w organizacji.

Formalne aspekty powołania Administratora Bezpieczeństwa Informacji

Proces powołania ABI w firmie wymaga dopełnienia określonych formalności prawnych. Ustawodawca pozostawił administratorom danych pewną swobodę w zakresie sposobu dokonania tego powołania, co pozwala na dostosowanie procedury do specyfiki organizacji.

Podstawowym wymogiem jest to, że funkcję Administratora Bezpieczeństwa Informacji może pełnić wyłącznie osoba fizyczna. Oznacza to, że nie można powołać na to stanowisko spółki, kancelarii prawnej czy innego podmiotu prawnego. ABI musi być konkretną, indywidualnie oznaczoną osobą.

Ustawa o ochronie danych osobowych nie precyzuje szczegółowego trybu powołania ABI, pozostawiając administratorom danych możliwość wyboru odpowiedniej formy prawnej. W praktyce stosowane są dwa podstawowe rozwiązania organizacyjne.

Uregulowanie funkcji ABI na podstawie postanowień umownych
Powołanie poprzez oświadczenie woli w formie uchwały lub zarządzenia
Określenie kompetencji i obowiązków w ramach istniejącej umowy o pracę
Sporządzenie niezależnej umowy regulującej wyłącznie kwestie związane z pełnieniem funkcji ABI
Wydanie zarządzenia wewnętrznego w przypadku, gdy ABI jest już pracownikiem organizacji

Powołanie Administratora Bezpieczeństwa Informacji nie musi następować na podstawie stosunku pracy. Może to być dowolna forma umowna, w tym umowa zlecenia, umowa o dzieło czy umowa o świadczenie usług. Istotne jest jedynie, aby forma prawna pozwalała na skuteczne wykonywanie obowiązków ABI

Niezależnie od wybranej formy prawnej, dokument powołujący ABI musi zostać podpisany przez osoby uprawnione do reprezentowania administratora danych. W przypadku jednoosobowych działalności gospodarczych będzie to podpis przedsiębiorcy, natomiast w spółkach - podpis wspólników lub członków zarządu, zgodnie z zasadami reprezentacji określonymi w statucie lub umowie spółki.

Dokument powołania powinien zawierać precyzyjne określenie zakresu kompetencji ABI, sposobu wykonywania obowiązków oraz zasad współpracy z administratorem danych. Warto również określić procedury raportowania i mechanizmy kontroli wykonywania powierzonych zadań.

Obowiązek rejestracyjny w GIODO - procedura i terminy

Po dokonaniu powołania Administratora Bezpieczeństwa Informacji administrator danych musi pamiętać o wypełnieniu obowiązku rejestracyjnego wynikającego z artykułu 46b ustawy o ochronie danych osobowych. Jest to bezwzględny obowiązek prawny, którego niedopełnienie może skutkować sankcjami.

Artykuł 46b ust. 1 ustawy o ochronie danych osobowych stanowi jednoznacznie, że administrator danych jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania.

Termin 30 dni na rejestrację ABI w GIODO jest terminem zawitym, co oznacza, że nie podlega przywróceniu. Liczenie terminu rozpoczyna się od dnia faktycznego powołania ABI, a nie od dnia podpisania dokumentów czy rozpoczęcia wykonywania obowiązków. Administrator danych ponosi pełną odpowiedzialność za dotrzymanie tego terminu

Rejestracja ABI w GIODO jest całkowicie bezpłatna, co stanowi istotną ulgę dla administratorów danych. Opłacie skarbowej podlega jedynie wydanie zaświadczenia o zarejestrowaniu administratora bezpieczeństwa informacji oraz ewentualne udzielenie pełnomocnictwa do dokonania rejestracji.

Proces rejestracji musi zostać przeprowadzony wyłącznie w formie papierowej. Obecnie GIODO nie udostępnia systemu elektronicznej rejestracji ABI, co oznacza konieczność osobistego złożenia dokumentów lub przesłania ich pocztą tradycyjną. Skan zgłoszenia przesłany drogą elektroniczną nie może stanowić podstawy do dokonania rejestracji.

Typ czynności	Opłata	Forma złożenia	Termin
Rejestracja ABI	Bezpłatna	Tylko papierowa	30 dni
Zaświadczenie o rejestracji	17,00 zł	Papierowa	Brak limitu
Odwołanie ABI	Bezpłatna	Tylko papierowa	30 dni

Wymagane dokumenty i informacje w zgłoszeniu rejestracyjnym

Prawidłowe dokonanie rejestracji ABI w GIODO wymaga przygotowania kompletu dokumentów oraz zamieszczenia w zgłoszeniu wszystkich informacji wymaganych przez ustawę. Artykuł 46b ust. 2 ustawy o ochronie danych osobowych precyzyjnie określa zakres danych, które musi zawierać zgłoszenie rejestracyjne.

Zgłoszenie musi zostać sporządzone na urzędowych formularzach stanowiących załącznik do Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 roku. Używanie innych formularzy lub sporządzanie zgłoszenia w dowolnej formie nie jest dopuszczalne i skutkuje odmową rejestracji.

Oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania
Numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został nadany
Imię i nazwisko administratora bezpieczeństwa informacji
Numer PESEL ABI lub nazwa i numer dokumentu tożsamości w przypadku braku numeru PESEL
Adres do korespondencji ABI, jeżeli różni się od adresu administratora danych
Data powołania administratora bezpieczeństwa informacji
Oświadczenie o spełnianiu warunków określonych w art. 36a ust. 5 i 7 ustawy

Zgłoszenie rejestracyjne musi być podpisane przez osobę lub osoby upoważnione do reprezentowania administratora danych. W przypadku spółek z ograniczoną odpowiedzialnością podpis składa zarząd, w spółkach akcyjnych - zarząd lub rada nadzorcza zgodnie ze statutem, a w jednoosobowych działalnościach gospodarczych - przedsiębiorca

Szczególną uwagę należy zwrócić na oświadczenie o spełnianiu przez ABI warunków określonych w artykule 36a ust. 5 i 7 ustawy. Dotyczy to kwalifikacji zawodowych, doświadczenia oraz braku okoliczności wykluczających możliwość pełnienia tej funkcji. Administrator danych ponosi pełną odpowiedzialność za prawdziwość złożonego oświadczenia.

W przypadku cudzoziemców nieposiadających numeru PESEL konieczne jest podanie nazwy i numeru dokumentu stwierdzającego tożsamość. Może to być paszport, dowód osobisty wydany przez władze kraju pochodzenia lub karta pobytu wydana przez polskie władze.

Administrator danych prowadzący sklep internetowy postanowił powołać Administratora Bezpieczeństwa Informacji ze względu na rozbudowaną bazę danych klientów. Po podpisaniu umowy z ABI w dniu 15 marca, administrator ma czas do 14 kwietnia na złożenie zgłoszenia rejestracyjnego w GIODO wraz z kompletnymi danymi i wymaganymi oświadczeniami.

Potwierdzenie rejestracji i dokumentacja

Po złożeniu prawidłowo sporządzonego zgłoszenia GIODO dokonuje wpisu do rejestru Administratorów Bezpieczeństwa Informacji. Rejestr ten ma charakter jawny i jest dostępny publicznie, co oznacza, że każdy może sprawdzić, czy dana osoba jest zarejestrowana jako ABI.

Administrator danych lub sam Administrator Bezpieczeństwa Informacji może wystąpić do Generalnego Inspektora z żądaniem wydania zaświadczenia o zarejestrowaniu. Zaświadczenie takie może być przydatne w kontaktach z kontrahentami, organami kontroli lub w postępowaniach przetargowych, gdzie wykazanie posiadania ABI może stanowić przewagę konkurencyjną.

Wydanie zaświadczenia o zarejestrowaniu ABI wymaga wniesienia pisemnego żądania oraz uiszczenia opłaty skarbowej w wysokości 17,00 złotych. Opłatę należy wnieść na konto Urzędu m.st. Warszawy Dzielnica Śródmieście z obowiązkową adnotacją GIODO. Brak właściwej adnotacji może skutkować opóźnieniem w wydaniu zaświadczenia

Zaświadczenie o rejestracji ABI ma charakter dokumentu urzędowego i może służyć jako dowód w postępowaniach administracyjnych lub sądowych. Dokument ten potwierdza nie tylko fakt rejestracji, ale również datę dokonania wpisu do rejestru.

Administrator danych powinien zachować komplet dokumentów związanych z powołaniem i rejestracją ABI przez okres co najmniej pięciu lat od momentu odwołania. Dokumentacja ta może być przedmiotem kontroli ze strony GIODO lub innych organów uprawnionych do kontroli przestrzegania przepisów o ochronie danych osobowych.

Obowiązki i uprawnienia Administratora Bezpieczeństwa Informacji

Powołanie ABI pociąga za sobą określone konsekwencje organizacyjne i prawne dla administratora danych. Funkcja ta nie ma charakteru wyłącznie formalnego, lecz wiąże się z rzeczywistymi obowiązkami i uprawnieniami, które muszą być precyzyjnie określone i skutecznie realizowane.

Administrator Bezpieczeństwa Informacji działa w imieniu i na rzecz administratora danych, ale zachowuje określoną autonomię w zakresie wykonywania swoich zadań. Ustawa nie precyzuje szczegółowego katalogu obowiązków ABI, pozostawiając administratorom danych swobodę w definiowaniu zakresu kompetencji.

W praktyce ABI odpowiada za bieżące monitorowanie zgodności przetwarzania danych osobowych z wymogami prawa, identyfikowanie zagrożeń dla bezpieczeństwa informacji oraz proponowanie rozwiązań mających na celu poprawę stanu ochrony danych. Może również reprezentować administratora danych w kontaktach z GIODO i innymi organami kontroli.

Administrator Bezpieczeństwa Informacji musi posiadać odpowiednie kwalifikacje i doświadczenie w zakresie ochrony danych osobowych. Nie może to być osoba skazana prawomocnym wyrokiem za przestępstwo umyślne ścigane z oskarżenia publicznego lub przestępstwo skarbowe. Administrator danych ponosi odpowiedzialność za weryfikację tych warunków

ABI ma prawo dostępu do wszystkich dokumentów, systemów informatycznych i procesów związanych z przetwarzaniem danych osobowych w organizacji. Administrator danych nie może ograniczać tego dostępu, ponieważ uniemożliwiałoby to skuteczne wykonywanie obowiązków służbowych.

Istotną kwestią jest niezależność ABI w wykonywaniu swoich zadań. Osoba pełniąca tę funkcję nie może otrzymywać instrukcji dotyczących sposobu wykonywania czynności kontrolnych czy oceny zgodności przetwarzania z prawem. Administrator danych może określić ogólne kierunki działania, ale nie może ingerować w merytoryczne aspekty pracy ABI.

Procedura odwołania i zmiany ABI

Administrator danych zachowuje pełną swobodę w zakresie odwołania Administratora Bezpieczeństwa Informacji. Decyzja ta może być podjęta w każdym czasie i nie wymaga uzasadnienia ani zachowania szczególnej procedury. Jednak odwołanie ABI również podlega obowiązkowi rejestracyjnemu w GIODO.

Zgodnie z artykułem 46b ust. 1 ustawy o ochronie danych osobowych, administrator danych ma obowiązek zgłosić odwołanie ABI do rejestru w terminie 30 dni od dnia podjęcia tej decyzji. Termin ten ma taki sam charakter jak w przypadku powołania i nie podlega przywróceniu.

Podjęcie decyzji o odwołaniu ABI przez administratora danych
Sporządzenie dokumentu odwołania z podaniem daty jego skuteczności
Poinformowanie odwoływanego ABI o podjętej decyzji
Przygotowanie zgłoszenia odwołania na urzędowym formularzu
Złożenie zgłoszenia w GIODO w terminie 30 dni od daty odwołania

W przypadku zmiany osoby pełniącej funkcję ABI konieczne jest dokonanie dwóch odrębnych czynności rejestracyjnych: zgłoszenia odwołania dotychczasowego ABI oraz zgłoszenia powołania nowego. Oba zgłoszenia podlegają terminowi 30-dniowemu, liczonym odpowiednio od daty odwołania i daty powołania.

Zmiana danych osobowych ABI, takich jak adres do korespondencji czy zmiana nazwiska, również wymaga zgłoszenia do GIODO. Administrator danych ma obowiązek bieżącego aktualizowania danych w rejestrze, aby zapewnić ich aktualność i prawidłowość. Zgłoszenie zmian następuje na odpowiednich formularzach urzędowych

Odwołanie ABI może nastąpić z różnych przyczyn - od reorganizacji struktury firmy, przez zmianę strategii w zakresie ochrony danych, po niewywiązywanie się z obowiązków przez dotychczasowego ABI. Niezależnie od przyczyny, procedura formalna pozostaje taka sama.

Spółka z ograniczoną odpowiedzialnością zatrudniająca 150 pracowników postanowiła odwołać dotychczasowego ABI z powodu przejścia na emeryturę. Zarząd podjął uchwałę o odwołaniu z dniem 30 czerwca i jednocześnie powołał nowego ABI z dniem 1 lipca. Oznacza to konieczność złożenia dwóch odrębnych zgłoszeń w GIODO - odwołania do 30 lipca i powołania do 31 lipca.

Najczęstsze pytania

Czy każda firma musi powołać Administratora Bezpieczeństwa Informacji?

Nie, powołanie ABI nie jest obowiązkowe. Ustawa o ochronie danych osobowych daje administratorom danych możliwość, ale nie nakłada obowiązku powołania ABI. Decyzja należy do administratora danych, który musi ocenić, czy takie rozwiązanie jest uzasadnione w jego organizacji.

Ile kosztuje rejestracja ABI w GIODO?

Sama rejestracja ABI w GIODO jest całkowicie bezpłatna. Opłacie skarbowej w wysokości 17 złotych podlega jedynie wydanie zaświadczenia o zarejestrowaniu ABI oraz ewentualne udzielenie pełnomocnictwa do dokonania rejestracji.

Czy można dokonać rejestracji ABI przez internet?

Nie, obecnie GIODO nie udostępnia systemu elektronicznej rejestracji ABI. Zgłoszenie musi być złożone wyłącznie w formie papierowej, osobiście lub przesłane pocztą tradycyjną. Skan zgłoszenia przesłany drogą elektroniczną nie może stanowić podstawy do rejestracji.

Kto może pełnić funkcję Administratora Bezpieczeństwa Informacji?

Funkcję ABI może pełnić wyłącznie osoba fizyczna, która spełnia warunki określone w ustawie. Nie może to być kierownik jednostki organizacyjnej, prezes spółki ani członek zarządu, ponieważ osoby te są z mocy prawa administratorami danych osobowych.

Co się stanie, jeśli nie zgłoszę powołania ABI w terminie 30 dni?

Niezgłoszenie powołania ABI w ustawowym terminie 30 dni stanowi naruszenie obowiązków administratora danych i może skutkować nałożeniem kary administracyjnej przez GIODO. Termin ten ma charakter zawity i nie podlega przywróceniu.