procedury, instrukcje „

Slides:



Advertisements
Podobne prezentacje
Ochrona danych osobowych i informacji niejawnych w jednostkach organizacyjnych pomocy społecznej. Warszawa 2010.
Advertisements

Rekrutacja do klasy I SP w roku szkolnym 2016/2017.
Ochrona Danych osobowych Katarzyna Doda Wydział Organizacyjny.
Anonimizacja danych adresowych pokrzywdzonego i świadka w procedurze wykroczeniowej w świetle ustawy z dnia 28 listopada 2014 r. o ochronie i pomocy dla.
„Pewnie i bez lęku do egzaminów potwierdzających kwalifikacje zawodowe w letniej sesji 2006 r."
Rekrutacja Rok szkolny 2016/2017. Postanowienie Śląskiego Kuratora Oświaty Nr OP-DO z dnia 29 stycznia 2016 r. w sprawie terminów przeprowadzania.
Urząd Transportu Kolejowego, Al. Jerozolimskie 134, Warszawa, Polityka regulacyjna państwa w zakresie dostępu do infrastruktury na.
Biuro Edukacji Urzędu m.st. Warszawy Warszawa, 24 luty 2016 r. Elektroniczny system rekrutacji do gimnazjów na rok szkolny 2016/2017.
PREZENTACJA Zmiany sposobu zgłaszania i organizacji wypoczynku dla dzieci i młodzieży NAJWAŻNIEJSZE PRZEPISY w oparciu o znowelizowane prawo oświatowe.
Projekt Regulaminu Działania Komitetu Monitorującego Regionalny Program Operacyjny Województwa Pomorskiego na lata
Działalność konsultantów wojewódzkich zmiany w ustawie o konsultantach w ochronie zdrowia oświadczenia składane przez konsultantów kontrola podmiotów leczniczych.
Dokumenty potrzebne do złożenia wniosku o dofinansowanie projektu w ramach Regionalnego Programu Operacyjnego Województwa Pomorskiego na lata
SPOTKANIE Z ORGANIZACJAMI POZARZĄDOWYMI Z TERENU POWIATU GLIWICKIEGO KONKURS OFERT – POWIAT GLIWICKI.
STAŻ. Definicja: Staż oznacza nabywanie przez bezrobotnego umiejętności praktycznych do wykonywania pracy przez wykonywanie zadań w miejscu pracy bez.
WNIOSKI Z KONTROLI I NADZORU NAD REALIZACJĄ ZADAŃ POMOCY SPOŁECZNEJ
OCHRONA DANYCH OSOBOWYCH
Portal Ogłoszeń ARiMR 10 maja 2017 r. Warszawa.
ZINTEGROWANE INWESTYCJE TERYTORIALNE AGLOMERACJI WAŁBRZYSKIEJ ZAŁĄCZNIKI DO WNIOSKU O DOFINASOWANIE PROJEKTU W RAMACH RPO WD EFRR Wałbrzych.
DECYZJA O WARUNKACH ZABUDOWY tzw. „Wuzetka”
Sześciolatek idzie do szkoły
Czym jest CUW ? Katowice Posiedzenie 28 czerwca 2016r.
NOWELIZACJA USTAWY O SYSTEMIE INFORMACJI OŚWIATOWEJ
NARADA SŁUŻBY GEODEZYJNEJ I KARTOGRAFICZNEJ WOJEWÓDZTWA MAZOWIECKIEGO
O ochronie danych osobowych.
organizowanie ochrony informacji niejawnych
Ubezpieczenie wypadkowe
Dz.U Ustawa z dnia 14 grudnia 2016 r. - Prawo oświatowe
O ochronie danych osobowych
Programy nauczania.
ZASADY REKRUTACJI DO SZKOŁY PONADGIMNAZJLNEJ
O ochronie danych osobowych
E- SKARGA Formalne wymogi wniesienia skargi do WSA w kontekście informatyzacji postępowania sądowoadministracyjnego- wybrane zagadnienia.
Akty prawne Ustawa z dnia 14 grudnia 2016r. Przepisy wprowadzające ustawę - Prawo Oświatowe (Dz.U. z 2017r., poz. 60) w nawiązaniu do ustawy z dnia 7.
Sześciolatek idzie do szkoły
POSTĘPOWANIE EGZEKUCYJNE
Karnoprawna ochrona tajemnicy zawodowej dotyczącej działalności funduszy emerytalnych II Międzynarodowa Konferencja Naukowa pt. ZABEZPIECZENIE EMERYTALNE.
ROZPORZĄDZENIE MINISTRA EDUKACJI NARODOWEJ z dnia 8 sierpnia 2017 r
Dokumentacja przebiegu nauczania
Rzecznik Praw Dziecka.
Prowadzenie monitoringu wizyjnego
EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE ZAWODOWE
Tajemnica statystyczna i obowiązek sprawozdawczy
Świetlice szkolne w rzeczywistości prawnej
Zmiany w przepisach ustawy z dnia 26 stycznia 1982 r
Biuro Edukacji Urzędu m.st. Warszawy Warszawa, 9 kwietnia 2018 r.
Egzamin ósmoklasisty 2019.
Nowe regulacje prawne w obszarze bezdomności
Ocena pracy nauczyciela i dyrektora
Rekrutacja elektroniczna DO SZKÓŁ PONADGIMNAZJALNYCH w roku 2018
RZECZNIK FUNDUSZY EUROPEJSKICH
Zmiany w awansie zawodowym od 1 września 2018r.
Misją Pomorskiego Urzędu Wojewódzkiego w Gdańsku jest profesjonalna realizacja prawnie przypisanych mu zadań, a istotnym elementem tej Misji jest właściwe.
RODO w Hodowli, czy nas dotyczy?
Departament Środowiska Wydział Informacji i Planowania
Zmiany w ustawie o systemie oświaty
SPECJALNE POTRZEBY EDUKACYJNE
AGH: Sprawy pracownicze
Portal Ogłoszeń ARiMR 10 maja 2017 r. Warszawa.
Przedstawicielstwo pełnomocnictwo.
Podstawa prawna Zasady przyjęć do klas I w szkołach podstawowych, dla których organem prowadzącym jest Miasto Kobyłka, zostały przygotowane w oparciu o.
Zmiany w przepisach ustawy z dnia 26 stycznia 1982 r
CZYNNIK LUDZKI JAKO POTENCJALNE ŹRÓDŁO ZAGROŻEŃ W SYSTEMIE OCHRONY INFORMACJI NIEJAWNYCH OPRACOWAŁ: ppłk mgr inż. Janusz PARCZEWSKI, tel
Stosowanie norm polskich i międzynarodowych w budownictwie.
Akty prawne Ustawa z dnia 14 grudnia 2016r. Przepisy wprowadzające ustawę - Prawo Oświatowe (Dz.U. z 2017r., poz. 60) w nawiązaniu do ustawy z dnia 7.
przyjęty przez Zarząd Główny ZNP w dniu 20 grudnia 2016 r.
Nowe podejście do zamówień publicznych
Podstawy Prawa Zabezpieczenia społecznego
Akty prawne Ustawa z dnia 14 grudnia 2016r. Przepisy wprowadzające ustawę - Prawo Oświatowe (Dz.U. z 2017r., poz. 60) w nawiązaniu do ustawy z dnia 7.
SIEĆ WSPARCIA KOORDYNATORÓW POMOCY PSYCHOLOGICZNO-PEDAGOGICZNEJ
RODO.
Zapis prezentacji:

procedury, instrukcje „ Rada szkoleniowa „Dane osobowe w szkole procedury, instrukcje „ .

Podstawy prawne Ogólne zasady danych osobowych zostały ujęte w art. 26 Ustawy o ochronie danych osobowych z 29 sierpnia 1997 r. (tekst jednolity: Dz. U. z 2014 r. poz. 1182; zwanej dalej u.o.d.o.). Art. 26 u.o.d.o. głosi, że administrator danych – czyli szkoła jest zobowiązany do tego, aby przetwarzane dane były: 1) przetwarzane zgodnie z prawem; 2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2; 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Definicja danych osobowych Zgodnie z art. 6. u.o.d.o. za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Definicja danych osobowych Według orzeczenia Naczelnego Sądu Administracyjnego z dnia 18 listopada 2009 r. dane osobowe definiuje się jako: dane umożliwiające identyfikację, czyli co najmniej imię, nazwisko i adres zamieszkania, ale także zdjęcia osoby fizycznej umożliwiające jej identyfikację. Innymi słowy, umieszczenie imienia, nazwiska, numeru grupy, nazwy szkoły oraz miejscowości powoduje, że identyfikacja ucznia jest możliwa, czyli bez spełnienia warunku, o którym mowa w art. 6 ust. 3 u.o.d.o. – osoba taka musi otrzymać ochronę określoną w art. 1 u.o.d.o.

Przetwarzanie danych Aby szkoła mogła przetwarzać dane osobowe, musi spełniać warunki: Odnośnie danych zwykłych – ujęte w art. 23 u.o.d.o. Odnośnie danych wrażliwych – ujęte w art. 27 u.o.d.o. Szkoła zazwyczaj przetwarza dane zwykłe.

Dane wrażliwe Przykładowe dane wrażliwe: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym prowadzonym wobec pracownika.

Art.23 u.o.d.o. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania. Ważne: Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a nie można uzyskać zgody tej osoby to można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe. 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

Art. 23 u.o.d.o. 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel uważa się w szczególności: 1) marketing bezpośredni własnych produktów lub usług administratora danych, 2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Legalność Ważne: Wystarczy zrealizować jeden warunek ujęty w art. 23 u.o.d.o., aby przetwarzanie danych osobowych było zgodne z prawem. Dane wrażliwe trzeba zgłosić do GIODO. Dopiero po ich zarejestrowaniu przez GIODO – wolno je przetwarzać.

Zbieranie danych osobowych Gdy szkoła zbiera dane osobowe – opiera się na art. 24. u.o.d.o.: 1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. JEST TO TZW. OBOWIĄZEK INFORMACYJNY – JEGO REALIZACJA SPOCZYWA NA ADMINISTRATORZE DANYCH - SZKOLE.

Zbieranie danych osobowych Informacje te należy przekazać osobie, której dane dotyczą w sposób indywidualny – nie można tego zastąpić np. odesłaniem do regulaminu, jeśli osoba nie ma możliwości bezpośrednio zapoznania się z jego treścią. Obowiązek ten powinien być wykonany w zasadzie przed rozpoczęciem zbierania danych. U.o.d.o. nie zawiera bowiem w tym zakresie żadnych wskazówek, ustawodawca także nie sprecyzował w jakiej formie obowiązek informacyjny powinien być spełniony. Można wobec tego uznać, że sposób przekazania informacji jest dowolny (informacje mogą być udzielone np. ustnie).

Zbieranie danych osobowych Jeśli przepisy innej ustawy zezwalają na przetwarzanie danych osobowych bez podania celu ich zbierania oraz w sytuacji, gdy osoba, której dane dotyczą, posiada już wymienione wyżej informacje – wówczas administrator danych (szkoła) nie musi spełniać wyznaczników ust. 1 art. 24 u.o.d.o. Ważne: W tym drugim przypadku (art. 24 ust. 2) wyłączenia obowiązku informacyjnego nie można oprzeć na poczuciu, że osoba zainteresowana jest świadoma wszystkich okoliczności związanych ze zbieraniem jej danych osobowych. Musi to być fakt sprawdzony, czy rzeczywiście podmiotowi danych wszystkie informacje wymienione w art. 24 ust. 1 są znane.

Obowiązek informacyjny Dla wykonania obowiązku informacyjnego o jakim mowa w art. 24 u.o.d.o. nie ma znaczenia: Czy dane są zebrane drogą pisemną, telefonicznie czy też w kontaktach bezpośrednich. Czy dane są utrwalane manualnie czy w systemie informatycznym. Czy zbiór danych już istnieje czy dopiero powstanie na podstawie gromadzonych danych.

Przykładowa klauzula informacyjna administratorem Przykładowa klauzula informacyjna Zgodnie z art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz.U. z 2002 r. nr 101, poz. 926 ze zm.) informujemy, że: Administratorem Pana/Pani danych osobowych jest Szkoła Podstawowa im………, z siedzibą w ……………………….., przy ul………………………………………….. Dane osobowe Pana/Pani dziecka będą przetwarzane w celu realizacji konkursu ……………………….. Dane osobowe Pana/Pani dziecka będą/nie będą [należy zaznaczyć] udostępniane odbiorcom w rozumieniu art. 7 pkt 6 u.o.d.o. Posiada Pan/Pani prawo dostępu do treści swoich danych oraz ich poprawiania. Podanie danych osobowych jest dobrowolne/Obowiązek podania danych osobowych wynika z art…..ustawy……

Osoby upoważnione W art. 39 u.o.d.o. wyraźnie określono, że: 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. 2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Zabezpieczenie danych osobowych U.o.d.o. nie uściśla konkretnie w jaki sposób należy chronić dane osobowe. Rozdział 5, art. 36 zawiera jedynie zapis: Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Ponadto, Administrator danych – Dyrektor ma obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz zapewnienia środków, o jakich mowa powyżej. Innymi słowy, to Dyrektor decyduje o rodzaju stosowanych zabezpieczeń. Natomiast nauczyciele muszą bezwzględnie przestrzegać wprowadzonych procedur.

Zabezpieczenie danych osobowych Do środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych zalicza się m.in. odpowiedni poziom bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym. Poziom środków bezpieczeństwa należy dostosować do zagrożeń oraz kategorii danych osobowych przetwarzanych w systemie informatycznym. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024) – zwane dalej rozporządzeniem w sprawie dokumentacji wprowadza trzy poziomy środków bezpieczeństwa: podstawowy, podwyższony oraz wysoki.

Podstawowy poziom środków bezpieczeństwa Poziom co najmniej podstawowy stosuje się, gdy administrator w prowadzonym w systemie informatycznym zbiorze przetwarza tylko dane tzw. zwykłe (bez tzw. szczególnie chronionych, o których mowa w art. 27 ust. 1 u.o.d.o), czyli np. imię i nazwisko, adres zamieszkania, czy numer PESEL, i żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

Podwyższony poziom środków bezpieczeństwa Poziom co najmniej podwyższony stosuje się, gdy administrator danych w prowadzonym w systemie informatycznym zbiorze przetwarza dane szczególnie chronione, czyli np. oprócz imienia i nazwisko, adresu zamieszkania, czy numeru PESEL, wykorzystuje także dane o stanie zdrowia, czy o orzeczeniach sądowych lub administracyjnych, ale żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną.

Wysoki poziom środków bezpieczeństwa Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. Niezastosowanie odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym oznacza, że urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w rozporządzeniu w sprawie dokumentacji, co stanowi przesłankę odmowy rejestracji zgłoszonego zbioru danych.

Rejestracja danych osobowych Należy pamiętać, że zbiorem danych osobowych jest każdy posiadający strukturę zestaw danych o charakterze osobowym dostępnych według określonych kryteriów. Są to zarówno dane przetwarzane w systemach informatycznych, jak i znajdujące się we wszelkich kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych. Są to wobec powyższego: księgi uczniów, arkusze ocen, akta osobowe pracowników, dokumentacje zakładowego funduszu świadczeń socjalnych, ewidencje systemu informacji oświatowej, rejestry delegacji służbowych,

Rejestracja danych osobowych listy płac pracowników, deklaracje ubezpieczeniowe pracowników, deklaracje podatkowe pracowników, podania o przyjęcie do szkoły, dzienniki zajęć obowiązkowych i dodatkowych (dzienniki zajęć, nauczania indywidualnego, pedagoga, wychowawcy świetlicy itp.), zaświadczenia z poradni psychologiczno-pedagogicznej i inne orzeczenia i opinie, ewidencje decyzji administracyjnych dyrektora, deklaracje uczęszczania na religię, rejestr zaświadczeń wydanych pracownikom, rejestry wypadków, ewidencja podejrzeń o chorobę zawodową itp., księgi druków ścisłego zarachowania, zbiory upoważnień, protokoły rad pedagogicznych, księga uchwał, teczki awansu zawodowego.

Zbiory zwolnione z obowiązku rejestracyjnego Zbiory danych osobowych dotyczące nauczycieli, wychowawców i innych pracowników pedagogicznych podlegają obowiązkowi zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Obowiązku tego powinny dopełnić podmioty wymienione w art. 4 ustawy o systemie informacji oświatowej z 15 kwietnia 2011 r., zwana dalej u.s.i.o. (Dz. U. z 2001 r. Nr 139, poz. 814), czyli m.in. szkoły, placówki oświatowe, placówki opiekuńczo – wychowawcze, jednostki samorządu terytorialnego, jeżeli nie zachodzi w ich przypadku przesłanka zwolnienia z obowiązku rejestracji, o której mowa w art. 43 ust. 1 pkt 4 u.o.d.o. Zgodnie z nowelizacją u.o.d.o. od stycznia 2015 roku jeśli Administrator Danych Osobowych: powoła Administratora Bezpieczeństwa Informacji zgłosi ten fakt – w ciągu 30 dni – do GIODO, wówczas będzie zwolniony z obowiązku zgłaszania zbiorów danych do rejestracji. Zwolnione ze zgłoszenia są również zbiory prowadzone wyłącznie w wersji papierowej. NIE DOTYCZY TO DANYCH WRAŻLIWYCH.

Zbiory zwolnione z obowiązku rejestracyjnego W przypadku danych pracowników szkoły zwolnienie z obowiązku rejestracyjnego dotyczy zarówno obecnych, jak i byłych pracowników, których dane osobowe są przechowywane w szkole, np. w celu naliczenia ZFŚS, przyszłych pracowników (np. w gromadzonych CV). Odnosi się to również do umów cywilnoprawnych (umowa-zlecenie, umowa o dzieło). Ważne: Konieczna jest jednak rejestracja danych pracowników przetwarzanych przez tzw. ZEAS-y (Zespół Ekonomiczno-Administracyjny Szkół), które prowadzą dla szkoły kadry i księgowość, ponieważ chodzi tutaj o dane osobowe pracowników niezatrudnionych przez podmiot, który je przetwarza.

Prowadzenie dokumentacji Art. 36 pkt 2 u.o.d.o. zobowiązuje szkoły do prowadzenia dokumentacji z zakresu ochrony danych osobowych. Składają się na nią: Polityka bezpieczeństwa, czyli zbiór podstawowych zasad regulujących sposób ochrony danych osobowych w placówce. Instrukcja zarządzania systemem informatycznym. Oba dokumenty muszą mieć formę pisemną. Powyższe kwestie reguluje rozporządzenie w sprawie dokumentacji.

Administrator Bezpieczeństwa Informacji Zgodnie z nowelizacją ustawy o ochronie danych osobowych, która weszła w życie z dniem 1 stycznia 2015 roku, Administrator Danych Osobowych (Dyrektor szkoły) może (ale nie musi) powołać Administratora Bezpieczeństwa Informacji (i jego zastępców). Jeśli to zrobi, wówczas placówka będzie zwolniona z obowiązku zgłaszania zbiorów danych do rejestracji. Wyjątek: dane wrażliwe. Chociaż u.o.d.o. nie ukonkretnia tej kwestii, to przyjęło się, że ABI powinien być osobą fizyczną (A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Wydawnictwo Prawnicze LexisNexis 2005).

Zadania Administratora Bezpieczeństwa Informacji przeprowadzanie okresowego audytu w placówce, podczas którego ABI sprawdzi czy zasady ochrony danych są przestrzegane; z audytu będzie musiał przygotować sprawozdanie, nadzór nad dokumentacją zawierającą zasady ochrony danych – sprawdzenie czy dokumentacja jest opracowana i aktualizowana i czy zasady w niej zawarte są przestrzegane, informowanie innych pracowników o ustalonych zasadach ochrony danych (niekoniecznie muszą być to szkolenia), prowadzenie jawnego rejestru danych osobowych – rejestr ma być jawny, czyli ewidencja zbiorów danych, które są w danej placówce musi być dostępna np. na stronie internetowej lub w siedzibie firmy, przeprowadzenie audytu z ochrony danych na prośbę Generalnego Inspektora Ochrony Danych Osobowych i przygotowanie sprawozdania ze sprawdzenia, które za pośrednictwem ADO zostanie przesłane do GIODO.

Zgłoszenie danych osobowych Każdy zbiór danych musi być osobno zgłoszony. Wniosek wypełnia się na formularzu, będącym załącznikiem do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2011 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. W przypadku danych zwykłych złożenie wniosku jest równoznaczne z legalnym przetwarzaniem danych. Dane wrażliwe mogą być przetwarzane dopiero po otrzymaniu zaświadczenia o zakończeniu rejestracji. Zbiory są dostępne na stronie www.egiodo.gov.pl