ABI

Администратор безопасности информации

ABI (Administrator Bezpieczeństwa Informacji) — польское название роли, отвечающей за защиту персональных данных в организации. Это старое название, которое применялось до 2018 года (до введения RODO). После RODO было заменено на IOD (Inspektor Ochrony Danych — аналог GDPR’s DPO, Data Protection Officer).

ABI — исторический контекст

До 25 мая 2018 года (введение RODO):

  • GIODO (Generalny Inspektor Ochrony Danych Osobowych) — польский регулятор
  • ABI — назначаемое в фирме лицо, ответственное за защиту данных
  • Ustawa o ochronie danych osobowych из 1997 года — основной закон

Назначение ABI было:

  • Добровольным в большинстве случаев (но фактически рекомендовано)
  • Обязательным для некоторых обработчиков (banki, ubezpieczałnicy, некоторые telekomу)
  • Регистрация в базе GIODO

После RODO — IOD

С 25 мая 2018 года:

  • UODO (Urząd Ochrony Danych Osobowych) заменил GIODO
  • IOD (Inspektor Ochrony Danych) заменил ABI
  • Новый закон Ustawa o ochronie danych osobowych из 2018 года

Роли IOD и ABI — похожи, но IOD имеет более чёткие обязанности по RODO.

Различия ABI vs IOD

ABI:

  • Добровольное назначение в большинстве случаев
  • Регистрация в GIODO
  • Не имел специальной защиты
  • Функции больше организационные

IOD:

  • Обязательное назначение для некоторых обработчиков (см. RODO art. 37)
  • Регистрация в UODO
  • Независимость защищена законом — нельзя увольнять за выполнение обязанностей
  • Rozszerzone обязанности: обучение, аудит, контакт с DSB

Где всё ещё встречается ABI

ABI — старое понятие, но:

  • Старые договора — многие umowy, заключенные до 2018, упоминают ABI. Юридически всё ещё действительны, но на практике означают IOD
  • Nazwa stanowiska — некоторые фирмы оставили название “ABI” для внутренней роли, несмотря на юридическую эволюцию
  • Starsze rdokumenty — стандарты, инструкции, которые не обновили терминологию
  • Internal обmowno в некоторых firmaсh

Если видите “ABI” в договоре 2018-2026 — трактуйте как “IOD” в соответствии с RODO.

Kiedy potrzebny IOD (современная ситуация)

По RODO art. 37 обязательный IOD для:

  1. Организм публичный — госорганы, самоуправления
  2. Obserwacja на dużą skalę — массовое наблюдение (CCTV в сети магазинов, telekomunikacja)
  3. Przetwarzanie szczególnych kategorii на большом масштабе — медицинские данные, религиозные, политические (больницы, клиники, партии)

Для остальных фирм — добровольно, но рекомендовано для:

  • E-commerce с большой клиентской базой
  • SaaS с чувствительными данными
  • Кредитные организации, fintech
  • Edukacja, если собирают данные студентов

Kwalifikacje IOD

IOD должен:

  • Иметь ekspertise в защите данных (RODO, ustawa o ochronie danych osobowych)
  • Знать специфику фирмы и её обработок
  • Быть независим от wpływów co do obowiązków
  • Может быть pracownikiem firmy или zewnętrznym (outsourcing)

Есть курсы и сертификации для IOD — CIPP/E (International Association of Privacy Professionals) — распространённая.

Obowiązki IOD

По RODO IOD должен:

  1. Informować i doradzać администрации в вопросах защиты данных
  2. Monitorować przestrzeganie RODO в фирме
  3. Szkolić работников
  4. Współpracować с UODO (регулятором)
  5. Udzielać rady при DPIA (Data Protection Impact Assessment)
  6. Obsługiwać żądania осób (pracа dostępu, usunięcia и т.д.) — через фирму
  7. Kontaktem punkt для osób, których dane dotyczą

ABI/IOD vs pracodawca

Интересный момент: IOD должен быть независимым от pracodawcy в рамках своих обязанностей:

  • Нельзя увольнять IOD за выполнение obowiązków по RODO
  • Должен иметь доступ к директорам, не только middle management
  • Может отказаться от действий, которые нарушают RODO

Для некоторых это делает роль IOD сложной — требуется баланс между лояльностью к фирме и защитой данных.

Outsourcing IOD

Для малых и средних фирм часто выгодно externalизовать роль IOD:

  • Специализированные фирмы предлагают IOD as a service
  • Стоимость — 500-3000 zł/мес в зависимости от объёма
  • Внешний IOD имеет опыт с разными фирмами
  • Меньше conflicto в внутренней структуре

Для мелких JDG, не обрабатывающих чувствительные данные — IOD не нужен. Сам предприниматель может играть роль, с базовым соблюдением RODO.

ABI/IOD и maленkie JDG

Для микропредпринимателей:

  • IOD не обязателен в 99% случаев
  • Достаточно базового compliance RODO:
    • Polityka prywatności
    • Cookies banner
    • Zgodya на marketing
    • Реестр обработок
  • При вопросах — обратиться к юристу-специалисту разово

Не переплачивайте за IOD, если не обязательно. Но соблюдайте RODO — это minimum.

Штрафы за отсутствие IOD

Если обязаны были назначить IOD и не сделали:

  • Штраф до 10 000 000 EUR или 2% годового оборота (меньше максимум по RODO)
  • Практически редко применяется для “не назначили IOD” — чаще за прямые нарушения обработки
  • Но риск при контроле UODO

Przyszłość terminologii

Скорее всего:

  • “ABI” постепенно исчезнет из активного obiegu
  • “IOD” остаётся как польское название DPO
  • “DPO” — международный термин, используется в англоязычном контексте
  • Всё чаще говорят IOD, реже ABI

Мой совет

Если вы JDG или mała spółka:

  1. Не переживайте сильно об IOD — скорее всего не нужен
  2. Сосредоточьтесь на базовом RODO — polityka, cookies, zgodу
  3. Если работаете с чувствительными данными (медицина, HR, finanse) — консультируйтесь с юристом
  4. Для крупных проектов с обработкой масштабных данных — нанимайте IOD или outsourcuйте

В документах и договорах:

  • Если видите “ABI” в новом документе — это старая терминология, вероятно автор не обновил
  • Если в старом документе (до 2018) — применяйте современные нормы RODO
  • При сомнениях — консультация юриста

ABI — историческая терминология. IOD — современная. Суть одна: защита персональных данных важна в 21 веке.

Читать подробнее

Работа с клиентами из РФ/РБ на польской JDG: санкции, комплаенс, риски

Санкционный режим ЕС, какие виды деятельности запрещены полностью, что разрешено, как выставлять фактуры и какие банки принимают платежи.

Связанные термины

rodo spolka-z-o-o jdg
Все термины