W dniu 01 stycznia 2015 weszła w życie nowelizacja ustawy o ochronie danych osobowych. Zmieniła ona w sposób istotny reguły dotyczące przetwarzania danych osobowych. Jedną z głównych zmian jest wprowadzenie instytucji administratora bezpieczeństwa informacji (ABI).

Zgodnie z art. 36a ust 1. ustawy, Administrator danych może powołać administratora bezpieczeństwa informacji. Trzeba zauważyć, że dotychczasowy administrator danych ma możliwość powołania administratora bezpieczeństwa informacji, lecz nie jest to jego obowiązkiem. Instytucja ABI ma charakter fakultatywny i ustawodawca nie rozróżnia sytuacji ze względu na wielkość przedsiębiorstwa czy przedmiot działalności gospodarczej. W sytuacji nie powołania administratora bezpieczeństwa informacji, obowiązek wykonywania obowiązków należących do administratora bezpieczeństwa informacji spoczywa na dotychczasowym administratorze.

ABI mają być wewnętrznymi inspektorami ochrony danych, którzy będą nadzorować proces przetwarzania danych w firmie i doradzać innym pracownikom w tym zakresie.

Do zadań administratora bezpieczeństwa informacji należą czynności z zakresu zapewniania przestrzegania ochrony danych osobowych zgodnie z obowiązującymi przepisami. Będzie on zobowiązany do sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, nadzorowania opracowywania i aktualizowania dokumentacji, zapewniania zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, a także do prowadzenia jawnego rejestru zbiorów danych przetwarzanych przez administratora danych.

Zadaniem ABI będzie zatem kontrola i nadzór nad właściwym przetwarzaniem danych osobowych oraz prowadzenie w tym zakresie dokumentacji w firmie. Ma też doradzać innym pracownikom mającym dostęp do danych osobowych. Dodatkowym obowiązkiem będzie również sporządzanie audytów na zlecenie GIODO.

Nowym obowiązkiem firmy będzie uregulowanie statusu ABI w strukturze przedsiębiorstwa. Organizacja, która zgłosi ABI do GIODO, nie będzie musiała każdorazowo rejestrować zbiorów danych.

Ze względu na wadę wykonywanych funkcji ustawodawca przewidział szczególne wymagania wobec osób, które mogą zostać administratorem bezpieczeństwa informacji. Musi to być osoba, która:

1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;

2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;

3) nie była karana za umyślne przestępstwo.

Administrator bezpieczeństwa informacji podlega tylko administratorowi danych. Należy zauważyć, że administrator danych może powołać zastępców administratorem bezpieczeństwa informacji, muszą oni spełnić takie same wymogi jak administrator bezpieczeństwa informacji.

Każdy administrator danych ma obowiązek zgłosić do GIODO fakt powołania administrator bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania. Rejestr ABI jest jawny, czyli każdy może sprawdzić zawarte w nim informacje.

Utworzenie ABI powoduje pewne uciążliwości, ale przedstawia także wiele korzyści. Najważniejsze jest to, że jednostka posiadająca ABI nie musi zgłaszać zbiorów danych do GIODO. Wyłączenie to nie dotyczy zbioru danych wrażliwych, czyli danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazać, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Nowela zmniejsza również obowiązki administracyjne firm prowadzących działalność globalną. Przekazywane poza Europejski Obszar Płatniczy dane osobowe zawarte m.in. w umowach międzynarodowych nie będą wymagały każdorazowej zgody GIODO. Nowe przepisy decydują, że nie będzie konieczne uzyskiwanie każdorazowej zgody na taką operację ze strony GIODO. Jest to więc spore ułatwienie dla przedsiębiorstw prowadzących działalność globalną.

Trzeba zauważyć, iż ta regulacja jest nowa i jej przydatność dopiero przyjdzie na ocenić z czasem w praktyce. Na pewno stanowi ona pewne ułatwienie dla przedsiębiorców, ale z drugiej strony podnoszone są głosy, że ABI może być uznany za wysłannika GIODO w przedsiębiorstwie, gdyż wykonuje on audyt na jego wniosek.

Choć nowelizacja ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych weszła w życie 1 stycznia 2015 r., to przedsiębiorstwa będą miały pół roku na dostosowanie statusu ABI do obowiązujących przepisów (do 30 czerwca bieżącego roku).
opracował: dr Piotr Jankowski, radca prawny