Administrator danych sam zdecyduje czy powoła ABI, czy będzie rejestrował zbiory danych osobowych

Ustawa z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U.2014.1662), która weszła w życie 1 stycznia 2015 r. wprowadza szereg istotnych zmian w zakresie administrowania danymi osobowymi.

1. Zwolnienie z obowiązku zgłaszania zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Danych Osobowych (dalej „GIODO”).

Od 1 stycznia 2015 r. administrator danych może sam zdecydować czy powoła Administratora Bezpieczeństwa Informacji (dalej „ABI”) i zgłosi go do GIODO do rejestracji, czy też będzie samodzielnie wykonywał zadania powierzone ABI przez ustawę oraz rejestrował zbiory danych osobowych.

Zgodnie z nowelizacją, administrator danych, który powołał ABI i zgłosił go do GIODO, jest zwolniony z obowiązku rejestracji przetwarzanych przez siebie zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane osobowe wrażliwe. W przypadku niepowołania ABI administrator danych ma obowiązek wykonywania zadań powierzonych ABI, a także rejestracji zbiorów danych osobowych.

Znowelizowana ustawa nie zawiera ograniczeń w zakresie outsourcingu zadań ABI, co oznacza, że powołanym do pełnienia funkcji ABI może być podmiot zewnętrzny. Dopuszczono także możliwość powoływania zastępców ABI, co ma znaczenie w sytuacjach, gdy ABI przejściowo nie może realizować swoich zadań.

Co więcej, wprowadzono zwolnienie z obowiązku rejestracji zbiorów danych osobowych, które nie są prowadzone w systemie informatycznym, z wyjątkiem zbiorów zawierających dane szczególnie chronione.

2. Rejestr ABI

Od 1 stycznia 2015 r. GIODO prowadzi ogólnokrajowy, jawny rejestr ABI i udzielania informacji o zarejestrowanych ABI. Administrator danych jest obowiązany zgłosić  GIODO powołanie i odwołanie ABI w terminie 30 dni od dnia jego powołania lub odwołania, natomiast zmiany informacji objęte zgłoszeniem w terminie 14 dni od dnia zaistnienia zmiany. Ustawa szczegółowo określa zakres informacji mający podlegać zamieszczeniu w rejestrze ABI, a także zasady wykreślania ABI z rejestru.

3. Kto może zostać powołany jako ABI?

ABI musi posiadać pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych, legitymować się odpowiednią wiedzą z zakresu przepisów o ochronie danych osobowych, nie może być karany za przestępstwo popełnione z winy umyślnej.

4. Kompetencje i obowiązki ABI

ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Podstawowe obowiązków ABI można podzielić na dwie grupy:

• zapewnienie przestrzegania przepisów o ochronie danych osobowych m.in. poprzez tworzenie i aktualizowanie dokumentacji związanej z ochroną danych osobowych, zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, przekazywanie administratorowi danych sprawozdań z przeprowadzonych kontroli zgodności przetwarzania danych z obowiązującymi przepisami, w których poinformuje o wszelkich stwierdzonych uchybieniach.
• prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Na podstawie nowych przepisów, GIODO, zamiast przeprowadzania kontroli w przedsiębiorstwie, może zlecić ABI wykonywanie czynności polegających na sprawdzeniu zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Stanowi to istotne odciążenie dla administratorów danych. Kontrola wykonywana przez ABI w żaden sposób nie narusza kompetencji GIODO, który jedynie uznaniowo dopuszcza uproszczoną kontrolę i nie jest ograniczony w możliwości jej późniejszego przeprowadzenia. Sprawdzenie przeprowadzone przez ABI ma charakter kontroli wewnętrznej u administratora danych, a jego wyniki przedstawiane są GIODO.