Wprowadzona z początkiem roku ustawa z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (ta sama, która przewidziała możliwość pominięcia wykonania badań wstępnych w nowym miejscu pracy) znowelizowała również przepisy ustawy o ochronie danych osobowych, m.in. w części dotyczącej administratora bezpieczeństwa informacji (dalej: ABI). Niewątpliwie celem nowelizacji było wprowadzenie pewnych ułatwień w zakresie prowadzonej działalności, a przedsiębiorcy zostali zobowiązani do podjęcia określonych decyzji. Jedną z nich była ta dotycząca powoływania w zakładach pracy administratora bezpieczeństwa informacji. Instytucja ABI ma istotne znaczenie dla zapewnienia przestrzegania u pracodawcy przepisów ustawy o ochronie danych osobowych.
Zakres zadań
Przed wejściem w życie tej nowelizacji administrator danych – którym jest każdy pracodawca – na mocy art. 36 ust. 3 ustawy o ochronie danych osobowych miał obowiązek powołać ABI zajmującego się nadzorowaniem przestrzegania zasad ochrony przetwarzania danych osobowych. Wyjątkiem od tej zasady były sytuacje, w których administrator sam wykonywał te obowiązki. Począwszy od stycznia 2015 r., pracodawcy mają już wyraźny wybór. Ustawa stanowi, że mogą oni powołać ABI, ale im tego nie nakazuje (art. 36a ust. 1 ustawy).
Ustawodawca zdecydował się natomiast na wskazanie dokładnego katalogu zadań takiego ABI. Nowelizacja w tym zakresie nie ma wpływu na dotychczasowe obowiązki administratora danych. Był on i nadal jest odpowiedzialny za właściwe, zgodne z prawem, w tym z normami ustawy, zorganizowanie procesu przetwarzania danych osobowych >patrz ramka. Dodatkowe obowiązki pracodawca może powierzyć ABI wyłącznie wówczas, gdy nie naruszy to prawidłowego wykonywania jego podstawowych zadań.
W poprzednim stanie prawnym istniały wątpliwości co do tego, czy ABI koniecznie musi być osobą fizyczną, czy też jego zadania można powierzyć specjalistycznej firmie, zdejmując z siebie jednocześnie część odpowiedzialności za nadzór nad przetwarzaniem danych. Obecnie z art. 36a ust. 5 znowelizowanej ustawy wyraźnie wynika, że ABI może być osoba, która:
1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;