Dane osobowe klientów muszą być zabezpieczone

Przedsiębiorca, który przetwarza dane osobowe, będzie mógł powierzyć zadania z tym związane administratorowi bezpieczeństwa informacji (ABI), który spełni określone wymagania. Do zadań takiej osoby ma należeć nie tylko pilnowanie, by dane klientów nie wpadły w niepowołane ręce. Ma też uświadamiać pracowników co do zagrożeń oraz obowiązków prawnych związanych z danymi osobowymi.

Takie wymogi od 1 stycznia 2015 r. wprowadzi ustawa o ułatwieniu wykonywania działalności gospodarczej, która znowelizowała m.in. przepisy o ochronie danych osobowych.

ABI musi znać przepisy

Do tej pory przepisy nic nie mówiły na temat zadań i obowiązków administratorów bezpieczeństwa informacji. Wiadomo było, że przedsiębiorca może powołać taką osobę i powierzyć jej przetwarzanie danych osobowych. Nowe przepisy stanowią, że powołany w firmie ABI ma sprawdzać, czy postępuje się z danymi w odpowiedni sposób, a także zapoznawać osoby, które mają z nimi styczność, z ich obowiązkami.

Nowelizacja ustawy określa wymagania, jakie musi spełnić kandydat na administratora bezpieczeństwa informacji. Mianowicie musi mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych. ABI nie może być też karany za umyślne przestępstwo. Powinien też dysponować odpowiednią wiedzą w zakresie ochrony danych osobowych.

Nowe przepisy nie określają jednak, w jaki sposób ma być weryfikowana wiedza administratorów bezpieczeństwa informacji. Nie muszą się bowiem legitymować żadnym szkoleniem. Nie muszą też zdawać żadnych egzaminów.

Ustawa nie wskazuje także, czy mają to być osoby z wykształceniem prawniczym czy informatycznym. Dlatego to przedsiębiorca administrujący danymi osobowymi sam musi ocenić, czy dany kandydat poradzi sobie na tym stanowisku.

Przedsiębiorca może również powołać zastępców administratora. Z tym że muszą oni spełniać te same wymagania co ABI.

Obowiązki i sprawozdania

Do zadań administratora bezpieczeństwa informacji należy przede wszystkim zapewnienie, by w firmie czy w urzędzie przestrzegano przepisów o ochronie danych osobowych. Musi on też nie tylko kontrolować, czy dane osobowe są przetwarzane zgodnie z prawem, ale i opracowywać sprawozdania w tym zakresie dla swojego pracodawcy.

Nowela przewiduje też, jak mają dokładnie wyglądać sprawozdania dotyczące przestrzegania przez firmę bądź urząd przepisów o ochronie danych osobowych. Taki dokument powinien zawierać oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania. ABI musi podać swoje imię i nazwisko.

W sprawozdaniu muszą się znaleźć wykaz czynności podjętych przez administratora bezpieczeństwa informacji oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach. Trzeba też podać datę rozpoczęcia i zakończenia sprawdzenia przestrzegania przepisów w firmie, określić zakres takiego sprawdzenia.

ABI musi dołączyć też opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie. Jeżeli stwierdzi naruszenia przepisów, to również musi o tym wspomnieć i napisać, jakie planuje (lub już podjął) działania przywracające stan zgodny z prawem.