Dużo się mówi o korzyściach płynących ze zmiany ustawy o ochronie danych osobowych (uodo), a niewiele o nowych obowiązkach, jakie przy tej okazji nałożono na przedsiębiorców przetwarzających dane. Od 1 stycznia 2015 r. nie ma już żadnych wątpliwości, że powołanie administratora bezpieczeństwa informacji (ABI) jest dobrowolne. Decyzja w tym zakresie należy wyłącznie do administratora danych.
ABI – powoływać czy nie
Główną, ale też jedyną z formalnego punktu widzenia, korzyścią płynącą z powołania ABI i zgłoszenia tego faktu do generalnego inspektora ochrony danych osobowych jest zwolnienie administratora danych z obowiązku rejestracji ich zbioru. Warunkiem jest jednak, by zbiór ten nie zawierał danych wrażliwych w rozumieniu uodo, np. informacji o stanie zdrowia czy wyrokach skazujących. Przetwarzanie danych wrażliwych przy jednoczesnym powołaniu ABI nie zwalnia z obowiązku rejestracji.
Przedsiębiorcy, którzy zdecydują się na powołanie ABI, mogą mieć większą pewność, że przestrzegają przepisów o ochronie danych. Mogą też oczekiwać zwiększenia bezpieczeństwa samych danych. Zgodnie bowiem z uodo ABI może zostać osoba, która ma odpowiednią wiedzę w zakresie ochrony danych osobowych. Ustawa nie przewiduje obowiązku sprawdzenia wiedzy i kwalifikacji kandydata, ale należy założyć, że zadbają o to sami przedsiębiorcy.
Druga strona medalu to dodatkowe koszty związane z powołaniem ABI. Można do nich zaliczyć koszt wynagrodzenia ABI i jego zastępców – ich powołanie w dużych organizacjach może być konieczne. Znaczne rozszerzenie obowiązków ABI oraz wymóg niezależności i organizacyjnej odrębności w wykonywaniu zadań sprawiają, że w praktyce przedsiębiorcy będą zmuszeni do utworzenia mu odrębnego stanowiska pracy.
Dodatkowy koszt to również czas pracowników obsługujących zapytania i żądania ABI w trakcie przeprowadzanego przez niego obowiązkowego okresowego sprawdzania zgodności przetwarzania danych z przepisami o ich ochronie. Kosztem dla przedsiębiorców będzie też wdrożenie zaleceń ABI zawartych w sprawozdaniach z kontroli.