Obowiązująca od 1 stycznia br. znowelizowana ustawa o ochronie danych osobowych przewiduje dobrowolność powoływania niezależnych administratorów bezpieczeństwa informacji. Z tym że do połowy roku administratorzy wyznaczeni przed tą datą muszą wykonywać nową funkcję, chyba że zostaną odwołani.
Nowe zasady
1 stycznia br. weszła w życie nowelizacja ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2014 r., poz. 1182; dalej: ustawa) przyjęta w ustawie z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (DzUz 2014 r., poz. 1662; dalej: ustawa deregulacyjna). Wprowadza się w niej zupełnie nowe zasady zapewniania przestrzegania przepisów o ochronie danych osobowych w sferze wewnętrznej każdego podmiotu podlegającego przepisom ustawy.
Polegają one w szczególności na obowiązkowym sprawdzaniu zgodności przetwarzania danych osobowych z przepisami prawa, nadzorowaniu opracowania wymaganej dokumentacji przetwarzania i ochrony danych oraz zapoznawaniu osób upoważnionych do przetwarzania danych osobowych z przepisami w tym zakresie. Każdy podmiot objęty zakresem ustawy (tj. administrator danych lub podmiot przetwarzający powierzone dane) wybiera, czy samodzielnie realizować wymienione zadania, czy też do ich wykonywania powołać u siebie administratora bezpieczeństwa informacji (ABI).
Zmieniona ustawa przewiduje zarówno organizacyjne, jak i kompetencyjne warunki wykonywania funkcji ABI. Jego sprawdzenia kończą się sprawozdaniami oceniającymi stan zgodności przetwarzania danych z przepisami, które są przekazywane do podmiotu powołującego, ale także – na żądanie – do generalnego inspektora ochrony danych osobowych (GIODO). Powołany ABI musi podlegać bezpośrednio kierownikowi jednostki organizacyjnej, a podmiot powołujący jest dodatkowo zobligowany zapewnić jego organizacyjną odrębność i środki na wykonywanie zadań. Służy to zagwarantowaniu niezależności ABI w realizacji ustawowych zadań.
Powołanego ABI należy zgłosić do GIODO, który prowadzi ogólnokrajowy rejestr osób wykonujących tę funkcję. W tym wypadku bonusem powołania i zgłoszenia ABI jest zwolnienie administratora danych z obowiązków rejestracyjnych zbiorów danych osobowych wobec GIODO (z wyjątkiem zbiorów zawierających dane wrażliwe). W zamian ABI prowadzi w swoim podmiocie uproszczony jawny rejestr zbiorów podlegających temu wymogowi. Takie rozwiązanie odciążające od formalnych obowiązków notyfikacyjnych względem krajowego organu ds. ochrony danych zostało już wcześniej przewidziane w stanowiącej pierwowzór polskiej ustawy unijnej dyrektywie 95/46/WE.