24 listopada Prezydent podpisał ustawę o ułatwieniu działalności gospodarczej (tzw. IV pakiet deregulacyjny). Jedną z nowelizowanych ustaw jest ta o ochronie danych osobowych. Nowe przepisy wejdą w życie 1 stycznia 2015 r. Zmiany będą dotyczyć m.in. zniesienia obowiązku powołania administratora bezpieczeństwa informacji, zniesienia obowiązku rejestracji w GIODO zbiorów danych osobowych, poza tymi, które zawierają tzw. dane wrażliwe, dla przedsiębiorców, którzy powołają administratora bezpieczeństwa informacji, rejestrowania w GIODO takich administratorów oraz możliwości przekazywania danych do państw trzecich bez zgody Generalnego Inspektora Ochrony Danych Osobowych (pod pewnymi warunkami).
Nowy ABI
Obecnie, w myśl art. 36 ustawy o ochronie danych osobowych (DzU z 2014 r., poz. 1182), jest tak, że administrator danych, czyli każda osoba, instytucja, decydująca o zakresie i celach gromadzenia oraz przetwarzania danych, jest zobowiązana zastosować środki techniczne i organizacyjne zapewniające ich właściwą ochronę, odpowiednią do zagrożeń oraz kategorii danych. W szczególności muszą one być zabezpieczone przed ich udostępnieniem osobom trzecim (nieupoważnionym), zabraniem przez taką osobę, przetwarzaniem z naruszeniem przepisów, a także zmianą, utratą, uszkodzeniem lub zniszczeniem. W myśl ust. 3 tego artykułu administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzegania zasad zapewniających takie bezpieczeństwo, chyba że sam wykonuje takie czynności.
I w tym zakresie właściwie nic się nie zmieni. Nadal będzie tak, że administrator danych będzie mógł samodzielnie dbać i odpowiadać za bezpieczeństwo danych i ich zgodne z prawem przetwarzanie, ale będzie mógł także powołać administratora bezpieczeństwa informacji, co może zapewnić mu pewne dodatkowe korzyści. Zmieni się bowiem status takiego nowego ABI.
Należy bowiem zaznaczyć, że przepisy, wprowadzające możliwość powołania administratora bezpieczeństwa informacji, regulują jego podstawowe zadania, wskazują warunki jego powołania i umiejscowienia w hierarchii firmy. Jeśli chodzi o zadania, to jest to oczywiście obowiązek zapewnienia przestrzegania przepisów o ochronie danych osobowych oraz dodatkowo prowadzenia jawnego rejestru zbiorów danych przetwarzanych w danej firmie (instytucji). Jeśli chodzi o warunki jego powołania, to ustawa wymaga od takiej osoby posiadania pełnej zdolność do czynności prawnych oraz korzystania z pełni praw publicznych, legitymowania się odpowiednią wiedzą z zakresu przepisów o ochronie danych osobowych. Ponadto taka osoba nie może być karana za przestępstwo popełnione z winy umyślnej. I wreszcie nowelizacja ustawy wskazuje na usytuowanie organizacyjne nowego ABI w jednostce administratora danych. Chodzi tu o wymóg bezpośredniej podległości kierownikowi takiej jednostki.
Nowelizacja przyjmuje, że ABI może wykonywać inne nałożone na niego zadania, o ile nie narusza to jego obowiązków dotyczących ochrony danych osobowych. Tak jak obecnie, znowelizowane przepisy dopuszczają także przeniesienie zadań administratora bezpieczeństwa informacji na zewnątrz (outsourcing). Pewną nowością jest natomiast możliwość powołania zastępców administratora bezpieczeństwa informacji, co może mieć znaczenie w sytuacjach, w których ABI tymczasowo nie mógłby realizować swoich zadań.