Czy warto powoływać Administratora Bezpieczeństwa Informacji?
Od początku 2015 roku obowiązuje nowe brzmienie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2014 r., poz. 1182 ze zm.). Z dniem 1 stycznia 2015 r. weszły bowiem w życie w powołanej ustawie zmiany wynikające z ustawy dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz. U. z 2014 r., poz. 1662). Zmiany dotyczą przede wszystkim powoływania i zakresu zadań Administratora Bezpieczeństwa Informacji (dalej: ABI). Poza tym wyłączono obowiązek rejestracji u Generalnego Inspektora Danych Osobowych (dalej: GIODO) zbiorów danych niewrażliwych przetwarzanych bez użycia systemu informatycznego.
Obecnie powołanie ABI przez administratora danych jest dobrowolne. Do zadań ABI należy:
1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
- a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
- b) nadzorowanie opracowania i aktualizowania dokumentacji o ochronie danych oraz przestrzegania zasad w niej określonych,
- c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.
Ponadto obecnie ABI powinien być zgłoszony do rejestracji w GIODO. W razie rejestracji ABI w GIODO nie ma teraz obowiązku zgłaszania do GIODO zwykłych zbiorów danych (nie zawierających danych wrażliwych). Jedną z głównych nowości w obowiązkach ABI jest prowadzenie rejestru zbiorów danych danego podmiotu. Rejestr powinien być jawny, każdy może przeglądać taki rejestr. Poza tym ABI wg nowych regulacji powinien m. in. sprawdzać przestrzeganie ochrony danych osobowych i sporządzać z tego sprawozdania. Szczegóły wypełniania nowych obowiązków mają określać rozporządzenia Ministra Administracji i Cyfryzacji, które na razie są jeszcze na etapie prac legislacyjnych. Zgodnie z projektami rozporządzeń sprawdzenia ABI powinien dokonywać wg planu sprawdzeń (nie rzadziej niż raz w roku, albowiem plan sprawdzeń ma być przygotowywany na okres nie krótszy niż kwartał i nie dłuższy niż rok oraz ma obejmować co najmniej jedno sprawdzenie), w razie potrzeby nieplanowo oraz na wniosek GIODO. Z kolei rejestr zbiorów udostępniany ma być na stronie internetowej administratora lub na stanowisku komputerowym w siedzibie (jeżeli rejestr jest w formie elektronicznej) albo do wglądu w siedzibie (jeżeli rejestr jest formie papierowej).
Każdy administrator danych musi sam sobie odpowiedzieć na pytanie, czy warto powoływać Administratora Bezpieczeństwa Informacji. ABI będzie miał teraz obowiązek sporządzania sprawozdań z dokonywanych sprawdzeń. Jeżeli nie ma powołanego ABI, to administrator danych odpowiada za wypełnienie obowiązków związanych z przetwarzaniem, ale nie ma wtedy obowiązku sporządzania sprawozdań (które w założeniu ABI robi dla administratora). W przypadku powołania ABI w razie przetwarzania zbiorów danych niewrażliwych nie trzeba będzie ich zgłaszać do GIODO, tylko będzie można poprzestać na aktualizacji wewnętrznego rejestru zbiorów. Poza tym GIODO chcąc sprawdzić przestrzeganie ustawy przez administratora może poprzestać na poleceniu dokonania sprawdzenia przez ABI (nie wyłącza to jednak przeprowadzenia kontroli przez samego GIODO).
ABI wyznaczony przed wejściem w życie wspomnianej nowelizacji pełni swoją funkcję do czasu zgłoszenia go do rejestru GIODO, nie dłużej jednak niż do dnia 30 czerwca 2015 r. Administrator danych może zgłosić ABI do rejestru GIODO albo tego nie robić. W tym drugim przypadku ABI będzie upoważniony do wykonywania swoich zadań jedynie do 30 czerwca 2015 r. Poza tym administrator danych może wcześniej odwołać pełniącego funkcję ABI.