Z dniem 1 stycznia 2015 roku weszła w życie nowelizacja ustawy o ochronie danych osobowych, która dotyczy Administratorów Bezpieczeństwa Informacji (ABI) w firmach. Na wstępie należy jednak zaznaczyć, że nie każde przedsiębiorstwo/spółka musi zatrudnić ABI. Ustawa przewiduje jedynie taką możliwość. Jeżeli „firma” zadecyduje o powołaniu ABI, należy pamiętać, że kandydat musi spełniać ustawowo wskazane przesłanki.
1. Po co nowelizacja?
24 listopada 2014 roku Prezydent RP podpisał ustawę o ułatwieniu wykonywania działalności gospodarczej (weszła w życie 1 stycznia 2015 roku),która wprowadziła liczne zmiany w ustawie z dnia 29 sierpnia 1997 roku o ochronie danych osobowych.
Zasadniczo, ustawa miała na celu ułatwić wykonywanie działalności gospodarczej, w rzeczywistości jednak nałożyła na przedsiębiorców dodatkowe obowiązki w zakresie przetwarzania danych osobowych, w tym w szczególności sposobu prowadzenia dokumentacji, wyznaczania administratorów bezpieczeństwa informacji, czy opracowania sprawozdań dla administratora danych.
Należy przede wszystkim wskazać, że mali przedsiębiorcy najprawdopodobniej nie będą mogli pozwolić sobie na zatrudnienie osób, które będą przeszkolone w zakresie ochrony danych osobowych (ABI), ani utworzyć oddzielnego „niezależnego” stanowiska ABI. Makro przedsiębiorcy będą de facto mieli jeszcze więcej obowiązków i poniosą dodatkowe koszty, z uwagi na konieczność zapewnienia szkolenia dla ABI, utworzenia nowego stanowiska ABI i dopasowania do nowej organizacji strukturę firmy.
2. Czy każdy przedsiębiorca musi zatrudnić ABI?
Zgodnie z art. 36a ust. 1 GIODO, Administrator danych może powołać administratora bezpieczeństwa informacji. Z powyższego wynika, że przedsiębiorca nie ma obowiązku powołania ABI w struktury swojego przedsiębiorstwa.
Do zadań ABI należy mi. in. sprawdzanie, czy przetwarzanie danych osobowych odbywa się zgodnie z przepisami o ochronie danych osobowych oraz prowadzenie rejestru zbiorów danych osobowych. Ponadto, ABI będzie pilnował dokumentacji i będzie starał się o to, aby osoby upoważnione do przetwarzania danych osobowych w firmie były zapoznane ze stosownymi przepisami.
W przypadku niepowołania ABI, zadania dot. zapewnienia przestrzegania przepisów o ochronie danych osobowych wykonuje administrator danych.
Administratorem danych zgodnie z art. 7pkt. 4 GIODO jest organ, jednostka organizacyjna, podmiot lub osoba (jeżeli podmiot ten przetwarza dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, który mają siedzibę na terytorium RP).
3. Korzyści z zatrudnienia ABI
Administrator danych, który powołał ABI i zgłosił go do rejestru, nie będzie podlegał obowiązkowi rejestracji zbiorów danych osobowych (z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27, ust. 1, a więc tych, które ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, stan zdrowia, przynależność partyjną i inne bardzo wrażliwe informacje).
Administrator danych jest zobowiązany zgłosić do rejestracji GIODO powołanie i odwołanie ABI w terminie 30 dni od dnia powołania.
4. Kto może zostać powołany na stanowisko ABI?
Osoba zatrudniona na stanowisku ABI nie może być karana z przestępstwo umyślne i musi posiadać wiedzę zakresu przepisów o ochronie danych osobowych.
Ponadto ustawa wymaga, aby taka osoba podlegała bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Ma to zapewnić ABI odpowiedni poziom niezależności. Administrator danych może powierzyć swojemu ABI wykonywanie innych obowiązków, jeżeli nie będzie to przeszkadzało w wykonywaniu zadań ABI.
5. Rejestracja zbiorów danych osobowych oraz ABI
Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji GIODO z wyjątkiem wypadków wskazanych w art. 43 ust. 1 i 1a.
1 – dotyczy zwolnienia z obowiązku rejestracji szczególnych danych,
1a – obowiązkowi rejestracji zbiorów danych osobowych nie podlega administrator danych, który powołał ABI i zgłosił go do GIODO.
Podsumowując, zwolnienie z obowiązku zgłoszenia zbioru obejmie zbiory, które nie są prowadzone w wersji elektronicznej i nie zawierają danych wrażliwych. Przedsiębiorca, który nie powoła ABI, będzie musiał rejestrować zbiory na dotychczasowych zasadach.
