W dniu 1 stycznia 2015 roku weszła w życie nowelizacja ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. Podstawowa zmiana odnosi się do administratorów bezpieczeństwa informacji (tzw. ABI). Do tej pory powołanie ABI przez administratora danych osobowych (tzw. ADO) było obligatoryjne, teraz jest to uprawnienie ADO, z którego nie musi skorzystać. Niepowołanie ABI ma jednak konsekwencje – administrator danych osobowych zgodnie z nowym art. 36b ustawy sam będzie musiał wykonywać obowiązki ABI.

Zgodnie z nowelizacją Administratorem bezpieczeństwa informacji (ABI) może być osoba, która:

1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;

2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;

3) nie była karana za umyślne przestępstwo.

Zadaniem ABI jest nadzór nad przestrzeganiem ustawy o ochronie danych osobowych przez ADO, w tym także sporządzanie sprawozdań i prowadzenie szkoleń wśród pracowników i innych osób upoważnionych przez ADO do przetwarzania danych osobowych oraz przede wszystkim – prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych (szczegóły określa art. 36a ustawy o ochronie danych osobowych oraz Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji). Przepisy szczegółowo regulują obowiązkową treść sprawozdania, jakie ABI ma obowiązek przygotować dla ADO. Generalny Inspektor Danych Osobowych (GIODO) ma możliwość zwrócić się do zarejestrowanego administratora bezpieczeństwa informacji z żądaniem sporządzenia i udostępnienia mu sprawozdania co do zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych u ADO.

Administrator danych osobowych  jest obowiązany zgłosić do rejestracji w GIODO powołanie i odwołanie ABI w terminie 30 dni od dnia jego powołania lub odwołania, a także w terminie 14 dni musi zgłosić zmiany dotyczące ABI. GIODO prowadzi jawny rejestr ABI, dostępny w Internecie.

Powołanie i zarejestrowanie ABI ma swoje zalety – administrator danych osobowych, który skorzystał z tego uprawnienia nie musi rejestrować w GIODO posiadanych przez siebie zbiorów danych osobowych, za wyjątkiem zbiorów, które zawierają tzw. dane wrażliwe, o których mowa w art. 27 ust. 1 ustawy. Jest to możliwe, gdyż zarejestrowany ABI przejmuje na siebie obowiązek prowadzenia rejestru w/w zbiorów. W przypadku, gdy administrator danych nie zdecyduje się na powołanie ABI, jest obowiązany zgłaszać zbiory danych do GIODO na dotychczasowych zasadach.

Nowelizacja wprowadziła także nowy rodzaj zbiorów danych osobowych, które z mocy ustawy podlegają wyłączeniu od zgłaszania do GIODO – chodzi tu o zbiory danych prowadzonych bez wykorzystania systemów informatycznych, czyli głównie w formie papierowej. Wyłączenie to nie działa, jeśli zbiór taki zawiera dane wrażliwe z art. 27 ust. 1 ustawy. Złagodzono także rygory przekazywania danych do państw trzecich, które nie zapewniają na swoim terytorium odpowiedniego poziomu ochrony danych osobowych  – ustawa do tej pory bezwzględnie wymagała na to zgody GIODO, obecnie istnieją przypadki, w których zgoda GIODO nie jest potrzebna.

Przygotowała: Adwokat Agnieszka Wagemann – Smolańska