Od teraz działający w strukturach firmy administrator bezpieczeństwa informacji (ABI) będzie miał większy zakres obowiązków. Ustawa wprowadza także istotne uproszczenia w zakresie rejestracji zbiorów danych. Zgodnie z ustawą zwolnienie z obowiązku zgłoszenia zbioru obejmie także te zbiory, które nie są prowadzone w wersji elektronicznej i nie zawierają danych wrażliwych. Przedsiębiorca, który nie powoła ABI, będzie musiał rejestrować zbiory na dotychczasowych zasadach.
– Ustawa przewiduje możliwość powołania administratora bezpieczeństwa informacji i określa jego strukturę w hierarchii. Ma to być osoba, która podlega bezpośrednio kierownikowi jednostki. Obecnie administratorem jest osoba pełniąca dowolne stanowisko, a obowiązki administratora bezpieczeństwa informacji są jej zlecane niejako dodatkowo. Teraz będzie musiała mieć zapewnioną niezależność organizacyjną – mówi w rozmowie z agencją Newseria Biznes Iwona Kozieł, ekspert ds. ochrony danych osobowych w Kancelarii Lex Artist.
Ustawa reguluje, że ABI może zostać osoba fizyczna o pełni praw do czynności prawnych, która korzysta z praw publicznych i nie była karana za umyślne przestępstwo. Nie może być to osoba przypadkowa, musi mieć odpowiednie kompetencje.
– Administrator bezpieczeństwa informacji musi być osobą zajmującą się wyłącznie ochroną danych osobowych. Inne obowiązki może realizować jedynie wtedy, kiedy nie prowadzi to do konfliktu z wypełnianiem obowiązków nałożonych przez ustawę – zaznacza Kozieł.
Do obowiązków administratora będzie należało m.in. sprawdzanie zgodności przetwarzania danych z przepisami, nadzorowanie aktualności dokumentacji i prowadzenie rejestru zbioru danych.
– Nie wszystkie zbiory trzeba będzie zgłaszać, tak jak obecnie, Generalnemu Inspektorowi Ochrony Danych Osobowych, a ABI będzie taki rejestr prowadził wewnętrznie u każdego przedsiębiorcy, gdzie zostanie powołany. Zmiany dotyczą jedynie tych podmiotów, które zdecydują się na zarejestrowanie administratora danych osobowych. Jedną z zasadniczych zmian wynikających z nowelizacji jest bowiem to, że powołanie administratora będzie wymagało zgłoszenia do GIODO – tłumaczy ekspertka.
Zgłoszenie powołanego administratora musi nastąpić nie później niż w ciągu 30 dni od jego powołania (ten sam termin obowiązuje w przypadku odwołania). W związku z nowym rodzajem zgłoszeń GIODO ma prowadzić ogólnokrajowy jawny rejestr ABI.
Jak podkreśla Kozieł, ustawa ma zmniejszyć formalności administracyjne związane ze zgłaszaniem danych, zwiększy się też katalog zwolnień z obowiązku zgłaszania do GIODO.
– Formalności związane ze zgłoszeniem zbiorów danych będą się koncentrowały wyłącznie w obrębie spółek, czyli nie trzeba będzie ich zgłaszać nigdzie indziej, jeżeli nie będziemy mieć tam danych wrażliwych – zaznacza ekspertka.
Małe przedsiębiorstwa ze względu na koszty związane z zatrudnieniem kompetentnych osób i koniecznością stworzenia nowego stanowiska, mogą zrezygnować z administratora. Większe spółki będą natomiast praktycznie musiały wyznaczyć pracownika lub osobę zatrudnioną na zasadzie outsourcingu.
– Warto dostosować naszą dokumentację z zakresu ochrony danych osobowych do nowych wymogów prawnych, przygotować wzory rejestrów, które też będą musiały być prowadzone, i zastanowić się, kto będzie pełnił funkcję administratora – przypomina Iwona Kozieł.
Zmiany w ustawie o ochronie danych osobowych
Od początku roku obowiązują przepisy, które nakładają na firmy nowe obowiązki w zakresie ochrony danych osobowych i ułatwiają ich przetwarzanie.