Adwokat Sławomir Kowalski z Kancelarii PwC przypomina, że nie ma na razie obowiązku powoływania w przedsiębiorstwach administratora bezpieczeństwa informacji (ABI). Celem powołania takiego administratora jest zapewnienie przestrzegania przepisów w zakresie prowadzenia rejestrów danych oraz powierzenie innych obowiązków, które dadzą się pogodzić z wykonywaniem zadań, do których go powołał administrator danych osobowych w firmie.
Jeśli już powołał, to musi zarejestrować w ogólnopolskim jawnym rejestrze administratorów bezpieczeństwa informacji. Tak nakazuje nowy art. 46c ustawy o ochronie danych osobowych znowelizowany ustawą z 7 listopada 2014 roku o ułatwieniu działalności gospodarczej. Rejestr ten zawiera informacje o powołanych przez administratorów danych i zarejestrowanych u Generalnego Inspektora administratorach bezpieczeństwa informacji (ABI).
Pytanie, czy główny informatyk w firmie może być ABI? Zdaniem adw. Kowalskiego - przeszkód formalnych nie ma, ale trzeba się zastanowić, czy informatyk jest właściwą osobą. Główny informatyk może mieć sprzeczne cele z zadaniami ABI - dążyć na przykład do rozbudowywania systemu i przetwarzać coraz więcej danych, a ABI wręcz przeciwnie - dąży do przetwarzania zgodnie z prawem. A to wpływa na ilość przetwarzanych danych zgodnie z prawem.
Czy szef działu prawnego może pełnić funkcję ABI? Według adwokata Kowalskiego - może, nawet jest bardziej właściwy niż radca prawny zatrudniony w dziale prawnym, że względu na podległość. Natomiast adwokat nie może pełnić roli administratora bezpieczeństwa, ze względu na ograniczenie korporacyjne wynikające z regulaminu wykonywania tego zawodu. Chodzi o niezależność, a istota ABI zakłada podległość administratorowi danych.
Źródło: Konferencja p.t.„Pół roku ABI – praktyczne aspekty funkcjonowania administratorów bezpieczeństwa informacji w nowej formule”, Warszawa 15 lipca 2015r.