Zmiany przepisów dotyczących administratorów bezpieczeństwa informacji w ramach ochrony danych osobowych

Z dniem 1 stycznia 2015 roku zmianie uległ szereg regulacji ustawy 29 sierpnia 1997 roku o ochronie danych osobowych.

Jedną z nich jest zmiana zasad dotyczących wyznaczania przez administratora danych osobowych osoby pełniącej funkcję administratora bezpieczeństwa informacji (tzw. „ABI”).

Na gruncie dotychczasowych przepisów ustanowienie ABI miało charakter obligatoryjny, wyjątkiem natomiast była sytuacja, gdy administratorzy danych sami pełni funkcję ABI (np. przedsiębiorcy prowadzący jednoosobową działalność gospodarczą).

 Obecnie wspomniane kwestie uregulowane są przez art. 36 a wspomnianej ustawy, zgodnie z którym administrator danych osobowych może powołać ABI, jednak nie ma takiego obowiązku. Funkcję ABI może pełnić jedynie osoba, która ma pełną zdolność do czynności prawnych oraz korzysta w pełni z praw publicznych, nie była skazana za popełnienie umyślnego przestępstwa, jak również posiada odpowiednią wiedzę w zakresie ochrony danych osobowych.

Ustawa zawiera katalog obowiązków spoczywających na ABI, w tym między innymi zapewnienie, aby osoby upoważnione do przetwarzania danych osobowych były zapoznane z przepisami dotyczącymi ich ochrony. Katalog obowiązków nie ma jednak zamkniętego charakteru, co oznacza, że administrator może powierzyć ABI również inne obowiązki, o ile nie naruszają one prawidłowego wykonywania zadań postanowionych przed ABI.

Novum stanowi możliwość powołania zastępców ABI.

W każdym wypadku osoby pełniące funkcję ABI podlegają bezpośrednio kierownikowi danej jednostki organizacyjnej (np. w przypadków spółek kapitałowych ABI z reguły będzie podlegał  zarządowi). Natomiast, jeżeli administratorem danych osobowych jest osoba fizyczna, ABI podlega jej bezpośrednio.  

Na mocy obowiązujących przepisów minister właściwy ds. administracji zobowiązany jest do wydania odpowiedniego aktu wykonawczego regulującego szczegółowo aspekty związane z ABI. Na ten moment stosowne rozporządzenie nie zostało jeszcze wydane.

Jakkolwiek ustanowienie ABI nie jest obowiązkowe, to Generalny Inspektor Ochrony Danych Osobowych zaleca wyznaczenie takiej osoby, co w ocenie GIODO ma na celu zapewnienie, aby ochrona danych osobowych powierzana była osobom mających odpowiednią wiedzę oraz doświadczenie w tym zakresie.

Wydaje się, że ustanowienie sprawnego i doświadczonego ABI ma sens, szczególnie w kontekście ewentualnych kontroli ze strony GIODO. Dzięki skorzystaniu z pomocy ABI można uniknąć negatywnych konsekwencji wynikających z faktu przetwarzania danych osobowych niezgodnie z przepisami.  

Piotr Stolarczyk
Radca prawny