Nowe przepisy dotyczące ABI!

Ustawa o ułatwieniu wykonywania działalności gospodarczej, czyli tzw. IV ustawa deregulacyjna wprowadza zmiany w ustawie o ochronie danych osobowych.

Ostatnio głośno jest o zmianach prawa europejskiego dotyczącego ochrony danych osobowych.

Tym razem jednak przedstawimy niektóre zmiany w prawie polskim, a dokładnie nowe zapisy dotyczące Administratora Bezpieczeństwa Informacji (zwany dalej ABI) zawarte w ustawie z 2013 r. o ułatwieniu wykonywania działalności gospodarczej.

Nowością miedzy innymi będzie zgłaszanie ABI Generalnemu Inspektorowi Ochrony Danych Osobowych (zwanym dalej GIODO).

Ciekawą zmianą jest stwierdzenie, iż ADO może powołać ABI oraz szczegółowe określenie jego obowiązków (dotychczas tylko sformułowane przez słowo „nadzór’):

„Art. 36a ust. 1. Administrator danych może powołać administratora bezpieczeństwa informacji.

Art. 36a ust. 2. Do zadań administratora bezpieczeństwa informacji należy:

1) zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
c) zapoznawanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,

2) prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2 – 4a i 7.”

Jeszcze ciekawszą zmianą są wytyczne co do samej osoby ABI, która w proponowanych przepisach musi między innymi posiadać wyższe wykształcenie:

„Art. 36a. ust. 4. Administratorem bezpieczeństwa informacji może być osoba, która:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
2) posiada wykształcenie wyższe,
3) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
4) nie była karana za przestępstwo popełnione z winy umyślnej.”

Ostatnią nowością w proponowanych zmianach jaką chcielibyśmy przedstawić jest Rejestr ABI-ch:

„Art. 46b. 1. Administrator danych jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 14 dni od dnia jego powołania lub odwołania.”

Jak widać zmiany są bardzo istotne i wpłyną dość mocno na aktualną praktykę wyznaczania ABI, która bardzo często polega na „przymuszaniu” do pełnienia funkcji ABI.

AUTOR: Michał Geilke
Ekspert ds. bezpieczeństwa
GSM: +48 783 384 378
e-mail: m.geilke@orleccy.pl