Przedsiębiorstwa, które powołają administratorów bezpieczeństwa informacji, mogą liczyć na ułatwienia przy zarządzaniu tymi zasobami
Wielu przedsiębiorców od dawna zatrudnia osoby, które w praktyce pełnią funkcję administratora bezpieczeństwa informacji (ABI), czyli koordynują politykę zarządzania danymi. Dotychczas firmy poza lepszą ochroną nie miały z tego tytułu korzyści. Zmieni się to za sprawą wchodzącej 1 stycznia 2015 r. ustawy o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 r. poz. 1662). Zmienia ona m.in. ustawę o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182).
– Celem ustawy deregulacyjnej jest z jednej strony odciążenie przedsiębiorców i innych podmiotów przetwarzających dane osobowe, które powołają ABI, a z drugiej profesjonalizacja tych ostatnich. Wreszcie bowiem będzie ustawowo uregulowane, jakie obowiązki na nich spoczywają i jakie jest ich miejsce w wewnętrznej strukturze jednostki organizacyjnej – mówi dr Grzegorz Sibiga, kierownik Zakładu Prawa Administracyjnego Instytutu Nauk Prawnych PAN.
W praktyce największą korzyścią może być brak obowiązku rejestrowania, a co ważniejsze, aktualizacji zbiorów danych osobowych u generalnego inspektora ochrony danych osobowych. Przedsiębiorca, który powoła ABI, zgłosi to GIODO, który z kolei wpisze go do prowadzonego przez siebie rejestru. Od tego momentu firma nie będzie musiała informować o zmianach w swych zbiorach. Ułatwienia te nie obejmą jednak danych wrażliwych.
Pojawia się też pytanie, co ze zbiorami już zarejestrowanymi (w połowie roku było ich ponad 150 tys.). – Niestety, wchodząca z początkiem nowego roku nowelizacja nie zawiera żadnych przepisów, które dawałyby odpowiedź na to pytanie. Kierujemy się jednak logiką prawną, dlatego w przypadku zarejestrowania ABI będziemy usuwać zbiór danych osobowych z naszego rejestru. Byłoby to przecież nielogiczne, gdyby ABI musiał pilnować aktualizacji dwóch rejestrów – prowadzonego przez siebie i tego w GIODO – wyjaśnia minister Andrzej Lewiński, zastępca generalnego inspektora.
Powołanie ABI będzie dobrowolne, gdyż znika art. 35 ust. 3 ustawy. Co ciekawe, niewielu przedsiębiorców zdawało sobie sprawę, że przepis ten zobowiązywał ich (poza osobami fizycznymi prowadzącymi własną działalność) do zatrudniania ABI. Tak przynajmniej wynikało z wyroku Naczelnego Sądu Administracyjnego z 21 lutego 2014 r. (sygn. akt I OSK 2445/12).
Jak wynika z sygnałów docierających do GIODO, wiele firm jest zainteresowanych powołaniem ABI. Tym bardziej że brak obowiązku rejestracji zbiorów to niejedyne ułatwienie, na jakie dzięki temu będą mogły liczyć. Kolejne dotyczyć będzie kontroli. W razie skarg GIODO nie będzie wysyłał do firmy swoich kontrolerów – sprawdzenia dokona sam ABI.
Powołanie administratora bezpieczeństwa informacji nie będzie oznaczało konieczności zatrudnienia dodatkowej osoby. Może nim zostać pracownik wypełniający także inne zadania, może również zająć się tym ktoś z zewnątrz na zasadach outsourcingu.
Nowelizacja likwiduje także formalności dotyczące papierowych zbiorów danych. Podmioty, które nie przetwarzają danych z wykorzystaniem systemów informatycznych, nie będą już musiały zgłaszać zbiorów do rejestracji. Chodzić może choćby o książki wejść i wyjść, które można spotkać nie tylko w instytucjach publicznych, ale również w wielu biurowcach.
Dodatkowe ułatwienie czeka też firmy, które przekazują dane do państw spoza Europejskiego Obszaru Gospodarczego. Dzisiaj, przynajmniej w teorii, muszą uzyskać na to zgodę GIODO. Po zmianach – jeśli zastosują zatwierdzone przez Komisję Europejską standardowe klauzule umowne albo zatwierdzone przez GIODO w porozumieniu z organami ochrony danych z innych państw UE wiążące reguły korporacyjne – będą zwolnione z tego obowiązku.

Etap legislacyjny

Wchodzi w życie 1 stycznia 2015 r.