Nowelizacja ustawy o ochronie danych osobowych, obowiązująca od 1 stycznia br. znacznie zwiększyła rolę administratora bezpieczeństwa informacji (ABI). Wprowadziła również obowiązek zgłaszania ABI do rejestru prowadzonego przez generalnego inspektora ochrony danych osobowych (GIODO). W dalszym ciągu nie ma jednak przepisów wykonawczych, które szczegółowo regulowałyby obowiązki ABI.
Przypominamy, że w przypadku gdy ABI powołany został przed wejściem w życie nowelizacji, a więc przed 1 stycznia 2015 r., termin na jego zgłoszenie do rejestru prowadzonego przez GIODO upływa już 30 czerwca br. W przypadku niezgłoszenia ABI do rejestru w wyznaczonym okresie nie będzie on mógł realizować swojej funkcji na zasadach określonych znowelizowanymi przepisami.
Natomiast jeżeli administrator danych zdecydował się na powołanie ABI po wejściu w życie nowelizacji – termin na zgłoszenie go do rejestru GIODO wynosi 30 dni, licząc od jego powołania.
Zgłoszenie ABI do rejestru powinno nastąpić przy wykorzystaniu wzoru załączonego do rozporządzenia ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji. Jest on dostępny na stronie internetowej GIODO. Sam rejestr zgłoszonych ABI jest natomiast jawny i dostępny za pośrednictwem stron GIODO.
Chociaż wprowadzony nowelizacją obowiązek rejestracji ABI wydaje się dodatkowym obciążeniem dla administratorów danych osobowych, w praktyce, paradoksalnie, może pozwolić na uproszczenie zasad przetwarzania danych osobowych w niektórych jednostkach, zwłaszcza w tych, w których zbiory danych są tworzone lub zmieniane dynamicznie (np. przedsiębiorcy działający w obszarach e-commerce).
Wyznaczanie ABI przez administratora danych ma charakter dobrowolny. Wyznaczenie ABI pozwala jednak na wyłączenie obowiązku rejestracji zbiorów danych u GIODO. Ale uwaga! Wyłączenie to nie dotyczy jednak przetwarzania danych o charakterze wrażliwym (np. stan zdrowia, nałogi) i ma zastosowanie wyłącznie w przypadku zarejestrowania ABI zgodnie z wymogami znowelizowanych przepisów.
Zasadniczo ABI zobowiązany jest do zapewnienia przestrzegania przepisów o ochronie danych osobowych w danej jednostce oraz prowadzenia rejestru zbiorów danych przetwarzanych przez administratora danych – w uproszczeniu przejmuje więc część obowiązków GIODO. Szczegółowy tryb i sposób realizacji zadań oraz prowadzenia rejestru zbiorów danych przez ABI ma jednak zostać określony w rozporządzeniu ministra właściwego do spraw administracji publicznej (obecnie ministra cyfryzacji i administracji).
Problem jednak w tym, że mimo obowiązywania znowelizowanej ustawy o ochronie danych osobowych od ponad czterech miesięcy rozporządzenie takie nie zostało jeszcze wydane. Jest na etapie projektu, do którego od chwili jego przedstawienia zgłoszono liczne uwagi. Stwarza to sytuację, w której z jednej strony upływa termin zgłoszenia ABI do rejestru, z drugiej – w dalszym ciągu nie wiadomo, jakie dokładnie obowiązki na nim spoczywają.
W związku z tym trudno obecnie przewidzieć, czy powierzenie określonej osobie tej funkcji rzeczywiście pozwoli na uproszczenie zasad przetwarzania danych osobowych w danej organizacji, czy przeciwnie – doprowadzi do nadmiernej formalizacji procesu. Dodatkowo brak przepisów wykonawczych uniemożliwia odpowiednie zaktualizowanie wewnętrznej polityki bezpieczeństwa (którą zasadniczo musi posiadać każdy administrator danych osobowych), co – w zależności od sytuacji – może być potrzebne w związku z powołaniem bądź odwołaniem ABI.
Warto zauważyć, że dotychczas regulacje wewnątrzorganizacyjne często w sposób różnorodny określały rolę ABI – ustawa o ochronie danych osobowych pozostawiała w tej kwestii dużą swobodę. Rozporządzenie, w mniejszym bądź większym stopniu, tę swobodę ograniczy. Tak więc ewentualne doraźne zmiany wprowadzone przez niektórych administratorów w ich politykach bezpieczeństwa po 1 stycznia 2015 r. będzie należało ponownie zweryfikować po ogłoszeniu rozporządzenia, które ma szczegółowo uregulować m.in. sposób prowadzenia przez ABI rejestru zbiorów danych osobowych.
Podsumowując – w sytuacji braku przepisów wykonawczych przedsiębiorcy nadal nie wiedzą, czy powołanie i rejestracja ABI praktycznie usprawni ich działalność (dotychczas do rejestru zgłoszono tylko ok. 1200 ABI). Oczywiście sytuacja taka nie powinna mieć miejsca. Niezależnie jednak od tego, jeżeli administrator, bazując na aktualnych przepisach, zdecyduje się skorzystać z wyłączenia obowiązku zarejestrowania przez niego zbiorów danych osobowych bezpośrednio u GIODO, musi dochować ustawowych terminów zgłoszenia ABI.