Zmiana przepisów o ochronie danych osobowych
Od początku 2015 roku obowiązują zmiany w Ustawie o ochronie danych osobowych z 29 sierpnia 1997 roku. Zmiany dotyczą przede wszystkim uprawnień Administratora Bezpieczeństwa Informacji (ABI). Administrator Bezpieczeństwa Informacji (ABI) do tej pory był powoływany w celu pełnienia nadzoru nad środkami technicznymi i organizacyjnymi mającymi zapewnić ochronę przetwarzanych danych. Dbał o to, aby nie były one utracone,, przekazane nieodpowiednim osobom, nienależycie zmieniane, czy przetwarzane niezgodnie z ustawą. Teraz ABI zyskuje nowe kompetencje i powinien przez to stać się bardziej niezależny. Powołanie ABI nie jest jednak obowiązkiem.
© Tomasz Ceranek
Wyznaczenie ABI zwalnia z rejestrowania części zbiorów danych u Generalnego Inspektora Ochrony Danych Osobowych (GIODO), z czym wiąże się brak takiej osoby u administratora danych (osoba fizyczna, osoba prawna, jednostka organizacyjna nie posiadająca osobowości prawnej). Zniesienie obowiązku zgłaszania zbiorów niestety nie oznacza, że nie trzeba ich opisywać i prowadzić tak jak do tej pory. GIODO może to sprawdzić i wówczas ABI, co również jest nowością, przygotowuje dla administratora danych sprawozdanie, które GIODO może przyjąć lub odrzucić. Sprawozdanie będzie opracowywane w wyznaczonym zakresie kontroli, natomiast całości zadań będzie dotyczył raport, który ABI ma teraz obowiązek składać administratorowi danych co roku. Podobnie jak do tej pory ABI będzie odpowiadał za przestrzegania przepisów o ochronie danych osobowych, szczególnie poprzez sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, nadzorowanie opracowania i aktualizowania stosownej dokumentacji (przede wszystkim polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym), czy zapoznawanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Sposób wykonywania części tych zadań będzie określony w drodze rozporządzenia Ministra właściwego do spraw administracji publicznej.
Administratorem Bezpieczeństwa Informacji będzie mogła być tylko osoba fizyczna, która ma pełną zdolność do czynności prawnych, korzysta z pełni praw publicznych, nie była karana za umyślne przestępstwo i posiada odpowiednią wiedzę w zakresie ochrony danych osobowych . Z pewnością najtrudniej będzie o odpowiednie cechy ABI. Poza tym, że prawdopodobnie będzie trzeba przeszkolić taką osobę, trzeba będzie jeszcze zapewnić jej odpowiednie warunki. W ustawie wskazane jest, że ABI powinien cieszyć się organizacyjną niezależnością i mieć zapewnione stosowne środki, a to wszystko do należytego wykonywania swoich zadań. Organizacyjną odrębność najłatwiej uzyskać poprzez bezpośrednie podporządkowanie kierownikowi jednostki – wystarczy, że w zakresie wykonywania obowiązków ABI (na przykład w wymiarze 1/3 etatu). GIODO będzie prowadził jawny rejestr ABI. Administrator danych miał obowiązek zgłaszania powołania ABI i przekazywania odpowiednich danych. To samo dotyczy zmian danych ABI i jego odwołania. Sam GIODO może wykreślić ABI z rejestru, gdy nie spełnia on wcześniej wymienionych warunków, został odwołany albo nie prowadzi rejestru zbiorów. Wówczas trzeba zgłaszać zbiory do GIODO według „starych” zasad albo powołać nowego ABI.
Jeżeli zastanawiamy się nad powołaniem ABI istotne jest to, że musimy mieć do czynienia z danymi osobowymi. Trzeba też pamiętać, że nie wszystkie muszą być rejestrowane. Dzięki najnowszej zmianie nie trzeba już też rejestrować danych przetwarzanych w zbiorach, które są prowadzone tradycyjnie (nie z wykorzystaniem systemów informatycznych). Pamiętać przy tym trzeba, że istnieje jednocześnie kategoria danych, które zawsze podlegają zgłoszeniu do GIODO – nawet wtedy, gdy powołany jest ABI. Dotyczy to danych wrażliwych, które tez należy szczególnie chronić.
