Stary ABI w świetle nowych przepisów, czy trzeba go powołać na nowo?
Osoby, które przed wejściem w życie nowelizacji ustawy pełniły rolę administratorów bezpieczeństwa informacji, często zastanawiają się, jak odnaleźć się w nowej rzeczywistości. Dużo pytań budzi przede wszystkim uchylenie art. 36 ust. 3, który nakazywał administratorowi danych wyznaczenie administratora bezpieczeństwa informacji, chyba że ADO postanowił sam wykonywać te czynności. Po 1. stycznia 2015 r. ustawodawca zwolnił administratorów danych osobowych z obowiązku wyznaczania ABI, na rzecz dobrowolnego powołania w zamian za pewne przywileje wynikające z ustawy.
W art. 36 a ust. 1. ustawodawca wskazał, że administrator danych może powołać ABI. Wątpliwości osób, które już są ABI budzi fakt, że zostały one wyznaczone, a nie powołane; oraz to że wyznaczenie było oparte na uchylonym już przepisie prawa. Taka zmiana wywołuje pytanie: czy administrator danych (biblioteka) powinien powołać wyznaczonego przez siebie ABI do pełnienia roli ABI? Odpowiedzi nie znajdziemy w ustawie o ochronie danych osobowych. Ustawodawca podaje rozwiązanie tego dylematu w ustawie o ułatwieniu wykonywania działalności gospodarczej:
Art. 35. Administrator bezpieczeństwa informacji wyznaczony na podstawie art. 36 ust. 3 ustawy zmienianej w art. 9, w brzmieniu dotychczasowym, pełni funkcję administratora bezpieczeństwa informacji w rozumieniu art. 36a ust. 1 ustawy zmienianej w art. 9, w brzmieniu nadanym niniejszą ustawą, do czasu zgłoszenia go do rejestru, o którym mowa w art. 46c ustawy zmienianej w art. 9, w brzmieniu nadanym niniejszą ustawą, nie dłużej jednak niż do dnia 30 czerwca 2015 r.
Czyli administrator danych osobowych nie musi na nowo powoływać osoby, którą wcześniej wyznaczył na administratora bezpieczeństwa informacji. Musi za to podjąć decyzję, którą ścieżkę wybrać. Jeżeli zdecyduje się zrezygnować ze wsparcia ABI, to osoba która wcześniej pełniła jego obowiązki, może pełnić je dalej, na zasadach sprzed nowelizacji ustawy, nie dłużej niż do końca czerwca tego roku. Następnie automatycznie przestaje być ABI-m. Jego obowiązki administrator danych może wykonywać sam lub rozdzielić je na wiele osób (należy podkreślić, że jest tu już mowa o obowiązkach z ustawy o ochronie danych osobowych po nowelizacji).
Jeżeli administrator danych zdecyduje się powołać ABI, to nie musi formalnie ponownie go powoływać, jego czynności ograniczają się do zgłoszenia swojego ABI do jawnego rejestru w GIODO. Powoływany pracownik musi spełnić wymogi wynikające z art. 36 a ust. 5 (pełna zdolność do czynności prawnych, korzystanie z pełni praw publicznych, niekaralność oraz odpowiednia wiedza w zakresie ochrony danych osobowych). Zakres obowiązków nowego ABI jest bardzo szeroki, wymaga także umożliwienia mu bezpośredniej podległości tylko i wyłącznie kierownikowi jednostki organizacyjnej i niezależności we wszystkich działaniach związanych z ochroną danych osobowych.
Powołanie ABI-ego będzie nieskuteczne, jeżeli nie zostaną spełnione wszystkie powyższe warunku oraz przede wszystkim, jeżeli osoba powoływana na ABI-ego nie przyjmie nowych obowiązków (np. z braku odpowiednich kwalifikacji lub obawą, że nie będzie w stanie pogodzić obecnie wykonywanych obowiązków z nowymi zadaniami).
Na koniec dodam, że stanowisko GIODO w kwestii powoływania ABI jest jednoznaczne: w każdej dużej firmie powinien być ABI (a w razie potrzeby także jego zastępcy). Jest to istotny element polityki zabezpieczania danych osobowych. Nie jest to rozwiązanie skierowane do małych instytucji, czy jednoosobowych podmiotów gospodarczych.
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!