UWAGA - od 25 maja 2018 roku poniższa treść stanie się częściowo nieaktualna.
Co do zasady zgodnie z art. 40 ustawy o ochronie danych osobowych administrator danych ma obowiązek zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO). Z początkiem roku pojawią się nowe możliwości dla administratorów danych w tym zakresie.
Administrator bezpieczeństwa informacji zwalnia administratora danych z obowiązku rejestracji zbioru
Zgodnie z nowelizacją prawa, która wejdzie w życie 1 stycznia 2015 roku, administrator danych, który powoła w swojej firmie administratora bezpieczeństwa informacji (ABI) i zgłosi go GIODO nie będzie podlegać obowiązkowi rejestracji zbiorów danych osobowych.
Kiedy zwolnienie nie ma zastosowania?
W przypadku tzw. danych wrażliwych tj. danych ujawniających:
- pochodzenie rasowe lub etniczne,
- poglądy polityczne,
- przekonania religijne lub filozoficzne,
- przynależność wyznaniową, partyjną lub związkową,
A także danych:
- danych o stanie zdrowia,
- kodzie genetycznym,
- nałogach lub życiu seksualnym
- dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym,
powołanie administratora bezpieczeństwa informacji nie znosi obowiązku rejestracji takich zbiorów danych osobowych.
Administrator bezpieczeństwa informacji:
- zapewnia przestrzeganie przepisów o ochronie danych osobowych ( jest odpowiedzialny m.in. za politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącą do przetwarzania danych osobowych);
- prowadzi rejestr zbiorów danych przetwarzanych przez administratora danych
ponadto:
- administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa powyżej.
Kto może zostać ABI?
Administratorem bezpieczeństwa informacji może być osoba, która:
- ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
- posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
- nie była karana za umyślne przestępstwo.
Powołanie ABI nie jest obowiązkowe
Powołanie ABI nie jest obowiązkiem Przedsiębiorcy, ale wówczas przedsiębiorca musi się liczyć z tym, że to on, jako administrator danych, musi zająć się wszelkimi kwestiami związanymi z przetwarzaniem danych przez jego firmę.
Dla kogo Administrator bezpieczeństwa informacji?
Wydaje mi się, że ABI sprawdzi się przede wszystkim w większych firmach, które prowadzą np. kilka zbiorów danych osobowych, które ulegają częstym zmianom, których w przypadku powołania administratora bezpieczeństwa informacji nie będzie trzeba zgłaszać do GIODO.
W przypadku mniejszych firm może się okazać, że powołanie ABI nie jest uzasadnione m.in. ze względu na niewspółmierne koszty powołania ABI w stosunku do ilości pracy jaka jest przez takiego administratora do wykonania.
Wiele zależy również od Waszej wiedzy oraz możliwości czasowych w zakresie wykonywania obowiązków administratora danych. Jeśli posiadacie jeden zbiór danych, którego parametry (np. rodzaj zbieranych danych) nie zmieniają się może się okazać, że bardziej opłaca się Wam zarejestrować zbiór i zarządzać nim samodzielnie niż powoływać ABI, co wiąże się z formalnościami i kosztami.