Administrator Bezpieczeństwa Informacji
Zgodnie z art. 36 ust. 1 ustawy o ochronie danych osobowych Administrator Danych Osobowych zobowiązany jest stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. Środki te są zróżnicowane w zależności od formy przetwarzania danych (przetwarzanie manualne lub poprzez system teleinformatyczny).
Przedsiębiorca może zwolnić się ze swych obowiązków powołując na podstawie art. 36a ust. 1 Administratora Bezpieczeństwa Informacji (dalej ,,ABI”).
Do podstawowych obowiązków ABI należy:
- zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych
- opracowanie w tym zakresie sprawozdania dla Administratora Danych Osobowych,
- nadzorowanie opracowania i aktualizowania dokumentacji, takiej jak polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz przestrzeganie zasad w niej określonych,
- zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
Nadto ABI zajmuje się prowadzeniem jawnego rejestru zbiorów danych przetwarzanych przez administratora danych, dzięki czemu Administrator Danych Osobowych zwolniony jest z obowiązku rejestracji zbiorów w GIODO.
ABI może być osoba, która ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, posiada odpowiednią wiedzę w zakresie ochrony danych osobowych oraz nie była karana za umyślne przestępstwo. Ustawa nie przewiduje konieczności legitymowania się przez ABI stosownymi dokumentami lub certyfikatami. Co więcej zgodnie z art. 46b ust. 1 Administrator Danych Osobowych zobowiązany jest zgłosić powołanie i odwołanie ABI do GIODO na specjalnie przeznaczonym do tego formularzu.
Nowela, która weszła w życie 30 czerwca 2015 r. wprowadziła szereg zmian w zakresie funkcjonowania ABI, jednakże nadal nie usunęła ona wszystkich wątpliwości prawnych. Przepisy prawa nie regulują sytuacji po odwołaniu starego ABI i nie powołaniu nowego ABI. Wydaje się, że wszelkie obowiązki wynikające z ustawy, które do tej pory sprawował ABI sprawować będzie Administrator Danych Osobowych. Konieczna zatem może okazać się rejestracja zbiorów danych osobowych do GIODO.