W ramach debiurokratyzacji gospodarki — zgłoszenie ABI do GIODO

Już 1 stycznia 2015 r. wchodzi w życie nieduża acz chyba znacząca nowelizacja ustawy o ochronie danych osobowych — ze zmianami wynikającymi z ustawy z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 r. poz. 1662).

Podstawowa zmiana to obowiązkowe zgłoszenie ABI do GIODO — słowem: administrator danych osobowych będzie musiał poinformować organ o powołaniu i odwołaniu administratora bezpieczeństwa informacji (ABI) (art. 46b ustawy o ochronie danych osobowych). Na dopełnienie tego obowiązku będzie miał 30 dni od zaistnienia zmiany, a zgłoszenie będzie obejmowało m.in. podanie numeru PESEL każdego ABI, jego adres do korespondencji, jeśli jest inny, niż adres podmiotu, a także oświadczenie ABI o posiadaniu pełnej zdolności do czynności prawnych, jego niekaralności za przestępstwo umyślne (art. 46b ust. 2 UoODO). GIODO będzie prowadził rejestr administratorów bezpieczeństwa informacji (art. 46c ustawy).

zgłoszenie abi do giodo

Zgłoszenie ABI do GIODO może nastąpić wyłącznie za pośrednictwem papierowego wniosku.

Kolejną istotną zmianą w przepisach jest zasada bezpośredniej podległości administratora bezpieczeństwa danych kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych (art. 36a ust. 7 ustawy). Oznacza to, że ABI nie może już być — dotąd nie było to przecież rzadkie w średniej wielkości przedsiębiorstwach — jednym z pracowników działu IT.
Wraz ze zmianą pozycji ABI zmieniają się jego obowiązki: po pierwsze teraz to ABI będzie prowadził rejestry zbiory danych przetwarzanych (art. 36a ust. 2 pkt 2 ustawy). Rejestr taki ma być jawny (art. 36a ust. 3), przy czym do tego wewnątrz-firmowego rejestru odnosić się będzie art. 42 ust. 2 UoODO (ten o prawie przeglądania rejestru GIODO).
Prawdę mówiąc sam się zastanawiam jak to ma wyglądać w praktyce: czy zdaniem ustawodawcy przetwarzający dane osobowe mają teraz obowiązek prowadzenia internetowego rejestru własnych zbiorów — i udostępniania ich na stronie www? Czyżby w jakiejś osobnej rubryce w obrębie strony firmowej? A jeśli administrator nie ma strony internetowej — czy wystarczy możliwość przesyłania informacji o zbiorach danych osobom zainteresowanym, na przykład listelem? Czy raczej będzie dobrze widziane ugościć każdego zainteresowanego, poczęstować herbatką, dać rejestr do wglądu w biurze?

Dodatkowym obowiązkiem administratorów bezpieczeństwa informacji będzie realizacja sprawdzeń na zlecenie GIODO — otóż zgodnie z art. 19b ustawy GIODO będzie mógł zwrócić się bezpośrednio do ABI o zbadanie zgodności przetwarzania danych z przepisami o ochronie danych osobowych (art. 36a ust. 2 pkt 1 lit. a UoODO). ABI wykonuje sprawozdanie ze sprawdzenia i przekazuje do GIODO przez administratora danych.
Muszę przyznać, że w tej części nowelizację uważam za dalece ryzykowną — nie podoba mi się budowanie swoistej opozycji administrator danych-administrator bezpieczeństwa danych, relacji, w której ABI właściwie zaczyna raportować do GIODO (niektórzy powiedzą: donosić…)

Bonusem dla przedsiębiorców przetwarzających dane osobowe ma być zwolnienie z obowiązku rejestracji zbiorów danych osobowych w GIODO (art. 43 ust. 1a ustawy) — dotyczyć to ma jednak tylko tych administratorów, którzy powołali i zgłosili do GIODO samego ABI, a zatem administratorzy wykonujący obowiązki osobiście nadal będą zgłaszać wszystko. Utrzymana zostaje jednak lista rodzajów zbiorów, które nie podlegają rejestracji.

Zmiany wchodzą w życie już 1 stycznia 2015 r., jednak administratorzy danych mają na pełne wdrożenie przepisów pół roku. W myśl art. 35 ustawy o ułatwieniu wykonywania działalności gospodarczej ABI wyznaczeni na podstawie obecnych przepisów sprawują wszystkie obowiązki według nowych przepisów, do dnia zgłoszenia ich do rejestru ABI — nie później jednak niż do 30 czerwca 2015 r.

Na pierwszy rzut oka większości z tych zmian można by właściwie tylko przyklasnąć. Mam już jednak pewne doświadczenie jeśli chodzi o nowelizacje różnych przepisów — i niestety, ale wiem, że zwykle przynoszą więcej złego, niż dobrego. Zmiany nie są aż tak rewolucyjne i nie oznaczają zdjęcia z przedsiębiorców aż takich wielkich ciężarów — tj. zamiast ich likwidacji, ustawodawca poprzestał na zamianie jednego obowiązku na inny. Ludzie tymczasem do czegoś już się zdążyli przyzwyczaić, oswoić sytuację — a tu bach, coś całkiem nowego.
Mam nadzieję, że mój pesymizm okaże się przedwczesny, ale — czuję też, że nowelizację wykorzysta paru łobuzów, którym zapragnie się kręcić swoje nieświeże lody…

  • Patka

    Całe szczęście, że zostaje ta półroczna furtka. Można jeszcze poszerzyć wiedzę. Dla mnie bardzo pomocny był wywiad dostępny tutaj: http://serwersms.pl/media/aktualnosci-branzowe/artykul/645-wywiad-od-1-stycznia-2015-r-nie-musisz-rejestrowac-bazy-w-giodo Przystępnie wyjaśnione najważniejsze kwestie dotyczące zmian.

  • Chyba muszę zacząć publikować więcej wywiadów, które będę sobie udzielał. Tylko kto będzie później zachęcał do ich czytania?! ;-D

  • overburn90

    Pytanie brzmi czy podmioty, które dotychczas były zwolnione z zgłoszenia zbioru również muszą zgłosić ABI do GIODO. Wydaje się, że zmiana nic o tym nie mówi przepisy są niejednoznaczne.

  • Sądzę, że tak. Zwolnienie z obowiązku rejestracji zbioru nie oznacza zwolnienia z obowiązku rejestracji ABI. A skoro ustawa nie wprowadza własnych przesłanek (ani nie odnosi się do tych dot. zbiorów) — to nie da się ich rozciągnąć.