1 stycznia 2015 roku weszły w życie zmiany w ustawie o ochronie danych osobowych. Zgodnie z nimi, administrator danych może powołać administratora bezpieczeństwa. Może, ale nie musi. Wielu ADO więc tego nie robi. Czy wtedy zmieniają się ich obowiązki?
ADO bez ABI
Administrator danych, który nie powołuje ABI nie jest zwolniony z obowiązków, które ustawa nakłada na administratora bezpieczeństwa informacji. Wprost przeciwnie. Zdecydowaną większość zadań musi realizować ADO, mimo że nie powołuje ABI.
I tak, w przypadku niepowołania ABI, ADO musi sprawdzać zgodność przetwarzania danych osobowych z przepisami o ochronie danych. Musi również nadzorować opracowywanie i aktualizację dokumentacji ochrony danych osobowych, a także zapoznawać osoby upoważnione do przetwarzania danych z odpowiednimi przepisami.
ADO wykonuje więc następujące obowiązki przypisane ABI: przeprowadzanie wewnętrznych kontroli, nadzór nad dokumentacją i szkolenia. Warto o tym pamiętać. Niepowołanie ABI nie oznacza bowiem zwolnienia z ww. obowiązków, a jedynie konieczność ich samodzielnej realizacji.
Przepisy nie przesądzają, jak ADO powinien wykonywać te obowiązki. I dobrze, bo pewna swoboda w tym zakresie jest niezbędna. ADO może zdecydować, że sam będzie realizował zadania. Może jednak powierzyć to innej osobie, bez powoływania jej na ABI. Może również wyznaczyć cały zespół, odpowiedzialny za ochronę danych. Warto, by ADO pamiętał, że niezależnie od tego jaki model wybierze, to on odpowiada za realizację ustawowych zadań Powierzenie obowiązków innym, nie zwalnia ADO z odpowiedzialności.
ADO bez rozporządzeń
Wykonywanie obowiązków ABI ułatwić ma rozporządzenie, określające tryb i sposób dokonywania sprawdzeń oraz sprawowania nadzoru nad dokumentacją. Jest ono adresowane do ABI. ADO, który działa bez ABI nie jest więc związany tymi przepisami. Ma to oczywiście wiele plusów, ale też podstawowy minus. ADO nie ma żadnych wskazówek od ustawodawcy, jak wykonywać swoje obowiązki .
Warto więc, by sięgnął do rozporządzenia. Może w nim znaleźć podpowiedź, jak zaplanować sprawdzenie, jakie obszary powinien objąć kontrolą, czy jakimi metodami wykonać sprawdzenia.
Zadania zastrzeżone wyłącznie dla ABI
ADO działający bez ABI nie musi wykonywać dwóch obowiązków: przygotowywać sprawozdań ze sprawdzeń oraz prowadzić rejestru zbiorów danych. ABI przekłada sprawozdanie administratorowi danych. Z oczywistych względów, jeżeli ADO sam prowadzi sprawdzenie, nie składa sprawozdania.
ADO, który nie powołał ABI nie zostanie również wezwany przez GIODO do przeprowadzenia sprawdzenia i złożenia z niego sprawozdania.
Także prowadzenie rejestru zbiorów pozostaje obowiązkiem ABI. Administrator danych, który nie powołał ABI, musi na dotychczasowych zasadach zgłaszać zbiory do rejestracji w GIODO. Jedynie powołanie i zgłoszenie ABI do rejestru, może zwolnić go z obowiązku zgłaszania zbiorów danych osobowych zwykłych (zbiory te są bowiem wpisywane do rejestru ABI). W przypadku danych wrażliwych, nawet jeżeli ABI jest powołany i prowadzi własny rejestr, zbiór takich danych musi zostać zgłoszony.
Jeżeli ADO nie decyduje się na powołanie ABI, musi pamiętać, że nadal ma wiele obowiązków. Ustawa nie przesądza, jak będzie je wykonywał. Są one na tyle ważne, że ADO powinien je uwzględniać choćby w planach działania na dany rok. Kompleksowe sprawdzenia, nadzór nad dokumentacją czy szkolenia personelu to zadania, które wymagają czasu i zaangażowania.