Większa swoboda działania dla firm z administratorem bezpieczeństwa informacji

Jakie zmiany wchodzą z początkiem 2015r.?

Sejm przyjął projekt zmian do ustawy o ochronie danych osobowych [dot. Dziennika Ustaw z 2014r. pozycja 1182]. Od nowego roku właściciele firm oraz podmioty publiczne, które powołają administratora danych informacji nie będą w obowiązku zgłaszania swoich baz do Generalnego Inspektora Ochrony Danych Osobowych.

Zmiany mają w zasadniczy sposób ułatwić przedsiębiorcom prowadzenie biznesu, odciążając ich właścicieli od kosztownych procesów administracyjnych. Przypomnijmy, że w połowie 2014r. GIODO zarządzało ponad 149 tys. zbiorów danych osobowych.

Analitycy firmy IT Auditor oceniają, że nowelizacja ustawy o ochronie danych osobowych przyniesie realne korzyści dla przedsiębiorców, sprofesjonalizuje kompetencje administratorów danych osobowych i w precyzyjny sposób określi zakres ich obowiązków wobec Generalnego Inspektora Ochrony Danych Osobowych.

Nowelizacja została zaakceptowana przez Sejm w październiku 2014r.

ABI oznacza mniej kontroli GIODO dla przedsiębiorcy

Zgodnie z nowym rozporządzeniem powołanie ABI nie tylko znosi obowiązek rejestracji zbiorów danych osobowych, ale i jest równoznaczne z ograniczeniem liczby kontroli.

[…] W sytuacji, kiedy GIODO będzie miał jakiekolwiek wątpliwości co do wykorzystywania rekordów, ABI zostanie zobowiązany do przeprowadzenia audytu wewnątrz przedsiębiorstwa. Kompetencje administratora staną się pewnym pomostem między podmiotem gospodarczym i samym urzędem – ocenia przedstawiciel IT Auditor.

Administrator bezpieczeństwa informacji będzie odpowiadał za rozwiązywanie problemów i uchybień od rekomendacji oraz za prowadzenie samej komunikacji z GIODO.

Należy zaznaczyć, że pomimo bliskich relacji między urzędem i ABI, działalność administratora jest niezależna i urząd ma prawo do przeprowadzenia samodzielnej kontroli, jeśli zajdzie taka konieczność.

Uproszczony proces rejestracyjny ABI

Zgodnie z przyjętym przez Sejm projektem do ustawy o ochronie danych osobowych, administratorzy danych będą decydowali o powołaniu i usunięciu ABI ze stanowiska w rejestrze.

W raporcie serwisu Prokonsumencki czytamy, że administrator danych ma 30 dni na złożenie stosownego wniosku informującego o rejestracji lub odwołaniu ABI oraz 14 dni na ewentualną korektę danych, jeśli będzie to konieczne.

Sam rejestr ABI będzie powszechnie dostępny.

Projekt ułatwienia wykonywania działalności gospodarczej złożony w Sejmie zakłada, że ABI może zostać wykluczony z rejestru ze względu na decyzję administracyjną, na wniosek samego administratora danych osobowych lub w razie jego śmierci *.

* Administrator Bezpieczeństwa Informacji zgodnie z prawem jest osobą fizyczną.

ABI wykreślony z rejestru może być ponownie do niego przywrócony, ale tylko pod warunkiem wyeliminowania powodu, dla którego wcześniej został z urzędu odwołany.

3 sposoby na powołanie ABI w przedsiębiorstwie

Prywatni przedsiębiorcy mogą powołać ABI na 1 z 3 sposobów: powierzenie obowiązków ABI wcześniej zatrudnionemu pracownikowi (mikroprzedsiębiorstwo), zatrudnienie ABI do struktury firmy, co jest rozwiązaniem uzasadnionym tylko w przypadku największych podmiotów gospodarczych oraz przez outsourcing kompetencji ABI do firmy zewnętrznej.

Outsourcing to dobry wybór zarówno dla małych, jak i średnich oraz dużych podmiotów. Przedsiębiorcy, którzy decydują się na powierzenie obowiązków ABI zewnętrznej firmie nie muszą ponosić dodatkowych kosztów związanych z koniecznością przeszkolenia pracownika, a przy tym mają dostęp do stałej obsługi specjalisty, który dysponuje specjalistyczną wiedzą z zakresu ochrony danych osobowych – wskazuje ekspert łódzkiego IT Auditor'a.

Nowe przepisy dotyczące uproszczenia procesów administracyjnych w relacji z GIODO wchodzą w życie z początkiem 2015r.