Rz: Pracodawcy masowo zgłaszają administratorów bezpieczeństwa informacji do rejestru GIODO. To oznacza, że nabywają oni nowe uprawnienia. Dlaczego tak się dzieje?

Maciej Byczkowski: Przyczyn jest kilka. Pierwsza bardzo prozaiczna – zgłoszenie dotychczasowego administratora bezpieczeństwa informacji (ABI) do nowego rejestru spowoduje utrzymanie zatrudnienia przez osoby pełniące dotychczas tę funkcję. GIODO informuje, że do nowego rejestru wpłynęło już około 5 tys. zgłoszeń. Większość – od podmiotów administracji publicznej. Drugi powód to możliwość skorzystania ze zwolnienia z obowiązku zgłaszania zbiorów do rejestracji GIODO. Innym powodem są działania firm doradczych, straszących wręcz przedsiębiorców karami do 200 tys. zł nakładanymi rzekomo przez GIODO w razie niewypełnienia obowiązku powołania takiego administratora.

Ktoś robi niezły biznes na tej nowelizacji.

Odnotowaliśmy kilka nieuczciwych firm, które wprowadzają w błąd przedsiębiorców. Nie ma jednak obowiązku powołania ABI w nowych przepisach i GIODO nie nałoży za to żadnej kary.

Jaki jest skutek niezgłoszenia ABI do końca czerwca?

W praktyce żaden. Oznacza to tylko tyle, że przedsiębiorca będzie realizował obowiązek zapewniania przestrzegania przepisów samodzielnie i będzie musiał jak dotąd zgłaszać (lub aktualizować) do GIODO informacje nt. zbiorów danych osobowych przetwarzanych w firmie. Poza tym nowego ABI można powołać w dowolnym momencie po 30 czerwca.

Czy zdarzyło się, by odradzał pan powołanie dotychczasowego ABI na to stanowisko na nowych zasadach?

Inspektorem musi być osoba, która ma odpowiednią wiedzę i możliwości wykonywania nowych zadań w sposób niezależny. Nie zawsze organizację stać na odpowiednich fachowców lub fundowanie nowego stanowiska. Poza tym nie zawsze firma ma zbiory danych osobowych, które należy zgłaszać do GIODO. Art. 43 ust. 1 ustawy o ochronie danych osobowych przewiduje kilka wyłączeń od tego obowiązku. Zatem nie ma korzyści ze zwolnienia z rejestracji zbiorów przy powołaniu ABI w firmach, które zbierają np. informacje wyłącznie o swoich pracownikach. Z tego obowiązku zwolnione są także szpitale czy szkoły. Każdy podmiot ma wybór sposobu zapewnienia przestrzegania przepisów o ochronie danych osobowych. Jeżeli nowe obowiązki można rozdzielić na kilka osób, nie trzeba powoływać ABI.

—rozmawiał Mateusz Rzemek