To jedna ze zmian, jakie przewiduje nowelizacja przepisów o ochronie danych osobowych, które zostały wprowadzone przez ustawę o ułatwieniu wykonywania działalności gospodarczej. Zaczną obowiązywać 1 stycznia 2015 r.
Nowe przepisy określają, że administrator bezpieczeństwa informacji (ABI) podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Z tym że relacja ABI z jego pracodawcą będzie wyglądała zupełnie inaczej niż innych pracowników. Przede wszystkim ma być on niezależny, a o nieprawidłowościach wykrytych w firmie zawiadomi GIODO, jeśli ten tego zażąda.
Ustawa wymaga, by pracodawca zapewnił administratorowi bezpieczeństwa informacji odpowiednie środki do wypełniania obowiązków, a także organizacyjną odrębność. I ustawa wskazuje tu, że chodzi o to, by ABI mógł w sposób niezależny wykonywać swoje obowiązki. Tym samym nie może być mowy o żadnych naciskach na ABI czy ukrywaniu przez niego nieprawidłowości w firmie czy urzędzie.
Przedsiębiorcy przetwarzający dane osobowe muszą więc mieć się na baczności, gdyż to, że będą płacić administratorom bezpieczeństwa informacji, nie znaczy, że GIODO nie dowie się o nieprawidłowościach związanych z przetwarzanymi danymi. Generalny inspektor będzie mógł zwrócić się do ABI o sprawdzenie, w jaki sposób administrator danych osobowych przetwarza informacje np. o swoich klientach. Ponadto wskaże termin takiego sprawdzenia. ABI wskaże więc, jak w firmie wygląda przestrzeganie prawa, ujawni przypadki jego naruszania czy też poinformuje o podjętych działaniach zmierzających do poprawy sytuacji.
To, że raport zostanie przygotowany przez niezależnego administratora bezpieczeństwa informacji, nie oznacza, że GIODO na tym poprzestanie. Przekazanie mu sprawozdania nie wyłącza prawa generalnego inspektora do przeprowadzenia kontroli w przedsiębiorstwie.
GIODO ma także prowadzić rejestr administratorów bezpieczeństwa informacji. A zgłoszą mu ich sami przedsiębiorcy. Mają o tym zawiadamiać GIODO w ciągu 30 dni od daty powołania ABI.
Zgłoszenia administratora trzeba dokonać na specjalnym formularzu. Znajduje się on w rozporządzeniu ministra administracji i cyfryzacji określającym wzory zgłoszeń administratorów bezpieczeństwa informacji generalnemu inspektorowi ochrony danych osobowych (DzU z 29 grudnia 2014 r., poz. 1934). I zgodnie z tymi przepisami przedsiębiorca ma w formularzu poświadczać, że powołany przez niego administrator bezpieczeństwa informacji posiada odpowiednią wiedzę o ochronie danych osobowych.
Poda również swoje dane i informacje o osobach powołanych na stanowisko ABI. Firma taka ma także poświadczać, że jej administrator bezpieczeństwa informacji nie był karany za umyślne przestępstwo, ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych.
W zawiadomieniach do GIODO przedsiębiorcy będą podawać oprócz tego, że powołali administratora, także to, że zmieniły się jego dane czy że go odwołali. I w tym przypadku mają to uczynić w ciągu 30 dni. A jeżeli ABI został odwołany, to przedsiębiorca musi podać przyczyny, które sprawiły, że podjął taką decyzję.
