Komitet Rady Ministrów ds. Cyfryzacji rozpatruje projekt rozporządzenia w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji. Nowy akt wykonawczy wynika z obowiązującej od stycznie br. nowelizacji ustawy o ochronie danych osobowych, którą z kolei wprowadziła ustawa o ułatwieniu wykonywania działalności gospodarczej. Jej celem było zdjęcie części obowiązków ciążących na przedsiębiorcy, w tym także telekomunikacyjnym, który zazwyczaj zarządza dużymi bazami danych osobowych. Czy w dziedzinie bezpieczeństwa danych osobowych rzeczywiście będzie łatwiej, to się dopiero okaże.
Rozporządzenie precyzuje zadania tzw. administratora bezpieczeństwa informacji (ABI), czyli osoby bezpośrednio odpowiedzialnej za właściwe procedowanie z bazami danych, gromadzonymi przez ich zasadniczego dysponenta (np. przedsiębiorcę), czyli administratora danych.
W praktyce ABI ma przejąć na zlecenie administratora danych zadania kontrolne związane z właściwym zarządzaniem zbiorami danych. Jego rolę może pełnić podmiot zewnętrzny (już reklamują się firmy, które na zasadzie outsourcingu chcą świadczyć usługi ABI) i na tym ma polegać ułatwienie dla przedsiębiorcy. ABI działa na zlecenie i pod kontrolą administratora danych, ale może również podjąć działania kontrolne względem swojego klienta na polecenie Głównego Inspektora Ochrony Danych Osobowych. Pełni w zasadzie rolę audytora, ponieważ za bezpośrednie przetwarzanie danych nadal mogą być (i zazwyczaj będą) odpowiedzialni inni pracownicy administratora danych.
ABI przygotowuje plan i program tzw. sprawdzeń realizacji zasad bezpieczeństwa informacji, z których zdaje raport administratorowi danych.
W toku konsultacji społecznych branżowe izby gospodarcze (projekt rozporządzenia opiniowały Polska Izba Komunikacji Elektronicznej oraz Polska Izba Informatyki i Telekomunikacji) zwracały uwagę, że nowa rola ABI, to nowy byt, który wbrew zamierzeniom ustawodawcy przyczyni, a nie umniejszy obowiązki przedsiębiorcy. Współdziałanie z ABI bowiem, to nowy zakres działań, których efektem jest tylko weryfikacja, czy dane osobowe są chronione właściwie. Sama ochrona zaś nadal pozostaje w gestii administratora danych. Poza tym sformalizowanie procedury działania ABI stanowi nowe utrudnienie, a nie uproszczenie dla przedsiębiorcy. Warto zaznaczyć, że administrator danych może, ale nie musi powoływać ABI i może pełnić jego rolę sam.
O zamierzonej roli ABI na rzecz administratorów danych osobowych można przeczytać w materiałach publikowanych przez GIODO.
