Wraz z nowym rokiem weszła w życie nowelizacja ustawy o ochronie danych osobowych. Do najważniejszych zmian, jakie wprowadzono do ustawy, należy zaliczyć określenie pozycji administratora bezpieczeństwa informacji (ABI) w strukturze przedsiębiorstwa, szczegółowe określenie jego obowiązków i zakresu odpowiedzialności oraz określenie, jaki stosunek prawny powinien go wiązać z administratorem danych osobowych, czyli z przedsiębiorcą. Przed nowelizacją w ustawie znajdował się zaledwie jeden przepis mówiący o administratorze bezpieczeństwa informacji, przez co po stronie przedsiębiorców – administratorów danych panowała niepewność prawna co do przyjmowanych rozwiązań. Dzisiaj już niepewności tej nie ma.
Powołanie ABI niesie za sobą korzyści dla przedsiębiorcy. Otóż administrator danych, który powołał ABI i zgłosił go do rejestru, nie będzie podlegał obowiązkowi rejestracji zbiorów danych osobowych (z wyjątkiem zbiorów zawierających tzw. dane wrażliwe, ujawniające np. pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, stan zdrowia, przynależność partyjną).
W ustawie wyraźnie wskazano, że ABI ma być bezpośrednio podległy kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem. Nowe przepisy stawiają również osobie, która ma pełnić tę funkcję, określone wymogi. I tak, administratorem bezpieczeństwa informacji może być osoba, która ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych. Ponadto osoba ta musi posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych i nie może być karana za przestępstwo popełnione z winy umyślnej. Po powołaniu (bądź odwołaniu) ABI należy fakt ten zgłosić w ciągu 30 dni Generalnemu Inspektorowi Ochrony Danych Osobowych, który prowadzi specjalny rejestr w tym zakresie. W zgłoszeniu tym trzeba podać dane administratora danych, administratora bezpieczeństwa oraz oświadczenie o spełnieniu przez ABI odpowiednich warunków.
Ustawowy katalog zadań ABI obejmuje przede wszystkim zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, nadzorowanie opracowania i aktualizowania dokumentacji ochrony danych osobowych, oraz przestrzegania zasad w niej określonych, zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Jednym z nowych zadań administratora bezpieczeństwa informacji jest także opracowywanie sprawozdań dla administratora danych oraz dla Generalnego Inspektora Ochrony Danych Osobowych, jeśli tego zażąda.
Poza tym teraz nie ma już także wątpliwości co do tego czy istnieje obowiązek zatrudniania administratora bezpieczeństwa informacji, gdyż ustawa jasno wskazuje, że administrator danych może powołać ABI. Oczywiście w sytuacji, gdy tego nie zrobi sam musi wypełniać jego obowiązki.
W związku z tym, że często można się spotkać z opinią, iż wśród przedsiębiorców nadal niska jest świadomość przepisów związanych z ochroną danych, warto rozważyć zatrudnienie osoby, która zajmie się tym w sposób profesjonalny. Dzięki nowelizacji nikt już nie będzie miał wątpliwości co do procedury powołania ABI, zakresu jego obowiązków oraz korzyści płynących z posiadania takiej osoby w swoim zespole.