24 listopada 2014 r. Prezydent  RP podpisał ustawę z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, która nowelizuje m.in. ustawę o ochronie danych osobowych. Ustawa ma wejść w życie z dniem 1 stycznia 2015 r., z wyjątkiem zmian w Kodeksie pracy, które mają wejść w życie z dniem 1 kwietnia 2015 r.

W ustawie o ochronie danych osobowych wprowadzone zostaną m.in. zmiany dotyczące funkcji administratora bezpieczeństwa informacji (ABI). Nie jest to “nowa” instytucja, aczkolwiek zmiany dotyczą poszerzenia kompetencji administratora w firmie.

To administrator danych zadecyduje o powołaniu lub odwołaniu na niezależnym stanowisku ABI i będzie obowiązany zgłosić ten fakt GIODO w terminie 30 dni od dnia powołania lub odwołania, natomiast zmiany informacji objętych zgłoszeniem w terminie 14 dni od dnia zmiany. W przypadku niepowołania ABI , to administrator danych osobowych (ADO) będzie musiał wykonywać sam wszystkie obowiązki przewidziane dla ABI, z wyłączeniem obowiązku sporządzania sprawozdania.

Ustawa przewiduje prowadzenie przez GIODO ogólnokrajowego rejestru administratorów bezpieczeństwa informacji, będzie on jawny.

Jedną z kluczowych zmian przewidzianych w ustawie jest prowadzenie przez ABI uproszczonego rejestru danych osobowych, który jednocześnie zwalniałby administratora danych z obowiązku zgłaszania zbiorów danych do GIODO, nie dotyczy to jednak zbiorów, w których przetwarzane są dane wrażliwe. System rejestracji ABI ma w prosty sposób zapewnić kontrolę, czy administrator danych faktycznie spełnił warunki niezbędne do zwolnienia go z obowiązku rejestracyjnego. Jednocześnie, tak jak system rejestracji zbiorów danych osobowych, przez jawność danych zawartych w rejestrze, będzie wypełniał postulat transparentności operacji przetwarzania danych osobowych.

GIODO, ze względu na niezależną kompetencję kontrolną ABI, mógłby powierzyć mu wykonywanie czynności polegających na sprawdzeniu zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Stanowiłoby to istotne odciążenie dla administratorów danych (w tym przedsiębiorców) w stosunku do stanu aktualnego, w którym w każdym wymagającym tego przypadku (np. skargi osoby trzeciej) podlegają oni bezpośredniej kontroli GIODO. Uproszczona kontrola wykonywana przez ABI w żaden sposób nie naruszy kompetencji GIODO, ponieważ byłaby jedynie uznaniowo dopuszczona i nie ograniczałaby możliwości jej późniejszego przeprowadzenia przez Generalnego Inspektora.

Ustawa przewiduje również pewne modyfikacje ułatwiające przekazywanie danych osobowych do państw trzecich oraz w zakresie kompetencji GIODO. O tych zagadnieniach będę jeszcze pisać.