Page 11 - DN 4
P. 11
NOWELIZACJA USTAWY
Rejestracja ABI w GIODO
– pytania o „trzecią drogę”
Nowelizacja ustawy o ochronie danych osobowych miała ułatwić
pracę instytucjom, które zdecydują się zarejestrować swojego
Administratora Bezpieczeństwa Informacji w GIODO. Dzięki temu
miały być one zwolnione z obowiązku zgłaszania zbiorów danych
osobowych do rejestracji. Praktyczne zastosowanie tego ułatwienia
budzi jednak pewne wątpliwości.
Zgodnie z art. 46b ust. 1 ustawy o ochronie da- w tym rejestrze), pojawiają się bowiem pytania
nych osobowych „administrator danych jest o istotnym znaczeniu również dla praktyki.
obowiązany zgłosić do rejestracji Generalnemu Przykładowo powstaje pytanie, czy osoba powo-
Inspektorowi powołanie (…) Administratora łana na stanowisko Administratora Bezpieczeń-
Bezpieczeństwa Informacji”(„ABI”). Obowią- stwa Informacji staje się ABI – w rozumieniu
zek ten należy zrealizować w terminie 30 dni od ustawy – z momentem jej powołania, czy do-
dnia jego powołania. piero z momentem zgłoszenia tego faktu do
Analogiczny obowiązek dotyczy faktu odwoła- GIODO (co z reguły będzie następować po
nia ABI, o czym administrator danych ma rów- DAMIAN KARWALA pewnym czasie, biorąc pod uwagę fakt, że sama
nież obowiązek poinformować Generalnego radca prawny, współ- ustawa daje na to 30 dni), czy może z chwilą za-
Inspektora Ochrony Danych Osobowych, tak- pracownik Kancelarii rejestrowania w rejestrze.
Prawnej Traple Konarski
że w terminie 30 dni od dnia jego odwołania. Podrecki i Wspólnicy, W tym kontekście wątpliwości może budzić sam
Obowiązek zgłoszeniowy potwierdza również ekspert prawny Polskiej charakter czynności (aktu) rejestracji ABI w re-
przepis przejściowy (art. 35 ustawy z 7 listopada Izby Ubezpieczeń oraz jestrze publicznym.
2014 r. o ułatwieniu wykonywania działalności Związku Pracodawców Kolejne pytanie związane jest z odmiennym trak-
gospodarczej). Branży Internetowej IAB towaniem tych ABI, którzy powoływani mają być
Polska
Daje on administratorom danych czas do przez administratorów danych (a tylko tacy ABI
30 czerwca 2015 r. na zgłoszenie do rejestru wymagają zgłoszenia do GIODO), oraz ABI, któ-
GIODO tych ABI, którzy wyznaczeni zostali na rzy powoływani są i będą przez tzw. procesorów
podstawie art. 36 ust. 3 ustawy, w dotychczaso- danych. Nie powinno ulegać raczej wątpliwości,
wym jej brzmieniu. że ci ostatni ABI nie wymagają zgłoszenia do
Generalnego Inspektora Ochrony Danych Oso-
ABI od zgłoszenia czy bowych.
zarejestrowania
ABI powołany, ale
niezgłoszony do GIODO
Wydawać by się mogło, że każdy wyznaczony
przez administratora danych ABI – bez wzglę-
du na to, czy powołany w oparciu o (uchylony) Istotne w aspekcie praktycznym wydaje się
art. 36 ust. 3 ustawy, czy też o (nowy) art. 36a również pytanie o dopuszczalność – na gruncie
ust. 1 – wymaga, pod rządami nowej regulacji, nowych przepisów – powołania przez admini-
bezwzględnego zarejestrowania w publicznym stratora danych Administratora Bezpieczeństwa
rejestrze GIODO. Taki – na pierwszy rzut oka – Informacji, który jednak nie zostanie w ogóle
oczywisty wniosek nie usuwa jednak wątpliwo- zgłoszony do rejestru GIODO.
ści z tym związanych. W tym kontekście należy przede wszystkim
Mając na uwadze obowiązek rejestracyjny i for- zauważyć, że ustawa wyraźnie rozróżnia dwie
malne rozdzielenie dwóch, a nawet trzech „mo- sytuacje (i jak się wydaje, instytucje), tzn. Ad-
mentów” (jednego związanego z powołaniem ministratora Bezpieczeństwa Informacji oraz
ABI, drugiego – z jego zgłoszeniem do rejestru, „Administratora Bezpieczeństwa Informa-
wreszcie trzeciego – z jego zarejestrowaniem cji wpisanego do rejestru, o którym mowa
OCHRONA DANYCH OSOBOWYCH 149 STYCZEŃ 2015