Page 7 - DN 4
P. 7
NOWELIZACJA USTAWY
torów Bezpieczeństwa Informacji, można podzielić na dwie Dotychczasowi Administratorzy
1
zasadnicze grupy :
1) propozycje zmian, których celem było wyjaśnienie Bezpieczeństwa Informacji
wątpliwości interpretacyjnych zgłaszanych w doktry- mogą pełnić swoją funkcję
nie prawa,
2) propozycje nowych uregulowań. najpóźniej do 30 czerwca
Do pierwszej grupy zaliczyć można m.in.:
• podkreślenie fakultatywności powołania ABI, 2015 r.
• doprecyzowanie jego usytuowania w ramach struktury
organizacyjnej ADO, a także
• uszczegółowienie zadań, do których realizacji jest zo- Po trzecie, należy podkreślić, że zakres zadań, które powin-
bowiązany. ni spełniać „nowi” i „starzy” ABI jest taki sam i określony
Do drugiej grupy z kolei należą: został przepisami znowelizowanej uodo.
• ustanowienie obowiązków ABI w zakresie sprawdzeń Okoliczność, że dotychczasowi ABI mogą zostać zgło-
(kontroli) realizowanych zarówno na rzecz Generalne- szeni do rejestracji w GIODO do 30 czerwca 2015 r., jest
go Inspektora Ochrony Danych Osobowych (GIODO), bez znaczenia. Również więc oni powinni – począwszy od
jak i administratora danych, 1 stycznia 2015 r. – realizować zadania określone przede
• wprowadzenie obowiązku zgłoszenia ABI do rejestra- wszystkim w art. 36a ust. 2 znowelizowanej uodo.
cji, a także Wyjątkiem jest wykonywanie sprawdzenia, o których
• ustanowienie dodatkowych wyłączenie z obowiązku mowa w art. 19b ust. 2. W przepisie tym mowa bowiem
zgłaszania rejestracji zbiorów danych w GIODO, w sy- jest o możliwości zwrócenia się przez Generalnego Inspek-
tuacji gdy powołany został ABI. tora do „Administratora Bezpieczeństwa Informacji wpi-
sanego do rejestru”.
„Nowy” i „stary” ABI Znacznie większe kontrowersje interpretacyjne wywołuje
w okresie przejściowym natomiast ocena, czy w okresie przejściowym istnieje obo-
wiązek prowadzenia przez ABI rejestru zbiorów danych.
Zwróćmy w związku z tym uwagę, że w praktyce oznacza-
W art. 35 ustawy o ułatwieniu wykonywania działalności łoby to „dublowanie” prowadzenia rejestrów tych samych
gospodarczej zawarty został przepis przejściowy dotyczą- zbiorów przez Generalnego Inspektora oraz ABI-ego (w ra-
cy statusu prawnego ABI wyznaczonych przed wejściem mach struktury administratora danych).
w życie nowelizacji uodo. Wydaje się w związku z tym, że argumenty celowościowe prze-
Zgodnie z nim dotychczasowi ABI pełnią swą funkcję, mawiają za przyjęciem wykładni, zgodnie z którą obowiązek
„w zakresie określonym nowymi przepisami, (…) do cza- ten aktualizuję się dopiero po zarejestrowaniu ABI-ego.
su zgłoszenia ich do rejestracji, nie później jednak niż do
30 czerwca 2015 r.”. Powołanie i sposób pełnienia
Treść powyższego przepisu pozwala na wysunięcie kilku
wniosków. funkcji ABI
Po pierwsze, należy uznać, że „starzy” ABI w okresie
przejściowym mogą pełnić swoje funkcje, nawet wów- Sposób sformułowania ustawowych wymogów, które ma
czas gdy nie spełniają wymogów ustanowionych w zno- spełnić Administrator Bezpieczeństwa Informacji, prze-
welizowanej uodo (art. 36a ust. 5). Zgodnie z nimi sądza o tym, że funkcję tę może spełniać tylko konkretna
Administratorem Bezpieczeństwa Informacji może być osoba f zyczna. ABI-im nie może więc być jednostka or-
osoba, która: ganizacyjna.
a) ma pełną zdolność do czynności prawnych oraz ko- Nowym rozwiązaniem jest umożliwienie Administratoro-
rzysta z pełni praw publicznych, wi Bezpieczeństwa Informacji powołania swoich zastęp-
b) posiada odpowiednią wiedzę w zakresie ochrony da- ców, którzy muszą spełniać takie wymogi formalne jak
nych osobowych oraz ABI (art. 36a ust. 6).
c) nie była karana za umyślne przestępstwo. Wprowadzenie regulacji tego rodzaju każe wysnuć wnio-
Po drugie, inna jest – w stosunku do „nowych” i „starych” sek, że w obecnym stanie prawnym jeden administrator
ABI – chwila, w której aktualizuje się obowiązek zgłosze- danych może powołać tylko jednego Administratora Bez-
nia rejestracyjnego. W stosunku do tych pierwszych nie pieczeństwa Informacji. Brak jest więc np. możliwości po-
stosuje się bowiem przepisu przejściowego. wołania kilku ABI dla poszczególnych zbiorów danych
Ich zgłoszenie powinno więc nastąpić w terminie określo- osobowych.
nym w art. 46b ust. 1 tj. w terminie 30 dni od ich powołania
na tę funkcję. Zgłoszenie „starych” ABI, może natomiast WAŻNE
nastąpić w terminie dłuższym, tj. najpóźniej do 30 czerw- Podobnie jak w dotychczasowym stanie prawnym, również po noweli-
ca 2015 r. zacji brak jest przeszkód, aby Administrator Bezpieczeństwa Informa-
cji sprawował swoją funkcję na podstawie innej podstawy prawnej niż
umowa o pracę (np. na podstawie cywilnoprawnej umowy zlecenia).
1 Paweł Fajgielski, Administrator bezpieczeństwa informacji – geneza, stan
obecny i perspektywy zmian – „Dodatek Monitora Prawniczego nr 9/2004”.
OCHRONA DANYCH OSOBOWYCH 145 STYCZEŃ 2015
