Co z dotychczasowymi Administratorami Bezpieczeństwa Informacji (ABI) po wejściu w życie przepisów RODO?
Po wejściu do bezpośredniego stosowania w dniu 25 maja 2018 roku rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (ogólnego rozporządzenia o ochronie danych, „RODO” zwanego również „GDPR” od General Data Protection Regulation) rolę fachowego wsparcia dla administratorów danych i podmiotów przetwarzających odgrywać będą inspektorzy ochrony danych („IOD”, zwani również „DPO” od data protection officer). Zadaniem inspektorów ochrony danych – tak jak obecnie administratorów bezpieczeństwa informacji (ABI) – będzie działanie na rzecz zgodnego z przepisami o ochronie danych przetwarzania danych, zarówno w administracji publicznej, jak i w sektorze prywatnym.
Obecnie trwają prace legislacyjne nad projektem ustawy o ochronie danych osobowych mającej zapewnić skuteczne stosowanie RODO w polskim porządku prawnym. Zgodnie z tym projektem w celu zapewnienia ciągłości wykonywania funkcji gwarantującej przestrzeganie przepisów o ochronie danych osobowych w danym podmiocie, osoby wykonujące w dniu 24 maja 2018 roku funkcję administratora bezpieczeństwa informacji będą wykonywały funkcję inspektora ochrony danych osobowych do dnia 1 września 2018 roku.
W tym czasie administrator danych osobowych lub podmiot przetwarzający powinien zawiadomić Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu inspektora ochrony danych osobowych zgodnie z procedurą wskazaną w art.5 projektowanej ustawy o ochronie danych osobowych albo w tym terminie obowiązany jest przekazać Prezesowi Urzędu Ochrony Danych Osobowych informację, że dotychczasowy administrator bezpieczeństwa informacji nie pełni u niego funkcji inspektora ochrony danych osobowych. Jednocześnie jeżeli w tym czasie, czyli do dnia 1 września 2018 roku, administrator bezpieczeństwa informacji nie zgłosi danych kontaktowych dotychczasowego administratora bezpieczeństwa informacji do Prezesa Urzędu Ochrony Danych Osobowych, to ten administrator przestaje pełnić funkcję inspektora ochrony danych. Warto również zauważyć, że w okresie przejściowym czyli do dnia 1 września 2018 roku administrator danych osobowych może w każdym czasie zawiadomić Prezesa Urzędu Ochrony Danych Osobowych, że administrator bezpieczeństwa informacji nie pełni u niego funkcji inspektora ochrony danych.
Zastosowanie konstrukcji zgodnie z którą dotychczasowy administrator bezpieczeństwa informacji pełni automatycznie rolę inspektora ochrony danych osobowych tylko przez pewien dość krótki, określony czas podyktowane zostało przede wszystkim tym by zapewnić ciągłość wykonywania funkcji, która ma gwarantować przestrzeganie danych osobowych ale także tym, że zgodnie z rozporządzeniem 2016/679 na inspektorów ochrony danych osobowych nałożone zostaną znacznie większe wymagania niż te, które obecnie obowiązani są spełniać administratorzy bezpieczeństwa informacji. Rozporządzenie 2016/679 wprowadza wymóg kwalifikacji zawodowych inspektora ochrony danych osobowych, na które składają się: wiedza fachowa oraz umiejętności potrzebne do wykonywania zadań inspektora ochrony danych osobowych, określonych w rozporządzeniu 2016/679. W obecnym stanie prawnym administrator bezpieczeństwa informacji musi jedynie posiadać wiedzę w zakresie ochrony danych osobowych, która odnosi się do obecnych przepisów o ochronie danych osobowych. Również zakres jego zadań nie pokrywa się w pełni z zadaniami inspektora ochrony danych osobowych.
W świetle powyższego istnieje konieczność zweryfikowania dotychczasowych administratorów bezpieczeństwa informacji pod kątem nowych wymagań kwalifikacyjnych.