Już nie ABI, ale IOD. Zobacz, jakie zmiany szykują się w ochronie danych

Przeczytaj także: Profilowanie w e-commerce a ochrona danych osobowych

Obecne przepisy nie nakładają wprost obowiązku powołania administratora bezpieczeństwa informacji. ABI pełni obecnie funkcję „organu doradczego” i jest powoływany fakultatywnie przez administratora danych osobowych (ADO). Nowe regulacje przynoszą tu duże zmiany, ponieważ w określonych sytuacjach wyznaczenie IOD będzie obowiązkiem nie tylko ADO, ale również podmiotów, które przetwarzają dane na zlecenie administratora (procesorów).

Inspektora Ochrony Danych cechować będzie musiała nie tylko odpowiednia wiedza teoretyczna, ale również praktyczna. Funkcję tę będzie mogła pełnić zarówno osoba z personelu administratora, jak też zewnętrzna firma świadcząca swoje usługi w oparciu o stosowną umowę. Małe i średnie podmioty powinny rozważyć outsourcing Inspektora, tym bardziej że rozporządzenie nakłada na „nowego ABI” sporo dodatkowych obowiązków. Warto zastanowić się nad skorzystaniem z wyspecjalizowanego podmiotu, który stanie się gwarantem profesjonalnego wsparcia z zakresu ochrony danych osobowych i wdrożenia odpowiedniego systemu - mówi adw. Marcin Zadrożny, specjalista ds. ochrony danych w ODO 24.

IOD, analogicznie jak ma to miejsce w przypadku ABI, będzie bezpośrednio podlegać najwyższemu kierownictwu administratora, a za prawidłowe wypełnianie swoich zadań nie będzie mógł być przez niego karany ani odwołany. Co istotne, obowiązkiem administratora stanie się włączanie IOD we wszystkie bieżące sprawy dotyczące ochrony danych osobowych. Nowością przewidzianą w rozporządzeniu jest możliwość wyznaczenia jednego inspektora danych przez grupę przedsiębiorców oraz przez organy lub podmioty publiczne. A także to, że IOD będzie punktem kontaktowym dla osób, których dane przetwarza administrator oraz organu nadzorczego czyli GIODO.

Nowe unijne regulacje dotyczące ochrony danych osobowych wejdą w życie za około półtora roku. W rozporządzeniu nie zostało zawarte, w jaki sposób przedsiębiorcy powinni przekazać funkcję ABI Inspektorowi Ochrony Danych.

Zasadnym byłoby zobowiązanie przez polskiego ustawodawcę administratorów danych, w których obecnie powołany jest ABI, aby złożyli oświadczenie w określonym terminie dotyczące tego, że w podmiocie od 25 maja 2018 roku nie będzie IOD, a brak oświadczenia będzie implikował automatyczną zmianę statusu ABI w IOD. Uchroni to Biuro GIODO przed prawdopodobnym paraliżem, który spowodowany byłby napływem tysięcy wniosków dot. powołania IOD po 25 maja 2018 roku - proponuje adw. Marcin Zadrożny z ODO 24.