Nie wszystkie sprawozdania dotyczące zgodności przetwarzania danych osobowych w danej firmie z wymaganiami prawa muszą być kierowane do organu nadzoru — przypomina Generalny Inspektor Ochrony Danych Osobowych (GIODO). W ostatnim czasie do jego biura wpływają też takie, które są sporządzane przez administratorów bezpieczeństwa informacji (ABI) na wewnętrzne potrzeby podmiotów, w których działają. GIODO otrzymuje sprawozdania z przygotowywanych przez ABI planowych i doraźnych sprawdzeń wspomnianej zgodności. Tworzą je dla administratorów danych osobowych w firmach, gdzie takie dane są przetwarzane. Jest to jedno z zadań ABI wynikających z ustawy o ochronie danych osobowych. Sprawdzenia muszą być wykonane według planu, który określa przedmiot, zakres, termin ich przeprowadzenia oraz sposób i zakres ich dokumentowania. ABI przygotowuje taki plan na okres nie krótszy niż kwartał i nie dłuższy niż rok i zaznajamia z nim administratora danych. Jeżeli zaistnieje taka konieczność, ABI przeprowadza też oceny doraźne. Przede wszystkim, gdy dowie się o przypadku naruszenia ochrony danych osobowych lub w razie uzasadnionego podejrzenia wystąpienia takiej sytuacji. Takie sprawdzenia są tworzone przede wszystkim na użytek danego podmiotu i nie należy ich przekazywać generalnemu inspektorowi — wynika z informacji Zespołu Rzecznika Prasowego GIODO. ABI muszą mu przesyłać sprawozdania dotyczące zgodności przetwarzania danych z przepisami tylko ze sprawdzeń realizowanych na wniosek GIODO, czyli na jego wyraźne żądanie, i za pośrednictwem administratorów danych osobowych. Taka konieczność może wiązać się z podjętą kontrolą. Zadaniem ABI jest wspierać administratora danych w przestrzeganiu przepisów o ich ochronie, edukować w tej sprawie osoby, które w firmie zajmują się ich przetwarzaniem i prowadzić ewidencję ich zbiorów, dzięki czemu nie muszą być zgłaszane do rejestru prowadzonego przez GIODO. Jeśli przedsiębiorca nie powoła ABI, jego rolę pełni administrator danych.
Z obserwacji GIODO wynika, że coraz więcej podmiotów powołuje ABI, zwłaszcza w ciągu ostatnich dwóch lat, czyli od momentu wprowadzenia w ustawie o ochronie danych osobowych szczegółowych przepisów dotyczących ich statusu i zadań ABI pełniącego m.in. rolę wewnętrznego nadzoru nad prawidłowym przetwarzaniem takich danych. Powołanie ABI jest dobrowolną decyzją przedsiębiorców. Za rok czekają ich jednak duże zmiany. Przepisy unijnego rozporządzenia ogólnego o ochronie danych osobowych, które zacznie być stosowane od 25 maja 2018 r., przewidują, że administrator bezpieczeństwa informacji zostanie zastąpiony przez inspektora ochrony danych, a jego powołanie w wielu przypadkach będzie obowiązkowe. Dotyczy to m.in. przypadku, gdy główną działalnością administratora danych lub podmiotu przetwarzającego je są operacje, które ze względu na swój charakter, zakres, dużą skalę lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą. Zdaniem GIODO, w związku z koniecznością wdrożenia unijnego rozporządzenia w nowej ustawie o ochronie danych osobowych powinien znaleźć się przepis przejściowy, zgodnie z którym ABI zarejestrowani przed 25 maja 2018 r. staliby się z mocy prawa inspektorami ochrony danych osobowych.
21,78 tys. Ponad tylu administratorów bezpieczeństwa informacji jest wpisanych do rejestru GIODO (dane według stanu na 25 stycznia tego roku).