Debatę dotyczącą planowanych zmian w zakresie administratora bezpieczeństwa informacji (ABI) już od zeszłego roku prowadzi Generalny Inspektor Ochrony Danych Osobowych (GIODO) wraz ze Stowarzyszeniem Administratorów Bezpieczeństwa Informacji (SABI). W tym roku ukazał się nowy projekt założeń do projektu ustawy o ułatwieniu warunków wykonywania działalności gospodarczej, w którym znalazła się propozycja zmiany ustawy o ochronie danych osobowych (Dz. U. z 2002 roku, Nr 101, poz. 926 t.j., ze zm.). Proponowane zmiany obejmują rozszerzenie kompetencji rejestracyjnych GIODO na informacje o ABI. Szczegóły dotyczące planowanych zmian dostępne na stronie internetowej SABI przedstawiają się następująco:
Wybór ABI
Projekt przewiduje możliwość wyznaczenia ABI oraz jego zastępców, a w razie braku wyboru ABI, wykonywanie jego zadań co do zasady przez administratora danych.
Kwalifikacje ABI
Funkcję ABI mogłaby pełnić każda osoba posiadająca wykształcenie wyższe, odpowiednią wiedzę z zakresu przepisów o ochronie danych osobowych, mająca pełną zdolność do czynności prawnych i korzystająca z pełni praw publicznych oraz która nie była karana za popełnienie przestępstwa z winy umyślnej.
Zadania ABI
Proponuje się, by do podstawowych zadań ABI należało: — Zapewnienie stosowania przepisów o ochronie danych osobowych oraz opracowanie sprawozdań dla administratora danych. — Prowadzenie dokumentacji opisującej sposoby przetwarzania danych osobowych oraz środki zapewniające jego ochronę, a także nadzór nad przestrzeganiem zasad określonych w dokumentacji. — Prowadzenie jawnego rejestru zbiorów danych, przetwarzanych u danego administratora danych.
Niezależna pozycja ABI
Zgodnie z projektem ABI podlegałby wyłącznie kierownikowi jednostki, który miałby mu zagwarantować autonomię organizacyjną.
Rola ABI w postępowaniach kontrolnych GIODO
Planowana zmiana zakłada możliwość odstąpienia GIODO od przeprowadzenia czynności kontrolnych u administratora danych i zlecenia ich przeprowadzenia ABI, w przypadku jego zgłoszenia do rejestru ABI prowadzonego przez GIODO. Po ich przeprowadzeniu, ABI za pośrednictwem administratora danych przedstawiałby GIODO sprawozdanie z ich wykonania.
Rejestracja ABI w rejestrze GIODO
Administrator danych, który dokonałby wyboru i zgłoszenia ABI do rejestru ABI prowadzonego przez GIODO, byłby zwolniony z obowiązku rejestracji zbiorów danych w rejestrze zbiorów danych prowadzonym przez GIODO. Zwolnienie z obowiązku rejestracji miałoby nie dotyczyć zbiorów danych zawierających tzw. dane wrażliwe.
O ile wymienione propozycje zmian regulacji ABI są we wstępnej fazie przygotowania i nie jest jasne, kiedy i w jakiej formie zostaną one przyjęte, to wskazują dobry kierunek, w którym przepisy te powinny ewoluować.