Rz: Czy administratorzy danych muszą się przyzwyczaić do obecności w strukturach ich firm lub jednostek administratora bezpieczeństwa informacji?
Paweł Litwiński: Wszystko wskazuje na to, że nastąpi zmiana terminologiczna. Studiując trzy projekty ogólnego rozporządzenia o ochronie danych osobowych, tj. wersję przygotowaną przez Komisję Europejską oraz wersje parlamentu i Rady, wszystkie posługują się terminem „inspektora danych osobowych" na określenie odpowiednika obecnego administratora bezpieczeństwa informacji. Jako że wersje są w tym zakresie zgodne, należy się spodziewać, że po wejściu w życie rozporządzenia tak właśnie będzie się określać odpowiednika ABI. Dlatego administratorzy nie powinni przywiązywać się do nazwy, co nie znaczy, że taka osoba nie będzie mogła funkcjonować w strukturze przedsiębiorstwa lub innego podmiotu.
Obowiązujące od 1 stycznia 2015 roku zmienione przepisy ustawy o ochronie danych osobowych w sposób radykalny zmieniły pozycję prawną i obowiązki ABI, chociaż sama instytucja nie była nowa. Bardzo dużo emocji budziło pytanie, czy powołanie ABI będzie obowiązkowe. Jak ta kwestia przedstawia się w projektach rozporządzenia?
Rzeczywiście, jednym z zasadniczych elementów składających się na nową pozycję prawną administratora bezpieczeństwa informacji w polskiej ustawie o ochronie danych osobowych jest dobrowolność jego wyznaczenia przez administratora danych. Zgodnie z art. 36b administrator albo powołuje ABI, albo sam wykonuje jego obowiązki. Jeśli chodzi o projekty unijne, to zasada dobrowolności powołania inspektora ochrony danych utrzymana została w całości w projekcie Rady – projekt Rady nie przewiduje żadnych przypadków, w których powołanie inspektora byłoby obowiązkowe.
Natomiast projekt Komisji oraz projekt parlamentu już inaczej podchodzą do tej kwestii. I przewidują sytuacje, w których powołanie inspektora jednak obowiązkowe będzie. Przykładowo w projekcie parlamentu taki obowiązek powinien być np. wtedy, gdy administratorem danych osobowych jest podmiot należący do sfery prawa publicznego albo jest to osoba prawna, a przetwarzanie danych dotyczy ponad 5 tys. podmiotów danych rocznie w dowolnym okresie kolejnych 12 miesięcy, albo wówczas, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych. Taki obowiązek jest także przewidywany w przypadku podmiotów mających dostęp do tzw. danych wrażliwych.