Jedną z najważniejszych zmian, jakie od 25 maja 2018 r. przewidują nowe przepisy o ochronie danych osobowych jest przejście od obecnego modelu dobrowolnego wyznaczania ABI do systemu, w którym w odniesieniu do wielu podmiotów przewidziany jest obowiązek wyznaczenia inspektora ochrony danych. Wobec tego każdy podmiot – niezależnie od tego, czy skorzystał wcześniej z możliwości powołania ABI, czy nie – powinien dokonać analizy, czy w świetle RODO spoczywa na nim taki obowiązek (więcej o podmiotach zobowiązanych do wyznaczenia inspektora oraz obowiązkach związanych z wyznaczeniem takiej osoby piszemy tutaj).
Okres przejściowy
Osoba pełniąca w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji w rozumieniu przepisów dotychczasowej ustawy o ochronie danych osobowych, staje się 25 maja 2018 r. inspektorem ochrony danych i pełni swoją funkcję do 1 września 2018 r., chyba że:
formularz zawiadomienia o odwołaniu
formularz zawiadomienia o wyznaczeniu innej osoby
formularz zawiadomienia Prezesa Urządu
Powyższy przepis odnosi się do osób, które w dniu 24 maja 2018 r. pełniły funkcję ABI niezależnie od tego, czy zostały wpisane do ogólnokrajowego rejestru ABI prowadzonego do dnia 24 maja 2018 r. przez Generalnego Inspektora Ochrony Danych Osobowych. Rejestr ten od 25 maja 2018 r. przestaje funkcjonować w związku z utratą w tym zakresie mocy obowiązującej przez ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych. Z tym dniem z mocy ustawy ulegają również umorzeniu postępowania dotyczące rejestracji administratorów bezpieczeństwa informacji. Decyzje o umorzeniu nie będą wydawane (art. 160 ust. 4 nowej ustawy o ochronie danych osobowych).
Wydłużony termin dla podmiotów zobowiązanych do wyznaczenia inspektora, które przed 25 maja 2018 r. nie powołały ABI
Zarówno administratorzy, jak i podmioty przetwarzające, które przed 25 maja 2018 r. nie powołały ABI, a są zobowiązane do wyznaczenia inspektora ochrony danych na podstawie art. 37 ust. 1 RODO, mają na to czas do 31 lipca 2018 r. (art. 158 ust. 4 i 5 nowej ustawy o ochronie danych osobowych). Taki sam termin mają one na zawiadomienie Prezesa Urzędu o wyznaczeniu inspektora (formularz zawiadomienia: https://www.biznes.gov.pl/opisy-procedur/-/proc/871-zawiadomienie-o-wyznaczeniu-nowego-iod/45).