Zdarzenie

ABI wg aktualnej ustawy o ochronie danych osobowych

IOD wg RODO

Kto może powołać?

Administrator danych (art. 36a ustawy)

a) administrator,

b) podmiot przetwarzający dane,

c) zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających (tylko w sytuacji kiedy można dobrowolnie wyznaczyć IOD) – art. 37 RODO

Powołanie – możliwość czy obowiązek?

Od 1 stycznia 2015 r. administrator danych może (nie musi) powołać administratora bezpieczeństwa informacji – ABI (art. 36a ust. 1 ustawy), a w przypadku jego niepowołania sam realizuje jego zadania (art. 36b ustawy). Oznacza to, że od decyzji administratora zależy, czy on sam podejmie się realizacji zadań ABI, czy powoła w tym celu konkretną osobę. ADO nie jest ABI i nie może się nim wyznaczyć. Wykonuje tylko jego zadania jeżeli ABI nie zostanie powołany.

RODO nie nakłada generalnego obowiązku powołania inspektora ochrony danych (IOD), ale przewiduje trzy wyjątki, w których powołanie IOD jest obligatoryjne.

Zgłoszenie powołania/

wyznaczenia

Jeżeli dotychczas nie funkcjonował ABI, jego powołanie należy zgłosić w terminie 30 dni od dnia powołania do GIODO. Wzór zgłoszenia określa rozporządzenie Ministra Administracji i Cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji .