Do maja 2018 roku wiele firm i instytucji korzystało z usług Administratora Bezpieczeństwa Informacji (ABI). Po wejściu w życie RODO (Rozporządzenia UE 2016/679) funkcja ABI została zastąpiona przez Inspektora Ochrony Danych (IOD).

Co oznacza to w praktyce? Jak wyglądało przejęcie obowiązków ABI przez IOD i co powinni wiedzieć przedsiębiorcy?

ABI a IOD – jaka jest różnica?

ABI (Administrator Bezpieczeństwa Informacji) działał na podstawie przepisów poprzedniej ustawy o ochronie danych osobowych z 1997 r.

Z dniem 25 maja 2018 r. funkcja ABI została wygaszona, a jego obowiązki – z modyfikacjami – przejął IOD, czyli Inspektor Ochrony Danych, powoływany już w oparciu o RODO.

Porównanie funkcji	ABI (przed 2018)	IOD (po RODO)
Podstawa prawna	Ustawa o ochronie danych (1997)	RODO (UE 2016/679)
Status prawny	Osoba zgłaszana do GIODO	Obowiązkowo lub fakultatywnie powoływany przez ADO
Zakres obowiązków	Rejestracja zbiorów, nadzór	Doradztwo, audyty, kontakt z UODO
Wymogi formalne	Brak szczegółowych	Wymagana wiedza fachowa i niezależność

Jak wyglądało przejęcie obowiązków ABI?

Proces był automatyczny – ABI powołani przed 25 maja 2018 r. automatycznie stali się IOD-ami, ale tylko na określony czas (do 1 września 2018 r.), o ile administrator danych nie zrezygnował z ich usług.

Po tym okresie każdy podmiot musiał samodzielnie zdecydować, czy powołuje IOD-a i zgłosić to do Prezesa Urzędu Ochrony Danych Osobowych (UODO).

Kiedy trzeba powołać IOD?

Zgodnie z art. 37 RODO, IOD musi być powołany, jeśli:

1. Administratorem danych jest organ publiczny lub podmiot publiczny (z wyjątkiem sądów)
2. Główna działalność administratora polega na regularnym i systematycznym monitorowaniu osób na dużą skalę
3. Przetwarzane są dane wrażliwe (np. zdrowotne, biomedyczne) na dużą skalę

Dla innych podmiotów – powołanie IOD jest dobrowolne, ale często zalecane.

Jakie obowiązki przejął IOD po ABI?

IOD przejął część obowiązków ABI, ale jego rola jest szersza i silniej osadzona w strukturze organizacji. Do głównych zadań IOD-a należą:

• informowanie i doradzanie administratorowi oraz pracownikom
• monitorowanie przestrzegania RODO
• szkolenie personelu
• współpraca z UODO
• pełnienie funkcji punktu kontaktowego dla organu nadzorczego i osób, których dane dotyczą

Praktyczne konsekwencje dla firm

• Jeśli Twoja firma korzystała wcześniej z ABI – nie oznacza to automatycznego spełnienia obowiązków z RODO
• IOD musi posiadać fachową wiedzę prawną i techniczną
• Powołanie IOD-a to nie tylko formalność, ale realna odpowiedzialność – także karna i cywilna
• Warto mieć jasny zakres obowiązków IOD-a (np. w umowie lub regulaminie)

Co warto zrobić dziś?

• Sprawdź, czy Twoja organizacja ma obowiązek powołania IOD-a
• Jeśli już go powołałaś – upewnij się, że zakres jego obowiązków jest zgodny z RODO
• Przeanalizuj, czy Twoja firma realnie korzysta z jego wiedzy i kompetencji, czy jedynie „odfajkowuje obowiązek”

Podsumowanie

• Funkcja ABI przestała istnieć z dniem 25 maja 2018 r.
• Obowiązki ABI przejął IOD, ale jego zadania są szersze i bardziej złożone
• Powołanie IOD-a jest obowiązkowe tylko w określonych przypadkach – w innych warto rozważyć to jako formę zabezpieczenia
• Formalne przejęcie obowiązków ABI nie oznacza automatycznego dostosowania do RODO – potrzebne są działania dostosowawcze

Potrzebujesz pomocy przy powołaniu IOD-a, audycie zgodności z RODO lub przygotowaniu umów i dokumentacji?
Skontaktuj się z naszą kancelarią – wspieramy zarówno małe firmy, jak i instytucje publiczne.