b. W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wy- konuje administrator danych.

Art. 36c. Sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, powinno zawierać:
1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania;
2) imię i nazwisko administratora bezpieczeństwa informacji;
3) wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;
4) datę rozpoczęcia i zakończenia sprawdzenia;
5) określenie przedmiotu i zakresu sprawdzenia;
6) opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
7) stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem;
8) wyszczególnienie załączników stanowiących składową część sprawozdania;
9) podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej – dodat- kowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania;
10) datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.”;
5) tytuł rozdziału 6 otrzymuje brzmienie: „Rejestracja zbiorów danych osobowych oraz administratorów bezpieczeństwa informacji”;
6) art. 40 otrzymuje brzmienie: „Art. 40. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 i 1a.”;
7) w art. 43:
a) w ust. 1 w pkt 11 kropkę zastępuje się średnikiem i dodaje się pkt 12 w brzmieniu: „12) przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1.”,
b) po ust. 1 dodaje się ust. 1a w brzmieniu: „1a. Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ust. 2.”;
8) po art. 46a dodaje się art. 46b–46f w brzmieniu: „Art. 46b. 1. Administrator danych jest obowiązany zgłosić do rejestracji Generalnemu Inspektorowi powoła- nie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania. 2. Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji powinno zawierać:
1) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyj- ny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
2) dane administratora bezpieczeństwa informacji:
a) imię i nazwisko,
b) numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsa- mość,
c) adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 1;
3) datę powołania;
4) oświadczenie administratora danych o spełnianiu przez administratora bezpieczeństwa informacji warunków określonych w art. 36a ust. 5 i 7. 3. Zgłoszenie odwołania administratora bezpieczeństwa informacji powinno zawierać:
1) dane, o których mowa w ust. 2 pkt 1 i pkt 2 lit. a i b;
2) datę i przyczynę odwołania. 4. Na żądanie administratora danych lub administratora bezpieczeństwa informacji Generalny Inspektor wydaje zaświadczenie o zarejestrowaniu administratora bezpieczeństwa informacji. 5. Administrator danych jest obowiązany zgłosić Generalnemu Inspektorowi zmianę informacji objętych zgło- szeniem, o którym mowa w ust. 2, w terminie 14 dni od dnia zmiany. Do zgłaszania zmian stosuje się odpowiednio przepisy o zgłoszeniu powołania administratora bezpieczeństwa informacji.

Art. 36. Do postępowań rejestracyjnych prowadzonych przez Generalnego Inspektora Ochrony Danych Osobowych na podstawie zgłoszeń, o których mowa w art. 41 ust. 1 i 2 ustawy zmienianej w art. 9, wszczętych i niezakończonych przed dniem wejścia w życie niniejszej ustawy stosuje się przepisy dotychczasowe.