Nowelizacja ustawy o ochronie danych osobowych – stan na luty 2015  

Nowelizacja przepisów Ustawy o ochronie danych osobowych weszła w życie z dniem 1 stycznia 2015 roku. Nowe regulacje przewidują m.in. trzy nowe rozporządzenia wykonawcze, które w głównej mierze odnoszą się do osoby administratora bezpieczeństwa informacji i sposobu realizacji przez niego ustawowych zadań. Jak na razie doczekaliśmy się jedynie rozporządzenia  w zakresie zgłaszania ABIego do GIODO, o czym pisaliśmy na naszym blogu tutaj: https://blog-daneosobowe.pl/powinienes-wiedziec-nowym-wzorze-zgloszenia-powolania-odwolania-administratora-bezpieczenstwa-informacji/

Tymczasem, mamy już drugą połowę lutego i coraz więcej administratorów bezpieczeństwa informacji, chce znać odpowiedź na pytanie: „Jak w końcu ma wyglądać jawny rejestr zbiorów danych osobowych, do którego prowadzenia zobowiązuje nas ustawodawca?” Art. 36a ust. 9 pkt 2) znowelizowanej Ustawy o ochronie danych osobowych odsyła nas w tej materii właśnie do stosownych przepisów wykonawczych.

Jak wygląda kwestia przygotowania przepisów wykonawczych przez ustawodawcę?

Przetestowałem praktyczne funkcjonowanie przepisów z zakresu dostępu do informacji publicznej i sprawdziłem dla Państwa proces legislacyjny. Wszyscy zresztą możemy to zrobić i na własne oczy zobaczyć proces prawotwórczy: http://mac.bip.gov.pl/projekty-aktow-prawnych/projekt-rozporzadzenia-ministra-administracji-i-cyfryzacji-w-sprawie-sposobu-prowadzenia-przez-administratora-bezpieczenstwa-informacji-rejestru-zbiorow-danych.html

Z całą pewnością widać tu ogromny postęp w zakresie jawności i prawa do informacji. Możemy na własne oczy, nie wychodząc
z domu, zobaczyć jak tworzy się prawo. Możemy sprawdzić, kto i jakie konkretnie miał uwagi do projektu.

Zainteresowane szczegółami osoby – odsyłam do lektury powyższego linka. Ja tymczasem zapraszam do podsumowania aktualnego stanu rzeczy.

Dwa projekty rozporządzenia

Powstały dwa projekty Rozporządzenia w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych. Pierwszy z nich datowany jest na 27 listopada 2014, a drugi na 14 stycznia 2015 roku.

Póki co, GIODO nie ma już żadnych uwag do najnowszego projektu i wszystko wskazuje na to, że w takiej właśnie formie zostanie on finalnie podpisany w formie Rozporządzenia. Pozostają jedynie uwagi zgłaszane prze inne instytucje jak i osoby fizyczne. Jednakże, nawet jeżeli zostaną one uwzględnione, nie zrewolucjonizują dotychczasowego brzmienia aktu.

Jednak podkreślam: Rozporządzenie nie zostało opublikowane w Dzienniku Ustaw i nie jest jeszcze przesądzone, że ostateczny projekt będzie miał brzmienie tożsame z tym z dnia 14 stycznia 2015 roku. Niemniej jednak, wszystko wskazuje na to, że tak właśnie się stanie.

Nowelizacja Ustawy okazała się być dość ciekawym zabiegiem legislacyjnym, rzeczywiście usprawniającym pracę i deregulującym. Przede wszystkim jednak…. dla Generalnego Inspektora Ochrony Danych Osobowych.

Do tej pory, rejestr zbiorów danych był prowadzony przez GIODO. Tymczasem teraz, zgłoszenie ABIego do GIODO, da nam ten przywilej, że nie będziemy musieli rejestrować baz danych niewrażliwych.

Sęk w tym, że teraz to administratorzy bezpieczeństwa informacji, powołani przez administratorów danych osobowych będą musieli  prowadzić przedmiotowy rejestr zbiorów.

Przyjrzyjmy się więc aktualnemu projektowi i zastanówmy nad tym, czy czeka nas w związku z tym dużo dodatkowej pracy.

W jaki sposób udostępnimy rejestr zbiorów danych?

Przypomnijmy, że zgodnie z nowymi przepisami Ustawy, prowadzony przez ABIego rejestr zbiorów danych przetwarzanych przez administratora danych, jest jawny i każdy ma prawo go przeglądać. Jakie zatem możliwości udostępnienia rejestru przewiduje ustawodawca?

Zgodnie z § 5 Rozporządzenia, rejestr możemy udostępnić poprzez: :

1)  stronę internetową,

2)  stanowisko dostępowe w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora.

3)  wersję papierową.

Z czysto technicznego punktu widzenia, najprostsze wydaje się być udostępnianie rejestru zbiorów w wersji papierowej. Zwłaszcza, że przecież dość zbliżony rejestr i tak musi posiadać każdy administrator danych osobowych (jest on elementem Polityki Bezpieczeństwa w myśl Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych).

Z drugiej strony – zamieszczenie rejestru baz danych na stronie internetowej może przełożyć się na wzrost zaufania do nas, jako administratora danych.

Rozwiązanie przewidziane w § 5 ust. 2 tj. stanowisko dostępowe, wydaje się być najmniej praktycznym sposobem udostępniania rejestru zbiorów danych osobowych.

O czym musimy poinformować GIODO i naszych klientów?

Rejestr składa się z wykazu zbiorów danych zawierającego odrębne dla każdego zbioru danych informacje:

1) nazwa zbioru danych;

2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;

3) oznaczenie przedstawiciela administratora danych, o którym mowa w art. 3la ustawy, i adres jego siedziby lub miejsca zamieszkania –
w przypadku wyznaczenia takiego podmiotu;

4) oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy i adres jego siedziby lub miejsca zamieszkania – w przypadku powierzenia przetwarzania danych temu podmiotowi;

5) podstawa prawna upoważniająca do prowadzenia zbioru danych;

6) cel przetwarzania danych w zbiorze;

7) opis kategorii osób, których dane są przetwarzane w zbiorze;

8) zakres danych przetwarzanych w zbiorze;

9) sposób zbierania danych do zbioru, w szczególności informacja czy dane do zbioru są zbierane od osób, których dotyczą, czy z innych źródeł niż osoba, której dane dotyczą;

10) sposób udostępniania danych ze zbioru, w szczególności informacja czy dane ze zbioru są udostępniane podmiotom innym niż upoważnione na podstawie przepisów prawa;

11) oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;

12) informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego.

Wygląda znajomo? Tak – to dokładnie te same informacje, które znajdziemy w jawnym rejestrze prowadzonym przez GIODO. Różnica jest tylko taka, że tym razem rejestr musimy prowadzić my sami.

Dodatkowo w stosunku do każdego ze zbiorów danych określonych w rejestrze, podaje się także datę dokonania wpisu informacji oraz ich ostatniej aktualizacji. Wykreślając zbiór z rejestru należy pamiętać o pozostawieniu w nim nazwy wykreślanego zbioru oraz daty wpisania
i wykreślenia.

O czym jeszcze trzeba pamiętać?

O § 6 Rozporządzenia. Czyli o tym, że:

„Administrator bezpieczeństwa informacji odnotowuje historię zmian w rejestrze zawierającą:

1) informację o rodzaju zmiany (nowy wpis, aktualizacja, wykreślenie);

2) datę dokonania zmiany;

3) informację o zakresie zmiany.”

Podsumowanie

Wychodzi więc na to, że ustawodawca skutecznie outsourcował prowadzenie rejestru baz danych, na ich administratorów, którzy powołali ABIego.

Z całą pewnością są to dodatkowe koszty – przerobienie strony internetowej i bieżąca praca nad aktualizowaniem rejestru.

Korzyści dla administratorów danych? Korzyścią jest brak konieczności zgłaszania zbiorów danych do GIODO. Odpadają więc koszty poczty, aktualizacja i usuwanie zbiorów również będzie prostsze i tańsze. Tym samym ma to być zachęta do powołania administratorów bezpieczeństwa informacji, co uwalnia ADO od obowiązku zgłaszania baz danych zwykłych do GIODO.

Zobaczymy jak przepisy będą funkcjonowały w praktyce. Tymczasem nie pozostaje nam nic innego jak poczekać na publikację finalnej wersji Rozporządzenia i… przygotować się do realizacji kolejnego ustawowego obowiązku.