To już drugi wzór wniosku rejestracyjnego zbioru danych (Dz.U. 2008 r. Nr 229 poz. 1536) wydany przez Ministra Spraw Wewnętrznych i Administracji na podstawie art. 46a ustawy o ochronie danych osobowych. Przepis art. 46a został dodany na mocy art. 1 ust. 1 pkt 28 ustawy z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe. Równocześnie uchylono wtedy art. 45 ustawy o ochronie danych osobowych, który zobowiązywał Ministra właściwego do spraw administracji do określenia:
- podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
- wzoru wniosku o udostępnienie danych osobowych,
- wzoru zgłoszenia zbioru danych do rejestracji,
- wzoru upoważnienia do przeprowadzenia kontroli oraz wzoru legitymacji służbowej Inspektów Biura Generalnego Inspektora Ochrony Danych Osobowych.
Nikt nie spodziewał się rewolucji i zgodnie z oczekiwaniami rewolucja nie nastąpiła. Mimo to, warto przyjrzeć się bliżej zmianom wprowadzonym w nowym wzorze wniosku. Modyfikacje te dotyczą części D (sposób zbierania i udostępniania danych) oraz części E (opisu zastosowanych środków technicznych i organizacyjnych).
Tak do 10 lutego 2009 r. (czas wejścia w życie nowego wzoru wniosku rejestracyjnego) wyglądać będzie wzór wniosku z 2004 r.:
11. Sposób zbierania danych do zbioru:
*[ ] – wyłącznie od osób, których dotyczą,
*[ ] – głównie od osób, których dotyczą,
*[ ] – wyłącznie z innych źródeł,
*[ ] – głównie z innych źródeł,
*[ ] – głównie metodą teletransmisji,
*[ ] – również metodą teletransmisji.
12. Sposób udostępniania danych ze zbioru:
*[ ] – dane będą udostępniane wyłącznie podmiotom upoważnionym na podstawie przepisów prawa,
*[ ] – dane będą udostępniane innym podmiotom,
*[ ] – dane będą udostępniane również drogą teletransmisji.
Nowy wzór wygląda w omawianym fragmencie następująco:
11. Dane do zbioru będą zbierane:
*[ ] – od osób, których dotyczą,
*[ ] – z innych źródeł niż osoba, której dane dotyczą.
12.Dane ze zbioru będą udostępnianie:
*[ ] – podmiotom innym niż upoważnione na podstawie przepisów prawa.
Należy w tym miejscu pochwalić zmianę treści części E wniosku rejestracyjnego. Poprzez jasne sformułowanie kompletnego podziału źródeł danych osobowych na
- osoby których dane dotyczą oraz
- inne źródła niż osoby których dane dotyczą
ustawodawca nie wpadł w pułapkę sztucznego komplikowania sytuacji prostych. Również modyfikacja pkt 12 z podobnych względów zasługuje na całkowitą aprobatę.
Zmianie uległa również część E wniosku. Oto treść wniosku z 2004 r.:
15. Zbiór danych osobowych będzie przetwarzany:
*[ ] – centralnie *[ ] – w architekturze rozproszonej
16. Przedsięwzięcia zastosowane w zakresie:
a) środków ochrony fizycznej danych:
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………….
b) środków sprzętowych, informatycznych i telekomunikacyjnych (nazwy zwyczajowo przyjęte albo symbole norm lub standardów technicznych):
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………….
c) środków ochrony w ramach oprogramowania urządzeń teletransmisji (nazwy zwyczajowo przyjęte albo symbole norm lub standardów technicznych):
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………….
d) środków ochrony w ramach oprogramowania systemów (nazwy zwyczajowo przyjęte albo symbole norm lub standardów technicznych):
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………….
e) środków ochrony w ramach narzędzi baz danych i innych narzędzi programowych (nazwy zwyczajowo przyjęte albo symbole norm lub standardów technicznych):
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………….
f) środków ochrony w ramach systemu użytkowego (nazwy zwyczajowo przyjęte albo symbole norm lub standardów technicznych):
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………….
g) środków organizacyjnych:
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………….
Teraz część E nowego wniosku:
15. Zbiór danych osobowych jest prowadzony:
a) *[ ] – centralnie,
*[ ] – w architekturze rozproszonej,
b) *[ ] – wyłącznie w postaci papierowej,
*[ ] – z użyciem systemu informatycznego,
c) *[ ] – z użyciem co najmniej jednego urządzenia systemu informatycznego służacego do przetwarzania danych osobowych połączonego z siecią publiczną (np. Internetem),
*[ ] – bez użycia żadnego z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych połączonego z siecią publiczną (np. Internetem).16. Zostały spełnione wymogi określone w art. 36 – 39 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych:
a) *[ ] – został wyznaczony administrator bezpieczeństwa informacji nadzorujący przestrzeganie zasad ochrony przetwarzania danych osobowych,
*[ ] – administrator danych sam wykonuje czynności administratora bezpieczeństwa informacji,
b) *[ ] – do przetwarzania danych osobowych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych,
c) *[ ] – prowadzona jest ewidencja osób upoważnionych do przetwarzania danych,
d) *[ ] – została opracowana i wdrożona polityka bezpieczeństwa,
e) *[ ] – została opracowana i wdrożona instrukcja zarządzania systemem informatycznym.f) inne środki, oprócz wymienionych w ppkt a – e, zastosowane w celu zabezpieczenia danych:
…………………………………………………………………………………………
…………………………………………………………………………………………
…………………………………………….
Zacznę od tego, że podobałoby mi się skrócenie części E wzoru wniosku rejestracyjnego, gdyby nie było pozorne. Otóż co z tego, że część E na wniosku zajmuje jedynie pół strony, jeśli tak naprawdę należy zawrzeć te same lub podobne informacje, które należało uwzględnić we wzorze z 2004 r. Pierwszą rzeczą która rzuca się w nowym wzorze w oczy to brak wyliczenia rodzajów środków technicznych i organizacyjnych służących do zabezpieczenia przetwarzania danych osobowych. Niestety ta znienawidzona część nie znika, lecz przenosi się do niepozornie wyglądającego pkt 16 ppkt f, w którym należy wymienić inne środki niż wymienione w pozostałej części E. Biada tym którzy kierując się błachym i nie budzacym trwogi obliczem pkt 16 ppkt f części E postanowią potraktować go po macoszemu. W tym miejscy bowiem należy wymienić wszystkie stosowane przez nas środki techniczne i organizacyjne, które we wniosku z 2004 r. należało wyliczyć w pkt 16 części E.
Moim zdaniem zdecydowanie lepszym rozwiązaniem było pokazywanie przez Ministra palcem jakie stosowane środki ochrony danych powinniśmy wymienić we wniosku rejestracyjnym.
Analogicznie z tych samych powodów jak w pkt 11 i 12, pochwalić należy nową treść pkt 15. Musi się podobać tworzenie i grupowanie pytań w sposób spójny i logiczny, a wyłączający równocześnie możliwość jakiejkolwiek polemiki z jego zasadnością.
Generalnego Inspektora Ochrony Danych Osobowych czeka jeszcze dokonanie zmian na platformie e-GIODO. Jestem ciekawy czy również stamtąd zniknie podział i przykładowe wyliczenie środków technicznych i organizacyjnych.
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.