Nowe projekty rozporządzeń wykonawczych marzec 2015 r.

Nowe projekty rozporządzeń wykonawczych – w pplikoniższym artykule opiszemy najważniejsze zmiany związane z nowymi projektami rozporządzeń do znowelizowanej ustawy o ochronie danych osobowych. W ostatnich dniach na stronie internetowej Rządowego Centrum Legislacji zostały opublikowane nowe projekty rozporządzeń wykonawczych do znowelizowanych przepisów ustawy o ochronie danych osobowych:

 • projekt rozporządzenia Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbioru danych z dnia 13 marca 2015 r. (dalej: „rozporządzenie w sprawie sposobu prowadzenia rejestru zbiorów”)
 • projekt rozporządzenia Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratorów danych z dnia 4 marca 2015 r. (dalej: „rozporządzenie w sprawie zapewnienia przestrzegania przepisów ODO”)

Nowe projekty rozporządzeń wykonawczych: Rozporządzenie w sprawie sposobu prowadzenia rejestru zbiorów

Poprzedni projekt rozporządzenia w sprawie sposobu prowadzenia rejestru zbiorów datowany był na 14 stycznia 2015 r. Analiza obydwu projektów, tj. projektu z 14.01.2015 r. z projektem z 13.03.2015 r.  prowadzi do wniosków, że najważniejszymi zmianami są:

 • rozbudowa możliwości elektronicznego prowadzenia rejestru zbiorów danych osobowych poprzez dodanie do § 5 ust 1 – 3)„przez sporządzenie wydruku z systemu informatycznego administratora danych”, oraz
 • pozostawienie swobody w zakresie sposobu udostępniania rejestru podmiotów, którym administrator danych powierzył do przetwarzania dane osobowe.

W odniesieniu do pierwszej zmiany, administrator bezpieczeństwa informacji będzie miał możliwość, wyboru pomiędzy trzema, a nie dwoma jak było do tej pory sposobami prowadzenia rejestru zbiorów danych osobowych w formie elektronicznej. Oprócz prowadzenie rejestru za pośrednictwem strony internetowej administratora danych i stworzenia miejsca na stanowisku dostępowym w siedzibie administratora danych, możliwe także będzie prowadzenie rejestru przez sporządzenie wydruku z systemu informatycznego administratora danych. Dodanie trzeciej możliwości prowadzenia rejestru ma wymiar praktyczny, bowiem ogranicza możliwość ingerencji osób trzecich w systemy informatyczne administratora danych.

Jeżeli rejestr zbiorów danych osobowych prowadzony jest wyłącznie w formie papierowej to nie zmienia się sposób prowadzenia rejestru podmiotów, którym zostały powierzone dane osobowe do przetwarzania (§ 5 ust. 2 – administrator bezpieczeństwa informacji udostępnia do przeglądania każdemu zainteresowanemu jego treść w siedzibie lub miejsca zamieszkania administratora danych). Natomiast jeśli administrator danych prowadzi rejestr zbiorów danych w formie papierowej i elektronicznej albo tylko w formie elektronicznej to wtedy administrator bezpieczeństwa informacji decyduje o tym jak udostępniane będą informacje o rejestrze podmiotów, którym powierzył dane osobowe do przetwarzania. Może to zrobić w sposób opisany w § 5 ust. 1 lub w sposób określony w § 5 ust. 2, czyli ma możliwość prowadzenia rejestru podmiotów, którym powierzył przetwarzanie danych osobowych w formie papierowej lub elektronicznej. Zatem administrator bezpieczeństwa informacji może np. prowadzić rejestr zbiorów danych w formie elektronicznej ale rejestr podmiotów, którym powierzył przetwarzanie danych osobowych, już w formie papierowej. Oczywiście z punktu widzenia administratora bezpieczeństwa informacji taka regulacja jest korzystniejsza z uwagi na większą elastyczność formy prowadzenia i udostępniania ww. rejestrów.

Inne zmiany w rozporządzeniu w sprawie prowadzenia rejestru zbiorów danych dotyczą technicznych sposobów prowadzenie rejestru (zmiany w § 3 ust. 2-4 projektu) oraz tego, że ABI powinien wpisać zbiór danych do rejestru przed rozpoczęciem przetwarzania danych osobowych (zmiany w § 4 ust. 1 pkt. 1 projektu). Związane są one z dostosowaniem do brzmienia przepisów o ochronie danych osobowych.

Nowe projekty rozporządzeń wykonawczych: Rozporządzenie w sprawie zapewnienia przestrzegania przepisów ODO

W odniesieniu do poprzedniego projektu rozporządzenia w sprawie zapewnienia przestrzegania przepisów odo (projekt z dnia 18 grudnia 2014 r.) w nowym projekcie:

 • zostały zmienione definicje pojęć „sprawdzenia” i „sprawozdania” wymienione w § 2 pkt. 3 i 4 projektu rozporządzenia, zmiana ta ma charakter techniczny, eliminujący niepotrzebne elementy definicji;
 • pojęcie „sprawdzenie pozaplanowego” zostało zastąpione pojęciem „sprawdzenia doraźnego”, także zostały wyodrębnione trzy tryby sprawdzenia: planowane, doraźne i na wniosek GIODO (we wcześniejszym projekcie przewidywano tylko dwa tryby: na wniosek GIODO i dla administratora danych. W ramach tego drugiego można było wyodrębnić sprawdzenie planowane i pozaplanowane).
 • zaszły zmiany w zakresie planu sprawdzeń (§ 3 pkt. 3-8 projektu rozporządzenia), których większość ma charakter redakcyjny. Zwrócić jednak należy uwagę na nowy § 3 ust. 6, zgodnie z którym „zbiory danych oraz systemy informatyczne służące do przetwarzania danych osobowych powinny być objęte sprawdzeniem co najmniej raz na dwa lata”.
 • został usunięty obowiązek sporządzania przez ABI programu sprawdzenia (§ 4 ust. 2 starego projektu rozporządzenia), jednak ABI przed każdym sprawdzeniem musi określić sposób i zakres dokumentowania sprawdzenia niezbędny do oceny zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz do opracowania sprawozdania (§ 4 ust. 1 nowego projektu rozporządzenia);
 • zostały zmodyfikowane przepisy dotyczące zakresu czynności, jakie może w toku sprawdzenia podejmować ABI i sposobu ich dokumentowania. Zniknęła m.in. konieczność protokołowania niektórych czynności (np. ustne wyjaśnienia, czy oględziny), które to będą znajdowały się w jednej notatce, a nie odrębnym protokole. Postanowienia, iż ABI „może dokumentować” podejmowane czynności zostały zastąpione stwierdzeniem, iż ABI „dokumentuje” te czynności. Zmiana ta eliminuje potencjalną dobrowolność;
 • usunięta została możliwość wystąpienia o wydanie opinii przez osobę posiadającą wiedzę specjalistyczną (§ 4 ust. 8 starego projektu rozporządzenia), co nie oznacza, że ABI o taką opinie nie może wystąpić;
 • obowiązek zawiadomienia o zakresie sprawdzenia został przesunięty z osoby objętej sprawdzeniem na kierownika jednostki organizacyjnej objętej sprawdzeniem (§ 5 ust. 2 projektu rozporządzenia);
 • usunięty został obowiązek podpisywania sprawozdania w formie elektronicznej bezpiecznym podpisem elektronicznym lub profilem zaufanym ePUAP (§ 6 ust. 2 projektu rozporządzenia);
 • usunięty został obowiązek przechowywania dokumentów przeprowadzonego sprawdzenia przez okres 5 lat od dnia ich sporządzenia (§ 7 projektu rozporządzenia);
 • zmieniony został zakres nadzoru nad środkami technicznymi i organizacyjnymi poprzez zastąpienie słowa „skuteczności” słowami „zgodności ze stanem faktycznym” (§ 8 pkt. 4 projektu rozporządzenia);
 • ABI zyskał możliwość przeprowadzania weryfikacji dokumentacji ochrony danych osobowych na podstawie zgłoszeń osób trzecich (§ 8 ust. 3 nowego projektu rozporządzenia);
 • Usunięte zostały wszystkie przepisy przejściowe, m.in. te mówiące o wyłączeniu spełnienia wymagań w razie wdrożenia normy ISO 27001;

Zaproponowane zmiany w rozporządzeniu w sprawie zapewnienia przestrzegania przepisów o ochronie danych osobowych należy ocenić pozytywnie, bowiem projektodawca dostosował w końcu projekt rozporządzenia do wymogów wynikających z dyspozycji art. 36 ust. 9 pkt. 1 ustawy o ochronie danych osobowych. Nie oznacza to jednak, że nie ustrzegł się błędów, jakim jest m.in. fakt, że pomimo usunięcia § 7 nie zmieniono numeracji kolejnych paragrafów. Myślę, że nie jest to ostateczne treść Rozporządzenia i należy oczekiwać kolejnej.

Prawa konsumenta, prawo telekomunikacyjne i ochrona danych osobowych

8434517638_652886fc96_zUstawa z 30 maja 2014 r. o prawach konsumenta (Dz. U. z 2014 r. poz. 827), która weszła w życie 25 grudnia 2014 r. wprowadziła szereg nowych uregulowań, które nadały konsumentom określone uprawnienia, a na przedsiębiorców nałoży z drugiej strony konkretne obowiązki. Ciekawym miejscem, gdzie można dowiedzieć się o zmianach jest podstrona internetowa dostępna w serwisie Urzędu Ochrony Konkurencji i Konsumentów http://www.prawakonsumenta.uokik.gov.pl/. Chciałbym jednak poświęcić chwilę nie na temat uprawnień konsumentów i obowiązków przedsiębiorców, bo dużo jest opracowań w tym zakresie, a na temat zmian jakie ustawa o prawach konsumenta wprowadziła w odniesieniu do Prawa telekomunikacyjnego, a które to są związane z obowiązkami w zakresie ochrony danych osobowych.

Zasadniczą wątpliwością jaka się pojawiła, to kwestia relacji Prawa telekomunikacyjnego i ustawy o prawach konsumenta, gdyż abonent usług telekomunikacyjnych, niebędący przedsiębiorcą jest jednocześnie konsumentem, a w związku z powyższym do zawierania z takimi osobami umów o świadczenie usług należy stosowań obydwie ustawy.

 Kolejną istotną kwestią jest to, że ustawa o prawach konsumenta zmieniła art. 172 Prawa telekomunikacyjnego. Zmiana polega na tym, że dotychczas brzmiący artykuł 172 w ust. 1 Prawa telekomunikacyjnego mówi o tym, że

zakazane jest używanie automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba, że abonent lub użytkownik uprzednio wyraził na to zgodę,

został zmieniony w ten sposób, że zakazano również używania „telekomunikacyjnych urządzeń końcowych”. Ponadto do art. 172 Prawa telekomunikacyjnego został dodany ust. 3 mówiący o tym, że używania „telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących” dla celów marketingu bezpośredniego nie może odbywać się na koszt konsumenta. Zmiana ma charakter porządkowy, dostosowujący do przepisów ustawy o prawach konsumenta, której zasadniczym celem jest określenie praw przysługujących konsumentowi. Konsekwencją niezastosowania się do tego przepisu może być nałożenie przez Prezesa Urzędu Komunikacji Elektronicznej kary pieniężnej (art. 209 ust. 1 Prawa telekomunikacyjnego).

Praktycznym wymiarem wprowadzonych w art. 172 Prawa Telekomunikacyjnego zmian, jest kwestia związana z tym, jak po zmianach legalnie wykonywać telefony, podczas których będzie możliwość przedstawienia oferty marketingowej. Przepis art. 172 Prawa telekomunikacyjnego wyraźnie wskazuje ma to, że zgoda musi być wyrażona „uprzednio”  W mojej opinii przedstawianie oferty marketingowej za pomocą telefonu możliwe będzie w sytuacji, w której zdobędziemy zgodę przed wykonaniem pierwszego telefonu w tej sprawie.

Konsekwencją praktyczną dla przedsiębiorcy, który chce legalnie działać w obrocie prawnym w aspekcie marketingu jest powiększenie katalogu obowiązku jakie musi wykonać. Jeżeli zatem przedsiębiorca chciałby oferować klientowi lub potencjalnemu klientowi swoje produkty lub usługi musi:

 • Posiadać podstawę do przetwarzania danych osobowych w celach marketingowych (art. 23 ustawy o ochronie danych osobowych) i dopełnić obowiązku informacyjnego (art. 24 lub 25 ustawy o ochronie danych osobowych);
 • Posiadać zgodę na wysyłanie informacji handlowych drogą elektroniczną – tj. za pośrednictwem maila lub sms-owo (art. 10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną);
 • Posiadać zgodę na wykonywanie telefonicznych połączeń w związku z działalnością marketingową (art. 172 ust. 3 ustawy Prawo Telekomunikacyjne).