Rejestr zbiorów danych – nowe rozporządzenie już obowiązuje

Nowe rozporządzenie w sprawie rejestru zbiorów danych już obowiązuje! W dniu 26 maja 2015 r. weszło w życie wyczekiwane od stycznia tego roku rozporządzenie w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych. Rejestr zbiorów danych w pewnym sensie rekompensuje fakt ograniczenia obowiązku rejestracji zbiorów danych osobowych.

rejestr-zbiorówW § 1 określony jest zakres przedmiotowy rozporządzenia. Formułuje ono sposób prowadzenia rejestru zbiorów danych, o którym mowa w art. 36a ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Zakres obowiązków ABI możemy podzielić na dwie grupy. Po pierwsze są to czynności związane z zapewnieniem przestrzegania przepisów o ochronie danych osobowych oraz drugie odnoszące się z rejestracją zbiorów danych osobowych. Te drugie obowiązki szczegółowo opisane są w rozporządzeniu. Poniżej prezentujemy najważniejsze założenia tego rozporządzenia.

W § 3 rozporządzenia odnajdujemy zakres informacji jakie powinny być zidentyfikowane w przypadku każdego zbioru danych. Brak jest w nim różnic w odniesieniu do projektu z dnia 13 marca 2015 r. Zakres informacji jakie powinny znaleźć się w rejestrze zbiorów opisany został w artykule: Nowe projekty rozporządzeń wykonawczych marzec 2015.

W § 4 rozporządzenia wskazany jest katalog uprawnień przysługujący ABI, który:

  1. wpisuje zbiór danych do rejestru przed rozpoczęciem przetwarzania w zbiorze danych;
  2. aktualizuje informacje dotyczące zbioru danych w rejestrze – w przypadku zmiany informacji objętych wpisem;
  3. wykreśla zbiór danych z rejestru – w przypadku zaprzestania przetwarzania w nim danych osobowych;
  4. udostępnia rejestr do przeglądania

Warto również wspomnieć, iż ABI odnotowuje każdorazową zmianę w historii rejestru (wskazuje on na informacje o zmianie, jej dacie oraz zakresie). Uprawnienia, zatem w tym zakresie możemy określić jako funkcje kontrolną, uzupełniającą oraz informującą.

Szeroki wachlarz uprawnień wynika również z kolejnych postanowień, w myśl których kiedy mamy do czynienia z prowadzeniem rejestru w postaci elektronicznej administrator bezpieczeństwa informacji udostępnia rejestr do przeglądania:

  1. na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru, lub
  2. na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora, lub
  3. przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.

Ponadto, w przypadku prowadzenia rejestru w postaci papierowej administrator bezpieczeństwa informacji udostępnia każdemu zainteresowanemu treść rejestru do przeglądania w siedzibie lub miejscu zamieszkania administratora danych

Pewne rozszerzenie w porównaniu do rozporządzenia z 13 marca 2015 r. odnajdujemy w § 5 ust. 3. Nowe rozporządzenie dot. rejestru zbiorów danych określa, iż w przypadku prowadzenia rejestru wyłącznie w postaci elektronicznej albo w postaci papierowej i postaci elektronicznej administrator bezpieczeństwa informacji może zdecydować, że w odniesieniu do informacji, o których mowa w § 3 ust. 1 pkt 4 (oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy o ochronie danych osobowych i adres jego siedziby lub miejsca zamieszkania – w przypadku powierzenia przetwarzania danych temu podmiotowi) w postaci elektronicznej udostępnia się do przeglądania wyłącznie informacje o powierzeniu przetwarzania danych innemu podmiotowi, a jego oznaczenie i adres siedziby lub miejsca zamieszkania są udostępniane do przeglądania jedynie w przypadku prowadzenia rejestru w postaci papierowej. Wtedy to administrator bezpieczeństwa informacji udostępnia każdemu zainteresowanemu treść rejestru do przeglądania w siedzibie lub miejscu zamieszkania administratora danych. Wynika z tego, że rejestr zbiorów danych pełni funkcję informacyjną wpisując się w nowe trendy w zakresie przepisów o ochronie danych osobowych.

Nowe projekty rozporządzeń wykonawczych marzec 2015 r.

Nowe projekty rozporządzeń wykonawczych – w pplikoniższym artykule opiszemy najważniejsze zmiany związane z nowymi projektami rozporządzeń do znowelizowanej ustawy o ochronie danych osobowych. W ostatnich dniach na stronie internetowej Rządowego Centrum Legislacji zostały opublikowane nowe projekty rozporządzeń wykonawczych do znowelizowanych przepisów ustawy o ochronie danych osobowych:

  • projekt rozporządzenia Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbioru danych z dnia 13 marca 2015 r. (dalej: „rozporządzenie w sprawie sposobu prowadzenia rejestru zbiorów”)
  • projekt rozporządzenia Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratorów danych z dnia 4 marca 2015 r. (dalej: „rozporządzenie w sprawie zapewnienia przestrzegania przepisów ODO”)

Nowe projekty rozporządzeń wykonawczych: Rozporządzenie w sprawie sposobu prowadzenia rejestru zbiorów

Poprzedni projekt rozporządzenia w sprawie sposobu prowadzenia rejestru zbiorów datowany był na 14 stycznia 2015 r. Analiza obydwu projektów, tj. projektu z 14.01.2015 r. z projektem z 13.03.2015 r.  prowadzi do wniosków, że najważniejszymi zmianami są:

  • rozbudowa możliwości elektronicznego prowadzenia rejestru zbiorów danych osobowych poprzez dodanie do § 5 ust 1 – 3)„przez sporządzenie wydruku z systemu informatycznego administratora danych”, oraz
  • pozostawienie swobody w zakresie sposobu udostępniania rejestru podmiotów, którym administrator danych powierzył do przetwarzania dane osobowe.

W odniesieniu do pierwszej zmiany, administrator bezpieczeństwa informacji będzie miał możliwość, wyboru pomiędzy trzema, a nie dwoma jak było do tej pory sposobami prowadzenia rejestru zbiorów danych osobowych w formie elektronicznej. Oprócz prowadzenie rejestru za pośrednictwem strony internetowej administratora danych i stworzenia miejsca na stanowisku dostępowym w siedzibie administratora danych, możliwe także będzie prowadzenie rejestru przez sporządzenie wydruku z systemu informatycznego administratora danych. Dodanie trzeciej możliwości prowadzenia rejestru ma wymiar praktyczny, bowiem ogranicza możliwość ingerencji osób trzecich w systemy informatyczne administratora danych.

Jeżeli rejestr zbiorów danych osobowych prowadzony jest wyłącznie w formie papierowej to nie zmienia się sposób prowadzenia rejestru podmiotów, którym zostały powierzone dane osobowe do przetwarzania (§ 5 ust. 2 – administrator bezpieczeństwa informacji udostępnia do przeglądania każdemu zainteresowanemu jego treść w siedzibie lub miejsca zamieszkania administratora danych). Natomiast jeśli administrator danych prowadzi rejestr zbiorów danych w formie papierowej i elektronicznej albo tylko w formie elektronicznej to wtedy administrator bezpieczeństwa informacji decyduje o tym jak udostępniane będą informacje o rejestrze podmiotów, którym powierzył dane osobowe do przetwarzania. Może to zrobić w sposób opisany w § 5 ust. 1 lub w sposób określony w § 5 ust. 2, czyli ma możliwość prowadzenia rejestru podmiotów, którym powierzył przetwarzanie danych osobowych w formie papierowej lub elektronicznej. Zatem administrator bezpieczeństwa informacji może np. prowadzić rejestr zbiorów danych w formie elektronicznej ale rejestr podmiotów, którym powierzył przetwarzanie danych osobowych, już w formie papierowej. Oczywiście z punktu widzenia administratora bezpieczeństwa informacji taka regulacja jest korzystniejsza z uwagi na większą elastyczność formy prowadzenia i udostępniania ww. rejestrów.

Inne zmiany w rozporządzeniu w sprawie prowadzenia rejestru zbiorów danych dotyczą technicznych sposobów prowadzenie rejestru (zmiany w § 3 ust. 2-4 projektu) oraz tego, że ABI powinien wpisać zbiór danych do rejestru przed rozpoczęciem przetwarzania danych osobowych (zmiany w § 4 ust. 1 pkt. 1 projektu). Związane są one z dostosowaniem do brzmienia przepisów o ochronie danych osobowych.

Nowe projekty rozporządzeń wykonawczych: Rozporządzenie w sprawie zapewnienia przestrzegania przepisów ODO

W odniesieniu do poprzedniego projektu rozporządzenia w sprawie zapewnienia przestrzegania przepisów odo (projekt z dnia 18 grudnia 2014 r.) w nowym projekcie:

  • zostały zmienione definicje pojęć „sprawdzenia” i „sprawozdania” wymienione w § 2 pkt. 3 i 4 projektu rozporządzenia, zmiana ta ma charakter techniczny, eliminujący niepotrzebne elementy definicji;
  • pojęcie „sprawdzenie pozaplanowego” zostało zastąpione pojęciem „sprawdzenia doraźnego”, także zostały wyodrębnione trzy tryby sprawdzenia: planowane, doraźne i na wniosek GIODO (we wcześniejszym projekcie przewidywano tylko dwa tryby: na wniosek GIODO i dla administratora danych. W ramach tego drugiego można było wyodrębnić sprawdzenie planowane i pozaplanowane).
  • zaszły zmiany w zakresie planu sprawdzeń (§ 3 pkt. 3-8 projektu rozporządzenia), których większość ma charakter redakcyjny. Zwrócić jednak należy uwagę na nowy § 3 ust. 6, zgodnie z którym „zbiory danych oraz systemy informatyczne służące do przetwarzania danych osobowych powinny być objęte sprawdzeniem co najmniej raz na dwa lata”.
  • został usunięty obowiązek sporządzania przez ABI programu sprawdzenia (§ 4 ust. 2 starego projektu rozporządzenia), jednak ABI przed każdym sprawdzeniem musi określić sposób i zakres dokumentowania sprawdzenia niezbędny do oceny zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz do opracowania sprawozdania (§ 4 ust. 1 nowego projektu rozporządzenia);
  • zostały zmodyfikowane przepisy dotyczące zakresu czynności, jakie może w toku sprawdzenia podejmować ABI i sposobu ich dokumentowania. Zniknęła m.in. konieczność protokołowania niektórych czynności (np. ustne wyjaśnienia, czy oględziny), które to będą znajdowały się w jednej notatce, a nie odrębnym protokole. Postanowienia, iż ABI „może dokumentować” podejmowane czynności zostały zastąpione stwierdzeniem, iż ABI „dokumentuje” te czynności. Zmiana ta eliminuje potencjalną dobrowolność;
  • usunięta została możliwość wystąpienia o wydanie opinii przez osobę posiadającą wiedzę specjalistyczną (§ 4 ust. 8 starego projektu rozporządzenia), co nie oznacza, że ABI o taką opinie nie może wystąpić;
  • obowiązek zawiadomienia o zakresie sprawdzenia został przesunięty z osoby objętej sprawdzeniem na kierownika jednostki organizacyjnej objętej sprawdzeniem (§ 5 ust. 2 projektu rozporządzenia);
  • usunięty został obowiązek podpisywania sprawozdania w formie elektronicznej bezpiecznym podpisem elektronicznym lub profilem zaufanym ePUAP (§ 6 ust. 2 projektu rozporządzenia);
  • usunięty został obowiązek przechowywania dokumentów przeprowadzonego sprawdzenia przez okres 5 lat od dnia ich sporządzenia (§ 7 projektu rozporządzenia);
  • zmieniony został zakres nadzoru nad środkami technicznymi i organizacyjnymi poprzez zastąpienie słowa „skuteczności” słowami „zgodności ze stanem faktycznym” (§ 8 pkt. 4 projektu rozporządzenia);
  • ABI zyskał możliwość przeprowadzania weryfikacji dokumentacji ochrony danych osobowych na podstawie zgłoszeń osób trzecich (§ 8 ust. 3 nowego projektu rozporządzenia);
  • Usunięte zostały wszystkie przepisy przejściowe, m.in. te mówiące o wyłączeniu spełnienia wymagań w razie wdrożenia normy ISO 27001;

Zaproponowane zmiany w rozporządzeniu w sprawie zapewnienia przestrzegania przepisów o ochronie danych osobowych należy ocenić pozytywnie, bowiem projektodawca dostosował w końcu projekt rozporządzenia do wymogów wynikających z dyspozycji art. 36 ust. 9 pkt. 1 ustawy o ochronie danych osobowych. Nie oznacza to jednak, że nie ustrzegł się błędów, jakim jest m.in. fakt, że pomimo usunięcia § 7 nie zmieniono numeracji kolejnych paragrafów. Myślę, że nie jest to ostateczne treść Rozporządzenia i należy oczekiwać kolejnej.