Nowe projekty rozporządzeń wykonawczych marzec 2015 r.

Nowe projekty rozporządzeń wykonawczych – w pplikoniższym artykule opiszemy najważniejsze zmiany związane z nowymi projektami rozporządzeń do znowelizowanej ustawy o ochronie danych osobowych. W ostatnich dniach na stronie internetowej Rządowego Centrum Legislacji zostały opublikowane nowe projekty rozporządzeń wykonawczych do znowelizowanych przepisów ustawy o ochronie danych osobowych:

  • projekt rozporządzenia Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbioru danych z dnia 13 marca 2015 r. (dalej: „rozporządzenie w sprawie sposobu prowadzenia rejestru zbiorów”)
  • projekt rozporządzenia Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratorów danych z dnia 4 marca 2015 r. (dalej: „rozporządzenie w sprawie zapewnienia przestrzegania przepisów ODO”)

Nowe projekty rozporządzeń wykonawczych: Rozporządzenie w sprawie sposobu prowadzenia rejestru zbiorów

Poprzedni projekt rozporządzenia w sprawie sposobu prowadzenia rejestru zbiorów datowany był na 14 stycznia 2015 r. Analiza obydwu projektów, tj. projektu z 14.01.2015 r. z projektem z 13.03.2015 r.  prowadzi do wniosków, że najważniejszymi zmianami są:

  • rozbudowa możliwości elektronicznego prowadzenia rejestru zbiorów danych osobowych poprzez dodanie do § 5 ust 1 – 3)„przez sporządzenie wydruku z systemu informatycznego administratora danych”, oraz
  • pozostawienie swobody w zakresie sposobu udostępniania rejestru podmiotów, którym administrator danych powierzył do przetwarzania dane osobowe.

W odniesieniu do pierwszej zmiany, administrator bezpieczeństwa informacji będzie miał możliwość, wyboru pomiędzy trzema, a nie dwoma jak było do tej pory sposobami prowadzenia rejestru zbiorów danych osobowych w formie elektronicznej. Oprócz prowadzenie rejestru za pośrednictwem strony internetowej administratora danych i stworzenia miejsca na stanowisku dostępowym w siedzibie administratora danych, możliwe także będzie prowadzenie rejestru przez sporządzenie wydruku z systemu informatycznego administratora danych. Dodanie trzeciej możliwości prowadzenia rejestru ma wymiar praktyczny, bowiem ogranicza możliwość ingerencji osób trzecich w systemy informatyczne administratora danych.

Jeżeli rejestr zbiorów danych osobowych prowadzony jest wyłącznie w formie papierowej to nie zmienia się sposób prowadzenia rejestru podmiotów, którym zostały powierzone dane osobowe do przetwarzania (§ 5 ust. 2 – administrator bezpieczeństwa informacji udostępnia do przeglądania każdemu zainteresowanemu jego treść w siedzibie lub miejsca zamieszkania administratora danych). Natomiast jeśli administrator danych prowadzi rejestr zbiorów danych w formie papierowej i elektronicznej albo tylko w formie elektronicznej to wtedy administrator bezpieczeństwa informacji decyduje o tym jak udostępniane będą informacje o rejestrze podmiotów, którym powierzył dane osobowe do przetwarzania. Może to zrobić w sposób opisany w § 5 ust. 1 lub w sposób określony w § 5 ust. 2, czyli ma możliwość prowadzenia rejestru podmiotów, którym powierzył przetwarzanie danych osobowych w formie papierowej lub elektronicznej. Zatem administrator bezpieczeństwa informacji może np. prowadzić rejestr zbiorów danych w formie elektronicznej ale rejestr podmiotów, którym powierzył przetwarzanie danych osobowych, już w formie papierowej. Oczywiście z punktu widzenia administratora bezpieczeństwa informacji taka regulacja jest korzystniejsza z uwagi na większą elastyczność formy prowadzenia i udostępniania ww. rejestrów.

Inne zmiany w rozporządzeniu w sprawie prowadzenia rejestru zbiorów danych dotyczą technicznych sposobów prowadzenie rejestru (zmiany w § 3 ust. 2-4 projektu) oraz tego, że ABI powinien wpisać zbiór danych do rejestru przed rozpoczęciem przetwarzania danych osobowych (zmiany w § 4 ust. 1 pkt. 1 projektu). Związane są one z dostosowaniem do brzmienia przepisów o ochronie danych osobowych.

Nowe projekty rozporządzeń wykonawczych: Rozporządzenie w sprawie zapewnienia przestrzegania przepisów ODO

W odniesieniu do poprzedniego projektu rozporządzenia w sprawie zapewnienia przestrzegania przepisów odo (projekt z dnia 18 grudnia 2014 r.) w nowym projekcie:

  • zostały zmienione definicje pojęć „sprawdzenia” i „sprawozdania” wymienione w § 2 pkt. 3 i 4 projektu rozporządzenia, zmiana ta ma charakter techniczny, eliminujący niepotrzebne elementy definicji;
  • pojęcie „sprawdzenie pozaplanowego” zostało zastąpione pojęciem „sprawdzenia doraźnego”, także zostały wyodrębnione trzy tryby sprawdzenia: planowane, doraźne i na wniosek GIODO (we wcześniejszym projekcie przewidywano tylko dwa tryby: na wniosek GIODO i dla administratora danych. W ramach tego drugiego można było wyodrębnić sprawdzenie planowane i pozaplanowane).
  • zaszły zmiany w zakresie planu sprawdzeń (§ 3 pkt. 3-8 projektu rozporządzenia), których większość ma charakter redakcyjny. Zwrócić jednak należy uwagę na nowy § 3 ust. 6, zgodnie z którym „zbiory danych oraz systemy informatyczne służące do przetwarzania danych osobowych powinny być objęte sprawdzeniem co najmniej raz na dwa lata”.
  • został usunięty obowiązek sporządzania przez ABI programu sprawdzenia (§ 4 ust. 2 starego projektu rozporządzenia), jednak ABI przed każdym sprawdzeniem musi określić sposób i zakres dokumentowania sprawdzenia niezbędny do oceny zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz do opracowania sprawozdania (§ 4 ust. 1 nowego projektu rozporządzenia);
  • zostały zmodyfikowane przepisy dotyczące zakresu czynności, jakie może w toku sprawdzenia podejmować ABI i sposobu ich dokumentowania. Zniknęła m.in. konieczność protokołowania niektórych czynności (np. ustne wyjaśnienia, czy oględziny), które to będą znajdowały się w jednej notatce, a nie odrębnym protokole. Postanowienia, iż ABI „może dokumentować” podejmowane czynności zostały zastąpione stwierdzeniem, iż ABI „dokumentuje” te czynności. Zmiana ta eliminuje potencjalną dobrowolność;
  • usunięta została możliwość wystąpienia o wydanie opinii przez osobę posiadającą wiedzę specjalistyczną (§ 4 ust. 8 starego projektu rozporządzenia), co nie oznacza, że ABI o taką opinie nie może wystąpić;
  • obowiązek zawiadomienia o zakresie sprawdzenia został przesunięty z osoby objętej sprawdzeniem na kierownika jednostki organizacyjnej objętej sprawdzeniem (§ 5 ust. 2 projektu rozporządzenia);
  • usunięty został obowiązek podpisywania sprawozdania w formie elektronicznej bezpiecznym podpisem elektronicznym lub profilem zaufanym ePUAP (§ 6 ust. 2 projektu rozporządzenia);
  • usunięty został obowiązek przechowywania dokumentów przeprowadzonego sprawdzenia przez okres 5 lat od dnia ich sporządzenia (§ 7 projektu rozporządzenia);
  • zmieniony został zakres nadzoru nad środkami technicznymi i organizacyjnymi poprzez zastąpienie słowa „skuteczności” słowami „zgodności ze stanem faktycznym” (§ 8 pkt. 4 projektu rozporządzenia);
  • ABI zyskał możliwość przeprowadzania weryfikacji dokumentacji ochrony danych osobowych na podstawie zgłoszeń osób trzecich (§ 8 ust. 3 nowego projektu rozporządzenia);
  • Usunięte zostały wszystkie przepisy przejściowe, m.in. te mówiące o wyłączeniu spełnienia wymagań w razie wdrożenia normy ISO 27001;

Zaproponowane zmiany w rozporządzeniu w sprawie zapewnienia przestrzegania przepisów o ochronie danych osobowych należy ocenić pozytywnie, bowiem projektodawca dostosował w końcu projekt rozporządzenia do wymogów wynikających z dyspozycji art. 36 ust. 9 pkt. 1 ustawy o ochronie danych osobowych. Nie oznacza to jednak, że nie ustrzegł się błędów, jakim jest m.in. fakt, że pomimo usunięcia § 7 nie zmieniono numeracji kolejnych paragrafów. Myślę, że nie jest to ostateczne treść Rozporządzenia i należy oczekiwać kolejnej.