Komentarz PKPP Lewiatan do zmian proponowanych w ustawie o ochronie danych osobowych.

W przedstawionym przez Ministerstwo Gospodarki projekcie założeń do projektu ustawy o redukcji niektórych obciążeń w gospodarce (tzw. trzecia ustawa deregulacyjna) zaproponowano m.in. wprowadzenie zmian w ustawie o ochronie danych osobowych.

Najważniejszą z nich jest propozycja wyłączenia obowiązku rejestracji zbiorów danych osobowych wobec administratorów danych, którzy powołali w swoich firmach administratora bezpieczeństwa informacji (ABI) i zgłosili go do Generalnego Inspektora Ochrony Danych Osobowych. Ponadto, projekt założeń zapowiada wzmocnienie statusu ABI i upoważnienie go do przeprowadzania kontroli wewnętrznych.

Ze względu na duży stopień ogólności projektu założeń przedstawione przez PKPP Lewiatan uwagi mają charakter wstępny i jedynie wskazują kierunek, w jakim propozycje powinny zmierzać na dalszym etapie prac. Ich odbiór jest w pewniej mierze zdeterminowany trwającą obecnie rewizją unijnych ram prawnych , która z deregulacją ma niewiele wspólnego.

Wyłączenie obowiązku rejestracyjnego wobec niektórych administratorów danych

Zdaniem PKPP Lewiatan wyłączenie obowiązku rejestracji wobec administratorów, którzy powołali i zgłosili do Generalnego Inspektora Ochrony Danych Osobowych administratora bezpieczeństwa informacji oraz wobec przetwarzających dane w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych należy ocenić pozytywnie. Gromadzone dotąd w rejestrze prowadzonym przez GIODO informacje na temat zbiorów danych osobowych nie przyczyniały się do zwiększenia bezpieczeństwa danych, nakładając jednocześnie obowiązki związane z rejestracją i jej aktualizacją na przedsiębiorców oraz na biuro Generalnego Inspektora. Zapewnie największym plusem zniesienia tego obowiązku będzie częściowe uwolnienie GIODO z obowiązku prowadzenia tego rejestru, co należy docenić. Trudno jednak zgodzić się ze stwierdzeniem, że proponowana zmiana doprowadzi do znacznego zmniejszenia kosztów przedsiębiorców, gdyż sama rejestracja takich kosztów prawie nie generuje. Dla administratorów danych zdecydowanie większym problemem są nieprzystające do obecnych technologii i do dynamiki ich rozwoju wymagania nałożone przez rozporządzenie w sprawie systemów przetwarzania danych oraz czasochłonny obowiązek prowadzenia dokumentacji upoważnień do przetwarzania danych. Wydaje się także, że niezależnie od zaproponowanego wyłączenia ułatwieniem dla administratorów, u których stanowisko ABI nie występuje, mogłoby być uproszczenie formularza służącego do rejestracji zbiorów.

Projekt założeń zapowiada określenie w przepisach wykonawczych sposobu prowadzenia uproszczonego rejestru zbiorów danych oraz wzoru zgłoszenia administratora bezpieczeństwa informacji do rejestracji Generalnemu Inspektorowi. Od treści tych aktów będzie zależało to, czy proponowane zmiany „zderegulują” przepisy dotyczące ochrony danych osobowych czy jedynie zastąpią obecnie funkcjonujące przepisy nowymi, wymuszającymi zmiany w systemach informatycznych i procedurach operacyjnych administratorów danych wprowadzając związany z tym stan niepewności prawnej. Warto wspomnieć, że zmiany w zarejestrowanych już zbiorach nie są w praktyce dokonywane zbyt często, nie jest to więc kosztowny ani czasochłonny proces. Przykładowo, spółka Nasza klasa, zbiór danych przetwarzanych w portalu nk.pl, w ciągu ostatnich 3 lat aktualizowała w Rejestrze tylko dwa razy. Formułując dalsze przepisy dotyczące zgłoszenia administratora bezpieczeństwa informacji go GIODO należy zapewnić, by katalog przekazywanych informacji nie był nadmierny i nie doprowadził do obowiązku raportowania do GIODO każdej zmiany dotyczącej ABI.

Biorąc pod uwagę deregulacyjny rodowód proponowanych zmian należy zauważyć, że wyłączając obowiązek rejestracji zbiorów wobec administratorów, którzy powołali ABI, w praktyce znosimy ten obowiązek jedynie wobec dużych przedsiębiorstw, w których ABI z reguły funkcjonuje i gdzie rejestracja zbioru z reguły nie rodzi trudności. Nie ułatwiamy jednak prowadzenia działalności MŚP, w których obowiązki wynikające z ustawy o ochronie danych osobowych realizuje zazwyczaj administrator danych, wykonując jednocześnie główny przedmiot swojej działalności. Wydaje się, że wiele małych i mikroprzedsiębiorstw przetwarza dane w systemach informatycznych, więc nie skorzystają one z żadnego z wyłączeń proponowanych w ustawie deregulacyjnej.

Rejestracja ABI w GIODO i upoważnienie go do prowadzenia kontroli

Zmiana statusu ABI

W kontekście zaproponowanych przez Komisję Europejską zmian w unijnych przepisach dotyczących ochrony danych osobowych pewne zaniepokojenie budzi zapowiedź wzmocnienia statusu ABI, który w projekcie unijnym wyrasta na nowy zawód regulowany i będzie cieszyć się niezależnością, której nie da się pogodzić z podległością wynikającą ze stosunku pracy. Doceniając zapowiedź doprecyzowania statusu ABI i rozumiejąc, że jego powołanie jest w obowiązującej dyrektywie przesłanką do zwolnienia z obowiązku rejestracji zbiorów, należy wyraźnie podkreślić, że polska ustawa nie powinna naśladować proponowanych w akcie unijnym rozwiązań, które doprowadziłyby do utworzenia nowej grupy zawodowej, będącej w praktyce utrzymywaną przez przedsiębiorcę i osadzoną w strukturze firmy jednostką GIODO.

Kontrole wewnętrzne

Propozycja 2.30 załącznika do założeń do projektu ustawy deregulacyjnej wspomina o przyznaniu ABI kompetencji do dokonania kontroli wewnętrznych. Przy założeniu, że zlecałby je GIODO takie postanowienie rodzi obawy co do zwiększenia częstotliwości tych kontroli oraz zwielokrotnienia czasochłonnych obowiązków sprawozdawczych i związanych z tym kosztów dla przedsiębiorców.

Jeżeli założeniem prawodawcy jest oparcie polityk ochrony danych w większej mierze na wewnętrznych regulacjach administratorów, konieczne będzie zapewnienie by zgodnie z postanowieniami obowiązującej dyrektywy nacisk położony był na zapewnienie przez ABI stosowania przepisów prawa przez administratora, a nie na „produkowanie” przez niego dokumentacji kontrolnych. Warto dodać, że dyrektywa 95/46 nie uzależnia możliwości zwolnienia administratora danych z obowiązku rejestracji zbiorów od upoważnienia ABI do dokonywania kontroli wewnętrznych.

Obecnie ze względów kadrowych i finansowych biuro GIODO jest w stanie sprawdzić stosunkowo niewielką część wszystkich skarg (ze statystyk przedstawionych na stronie tego urzędu wynika iż na 1272 zgłoszone skargi w 2011r., dokonano 199 kontroli). Konkretyzując propozycje ustawy deregulacyjnej konieczne jest zapewnienie, żeby ciężar i koszty przeprowadzenia pozostałych kontroli nie zostały przeniesione na przedsiębiorców. Na dalszych etapach prac nad ustawą konieczne będzie określenie maksymalnej częstotliwości kontroli lub przesłanek jej zlecenia oraz doprecyzowanie, że zlecenie wykonania kontroli wewnętrznej przez administratora danych wyłączy kontrolę GIODO. W przeciwnym razie założenia ustawy deregulacyjnej paradoksalnie przerzucą koszty kontroli ochrony danych na przedsiębiorców, a z zatrudnianego przez nich pracownika uczynią funkcjonującą w strukturach przedsiębiorstwa komórkę kontrolną GIODO.

Opracowała: Magdalena Piech – PKPP Lewiatan


 

dyplom
Wielkopolski Związek Pracodawców Lewiatan
ul. Grunwaldzka 104
60-307 Poznań
tel. 61 657 60 51
tel. 691 98 68 68
biuro@wzp.org.pl
www.wzp.org.pl
konfederacja lewiatan
Copyright by MindsEater