Warszawa, 13.03.2015 r. Zestawienie uwag, o których mowa w § 50
Transkrypt
Warszawa, 13.03.2015 r. Zestawienie uwag, o których mowa w § 50
Warszawa, 13.03.2015 r. Zestawienie uwag, o których mowa w § 50 ust. 3 uchwały Rady Ministrów z dnia 29 października 2013 r. – Regulamin Pracy Rady Ministrów – projekt rozporządzenia Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych Prośbę o zaopiniowanie projektu skierowano do: 1) Generalnego Inspektora Ochrony Danych Osobowych (dalej: GIODO); 2) Naczelnego Sądu Administracyjnego (dalej NSA); 3) Kancelarii Prezydenta Rzeczypospolitej Polskiej (dalej: KPRP) oraz 4) Naczelnej Dyrekcji Archiwów Państwowych. Trzy pierwsze z ww. podmiotów przedłożyły MAiC swoje uwagi. Uwaga KPRP została przez MAC uwzględniona. Lp. Podmiot zgłaszający Uwaga Stanowisko Ministerstwa Administracji i Cyfryzacji 1. GIODO (…) uprzejmie informuję, że – w opinii organu do spraw ochrony danych osobowych – zaproponowane brzmienie §1 tego projektu dotknięte jest błędem logicznym zwanym „idem per idem” (użyte w tym przepisie słowo „wykaz” jest synonimem – również użytego – słowa „rejestr”). Celem uniknięcia powyższego błędu Generalny Inspektor Ochrony Danych Osobowych proponuje nadanie § 1 projektu rozporządzenia (…), brzmienia: „Rejestr zbiorów danych, o którym mowa w art. 36a ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwany dalej „rejestrem”, składa się z ksiąg rejestrowych zawierających odrębnie dla każdego zbioru danych informacje określone w § 3.” MAC w projekcie rozporządzenia zdecydował się odejść od modelu opartego o prowadzenie przez administratorów bezpieczeństwa informacji ksiąg rejestrowych. Jednocześnie, MAC pozostał przy następującym brzmieniu paragrafu 1: „Rejestr zbiorów danych, o którym mowa w art. 36a ust. 2 pkt 2 ustawy, zwany dalej „rejestrem", składa się z wykazu zbiorów danych zawierającego odrębnie dla każdego zbioru danych informacje określone w § 3”. Jeżeli projektodawca nie chce używać w projekcie sformułowania „księgi rejestrowe”, § 1 projektu mógłby (alternatywnie) być sformułowany następująco „Rejestr zbiorów danych, o którym mowa w art. 36a ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwany dalej „rejestrem”, zawiera odrębnie dla każdego zbioru danych informacje określone w § 3.”. Pismem z dnia 22 stycznia br. o sygnaturze DOLiS-033306/12/TG/4613/15 GIODO nie zgłosił dalszych uwag do projektu. 2. NSA Jednocześnie wydaje się, że § 4 ust. 2 projektu można dokonać dookreślenia czasu dokonania przez administratora bezpieczeństwa informacji wpisu do rejestru. Obecna propozycja wskazuje, że administrator bezpieczeństwa informacji powinien dokonać niezwłocznie wpisu do rejestru po zaistnieniu zdarzeń ważnych dla treści rejestru, opisanych w § 4 ust. 1 projektu. Określenie „niezwłocznie” może budzić wątpliwości interpretacyjne. Należałoby więc dokładnie oznaczyć ostateczny termin, do którego zdarzenia wymienione w § 4 ust. 1 projektu, powinny być przez administratora bezpieczeństwa informacji wpisane do rejestru, tj.: wskazać termin trzech dni od powstania zdarzenia będącego podstawą wpisu, jako termin maksymalny do dokonania wpisu do rejestru. Nowe brzmienie art. 4 ust. 2 projektu miałoby wówczas następującą treść: „2. Wpisu do rejestru dokonuje się niezwłocznie, nie później niż w terminie trzech dni, po zaistnieniu zdarzenia, o którym mowa w ust. 1, powodującego obowiązek dokonania wpisu”. Takie rozwiązanie powinno rozwiać wątpliwości jak szybko administrator bezpieczeństwa informacji zobowiązany jest dokonywać zmian w rejestrze. W ocenie MAC nie ma konieczności doprecyzowania co oznacza pojęcie „niezwłocznie”. Wydaje się, że w każdym przypadku to czy dopełniono przesłanki „niezwłoczności” powinno być oceniane indywidualnie przez organ nadzorczy. 3. NSA Poważne wątpliwości budzi natomiast § 5 projektu. Przepis ten bowiem reguluje zasady udostępniania rejestru przez administratora bezpieczeństwa danych osobom zainteresowanym. Tymczasem treść zawartego w art. 36a ust. 9 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2014 r., poz. 1182, ze zm.) upoważnienia do wydania rozporządzenia określa jedynie sposób prowadzenia rejestru zbiorów danych. Upoważnienie w żaden sposób nie dotyczy zatem zasad udostępniania rejestru zbioru danych przez administratora bezpieczeństwa informacji. Wydaje się więc, że § 5 projektu powinien zostać skreślony. W ocenie MAC paragraf 5 projektu rozporządzenia realizuje przepis art. 36a ust. 3 ustawy z dnia 29 sieprnia 1997 r. o ochronie danych osobowych.. W § 3 ust. 1 projektu rozporządzenia należy rozważyć zmianę brzmienia pkt 9 i 10, ktore proponuje się zastąpić brzmieniem: „9) sposob zbierania danych do zbioru, poprzez wskazanie czy dane do zbioru zbierane od osób, których dotyczą czy z innych źródeł niż osoba, ktorej dane dotyczą; W ocenie MAC sformułowanie "w szczególności" użyte w § 3 ust. 1 pkt 9 i 10 projektu rozporządzenia zapewnia elastyczność i pozwala administratorom bezpieczeństwa informacji na umieszczanie w rejestrze dodatkowych informacji w zakresie sposobu zbierania danych do zbioru i sposobu udostępniania danych ze zbioru. Ich zakres uzależniony jest od decyzji administratora bezpieczeństwa informacji. 4. GDDKiA Uwaga została podtrzymana pismem z dnia 19 stycznia br. o sygnaturze BO-60-40/14. 10) sposob udostępniania danych ze zbioru, poprzez wskazanie czy dane ze zbioru są udostępniane podmiotom innym niz upoważnione na podstawie przepisów prawa;". Proponowana modyfikacja ma na celu ujednolicenie informacji, które administratorzy danych mają obowiązek zgłaszać do rejestru prowadzonego przez GIODO, z informacjami, ktore będą się znajdować w rejestrach prowadzonych przez administratorow bezpieczenstwa informacji (ABI). Należy mieć na uwadze, ze obowiązujące rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgloszenia zbioru danych do rejestracji GeneralnemuInspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536) przewiduje zamknięty katalog informacji, ktore nalezy zglosic w powyższym zakresie (CZĘSC D, pkt 11 i 12 załącznika do powłtanego rozporządzenia). Użycie w opiniowanym rozporządzeniu wyrażeń „w szczególności" doprowadzi do sytuacji, w ktorej ABI opisywał będzie - w prowadzonym przez niego rejestrze – sposoby zbierania danych czy ich udostępniania inaczej niz w przypadku zgłoszenia do rejestru prowadzonego przez GIODO. DIatego pozostawienie w opiniowanym rozporządzeniu otwartego katalogu sposobów zbierania i udostępniania danych wydaje się nieuzasadnione, poniewaz powoduje rozbieżności, a dodatkowo budzi watpliwosci, gdyż nakłada na ABI obowiązek umieszczenia w rejestrze informacji, co do ktorych brak konkretnych wskazówek.