Warszawa, 13.03.2015 r. Zestawienie uwag, o których mowa w § 50

Warszawa, 13.03.2015 r.
Zestawienie uwag, o których mowa w § 50 ust. 3 uchwały Rady Ministrów z dnia 29 października 2013 r. – Regulamin Pracy Rady Ministrów
– projekt rozporządzenia Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji
rejestru zbiorów danych
Prośbę o zaopiniowanie projektu skierowano do: 1) Generalnego Inspektora Ochrony Danych Osobowych (dalej: GIODO); 2) Naczelnego Sądu
Administracyjnego (dalej NSA); 3) Kancelarii Prezydenta Rzeczypospolitej Polskiej (dalej: KPRP) oraz 4) Naczelnej Dyrekcji Archiwów Państwowych.
Trzy pierwsze z ww. podmiotów przedłożyły MAiC swoje uwagi. Uwaga KPRP została przez MAC uwzględniona.
Lp.
Podmiot
zgłaszający
Uwaga
Stanowisko Ministerstwa Administracji i Cyfryzacji
1.
GIODO
(…) uprzejmie informuję, że – w opinii organu do spraw ochrony
danych osobowych – zaproponowane brzmienie §1 tego
projektu dotknięte jest błędem logicznym zwanym „idem per
idem” (użyte w tym przepisie słowo „wykaz” jest synonimem –
również użytego – słowa „rejestr”). Celem uniknięcia
powyższego błędu Generalny Inspektor Ochrony Danych
Osobowych proponuje nadanie § 1 projektu rozporządzenia (…),
brzmienia: „Rejestr zbiorów danych, o którym mowa w art. 36a
ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych, zwany dalej „rejestrem”, składa się z ksiąg
rejestrowych zawierających odrębnie dla każdego zbioru danych
informacje określone w § 3.”
MAC w projekcie rozporządzenia zdecydował się odejść od modelu
opartego o prowadzenie przez administratorów bezpieczeństwa
informacji ksiąg rejestrowych. Jednocześnie, MAC pozostał przy
następującym brzmieniu paragrafu 1: „Rejestr zbiorów danych, o
którym mowa w art. 36a ust. 2 pkt 2 ustawy, zwany dalej „rejestrem",
składa się z wykazu zbiorów danych zawierającego odrębnie dla
każdego zbioru danych informacje określone w § 3”.
Jeżeli projektodawca nie chce używać w projekcie
sformułowania „księgi rejestrowe”, § 1 projektu mógłby
(alternatywnie) być sformułowany następująco „Rejestr zbiorów
danych, o którym mowa w art. 36a ust. 2 pkt 2 ustawy z dnia 29
sierpnia 1997 r. o ochronie danych osobowych, zwany dalej
„rejestrem”, zawiera odrębnie dla każdego zbioru danych
informacje określone w § 3.”.
Pismem z dnia 22 stycznia br. o sygnaturze DOLiS-033306/12/TG/4613/15 GIODO nie zgłosił dalszych uwag do projektu.
2.
NSA
Jednocześnie wydaje się, że § 4 ust. 2 projektu można dokonać
dookreślenia
czasu
dokonania
przez
administratora
bezpieczeństwa informacji wpisu do rejestru. Obecna
propozycja wskazuje, że administrator bezpieczeństwa
informacji powinien dokonać niezwłocznie wpisu do rejestru po
zaistnieniu zdarzeń ważnych dla treści rejestru, opisanych w § 4
ust. 1 projektu. Określenie „niezwłocznie” może budzić
wątpliwości interpretacyjne. Należałoby więc dokładnie
oznaczyć ostateczny termin, do którego zdarzenia wymienione
w § 4 ust. 1 projektu, powinny być przez administratora
bezpieczeństwa informacji wpisane do rejestru, tj.: wskazać
termin trzech dni od powstania zdarzenia będącego podstawą
wpisu, jako termin maksymalny do dokonania wpisu do rejestru.
Nowe brzmienie art. 4 ust. 2 projektu miałoby wówczas
następującą treść: „2. Wpisu do rejestru dokonuje się
niezwłocznie, nie później niż w terminie trzech dni, po zaistnieniu
zdarzenia, o którym mowa w ust. 1, powodującego obowiązek
dokonania wpisu”. Takie rozwiązanie powinno rozwiać
wątpliwości jak szybko administrator bezpieczeństwa informacji
zobowiązany jest dokonywać zmian w rejestrze.
W ocenie MAC nie ma konieczności doprecyzowania co oznacza
pojęcie „niezwłocznie”. Wydaje się, że w każdym przypadku to czy
dopełniono przesłanki „niezwłoczności” powinno być oceniane
indywidualnie przez organ nadzorczy.
3.
NSA
Poważne wątpliwości budzi natomiast § 5 projektu. Przepis ten
bowiem reguluje zasady udostępniania rejestru przez
administratora
bezpieczeństwa
danych
osobom
zainteresowanym. Tymczasem treść zawartego w art. 36a ust. 9
pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (Dz.U. z 2014 r., poz. 1182, ze zm.) upoważnienia
do wydania rozporządzenia określa jedynie sposób prowadzenia
rejestru zbiorów danych. Upoważnienie w żaden sposób nie
dotyczy zatem zasad udostępniania rejestru zbioru danych
przez administratora bezpieczeństwa informacji. Wydaje się
więc, że § 5 projektu powinien zostać skreślony.
W ocenie MAC paragraf 5 projektu rozporządzenia realizuje przepis
art. 36a ust. 3 ustawy z dnia 29 sieprnia 1997 r. o ochronie danych
osobowych..
W § 3 ust. 1 projektu rozporządzenia należy rozważyć zmianę
brzmienia pkt 9 i 10, ktore proponuje się zastąpić brzmieniem:
„9) sposob zbierania danych do zbioru, poprzez wskazanie czy
dane do zbioru zbierane od osób, których dotyczą czy z innych
źródeł niż osoba, ktorej dane dotyczą;
W ocenie MAC sformułowanie "w szczególności" użyte w § 3 ust. 1
pkt 9 i 10 projektu rozporządzenia zapewnia elastyczność i pozwala
administratorom bezpieczeństwa informacji na umieszczanie w
rejestrze dodatkowych informacji w zakresie sposobu zbierania
danych do zbioru i sposobu udostępniania danych ze zbioru. Ich
zakres uzależniony jest od decyzji administratora bezpieczeństwa
informacji.
4.
GDDKiA
Uwaga została podtrzymana pismem z dnia 19 stycznia br. o
sygnaturze BO-60-40/14.
10) sposob udostępniania danych ze zbioru, poprzez wskazanie
czy dane ze zbioru są udostępniane podmiotom innym niz
upoważnione na podstawie przepisów prawa;".
Proponowana modyfikacja ma na celu ujednolicenie informacji,
które administratorzy danych mają obowiązek zgłaszać do
rejestru prowadzonego przez GIODO, z informacjami, ktore
będą się znajdować w rejestrach prowadzonych przez
administratorow bezpieczenstwa informacji (ABI). Należy mieć
na uwadze, ze obowiązujące rozporządzenie Ministra Spraw
Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w
sprawie wzoru zgloszenia zbioru danych do rejestracji
GeneralnemuInspektorowi Ochrony Danych Osobowych (Dz. U.
Nr 229, poz. 1536) przewiduje zamknięty katalog informacji,
ktore nalezy zglosic w powyższym zakresie (CZĘSC D, pkt
11 i 12 załącznika do powłtanego rozporządzenia).
Użycie w opiniowanym rozporządzeniu wyrażeń „w
szczególności" doprowadzi do sytuacji, w ktorej ABI opisywał
będzie - w prowadzonym przez niego rejestrze – sposoby
zbierania danych czy ich udostępniania inaczej niz w przypadku
zgłoszenia do rejestru prowadzonego przez GIODO.
DIatego pozostawienie w opiniowanym rozporządzeniu
otwartego katalogu sposobów zbierania i udostępniania danych
wydaje się nieuzasadnione, poniewaz powoduje rozbieżności, a
dodatkowo budzi watpliwosci, gdyż nakłada na ABI obowiązek
umieszczenia w rejestrze informacji, co do ktorych brak
konkretnych wskazówek.