Przestrzeganie przepisów o ochronie danych osobowych
2015-03-20
Uwagi Konfederacji Lewiatan do Projektu rozporządzenia Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych w wersji z dnia 4 marca 2015 r.
I. Wstęp
W odpowiedzi na przygotowaną przez Ministerstwo Administracji i Cyfryzacji II wersję Projektu rozporządzenia Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych (dalej: Projekt) Konfederacja Lewiatan pragnie przedstawić swoje uwagi do nowego brzmienia projektowanego aktu. Przed omówieniem uwag szczegółowych pragniemy zaznaczyć, że aktualność zachowują nieuwzględnione dotąd uwagi, jakie przedstawiliśmy w opinii z dnia 16.01.2015 r.
II. Uwagi szczegółowe
§3 ust. 5
Proponujemy usunąć zdanie drugie tego punktu.
§3 ust. 5 Plan sprawdzeń jest przygotowywany przez administratora bezpieczeństwa informacji na określony przez niego okres nie krótszy niż kwartał i nie dłuższy niż rok. Plan jest przedstawiany administratorowi danych nie później niż na miesiąc przed rozpoczęciem okresu objętego planem. Plan sprawdzeń obejmuje co najmniej jedno sprawdzenie.
Uzasadnienie:
Opracowanie tego planu (§ 3 pkt 5) oraz powiadomienie o nim administratora danych (§ 3 pkt 7) są już przewidziane w Projekcie. Jak wynika, z § 7 plan jest przedstawiany Administratorowi „do wiadomości", a nie w celu jego akceptacji. Wprowadzanie terminu na przedstawienie go jest zbędne, bo formalizuje relacje miedzy ABI-m a administratorem danych.
§3 ust. 2 pkt 2
Proponujemy ograniczenie sprawdzeń doraźnych do sytuacji „istotnego" naruszenia ochrony danych osobowych.
§3 ust. 2
2. Sprawdzenie jest przeprowadzane w trybie:
1) sprawdzenia planowego - według planu sprawdzeń przygotowanego przez administratora bezpieczeństwa informacji, o którym mowa w ust. 3, albo
2) sprawdzenia doraźnego - w przypadku nieprzewidzianym w planie sprawdzeń, w sytuacji powzięcia przez administratora bezpieczeństwa informacji o istotnym naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia (...)
Uzasadnienie:
Należy uniknąć sytuacji, w której nieistotne incydenty naruszenia ochrony danych wymuszą każdorazowe przeprowadzanie procedury sprawdzenia. Sformalizowany tryb sprawdzenia i obowiązek sporządzenia szczegółowego sprawozdania są nieproporcjonalne do wielu incydentów, które mogą mieć miejsce w organizacji, a które można w sposób satysfakcjonujący zaadresować przez zastosowanie mniej sformalizowanych środków (pouczenie, doprowadzenie do stanu zgodnego z przepisami). Tak dalekie formalizowanie wszelkich działań sprawdzających ABI jest sprzeczne z założeniami deregulacyjnymi ustawy, którą projekt rozporządzenia doprecyzowuje. Alternatywnie, można rozważyć ograniczenie obowiązków związanych ze sprawdzeniem pozaplanowym (np. pozostawienie do wyjaśnienia).
§ 4 ust 2
Należy wyjaśnić, że katalog sposobów dokumentowania sprawdzenia również jest katalogiem otwartym.
2. Administrator bezpieczeństwa informacji dokumentuje przeprowadzenie czynności w szczególności poprzez utrwalenie danych z systemu informatycznego służącego do przetwarzania lub zabezpieczania danych osobowych na informatycznym nośniku danych lub dokonanie wydruku tych danych, oraz poprzez w szczególności:
1) sporządzenie notatki z czynności, w szczególności z zebranych wyjaśnień, przeprowadzonych oględzin
oraz z czynności związanych z dostępem do urządzeń, nośników oraz systemów informatycznych służących
do przetwarzania danych osobowych;
2) odebranie pisemnych wyjaśnień osoby, której czynności objęto sprawdzeniem;
3) sporządzenie kopii otrzymanego dokumentu;
4) sporządzenie kopii obrazu wyświetlonego na ekranie urządzenia stanowiącego część systemu informatycznego służącego do przetwarzania lub zabezpieczania danych osobowych;
5) sporządzenie kopii zapisów rejestrów systemu informatycznego służącego do przetwarzania danych osobowych lub zapisów konfiguracji technicznych środków zabezpieczeń tego systemu.
Uzasadnienie:
Redakcja § 4 ust. 2 projektu rozporządzenia wywołuje wątpliwości, w jakim w istocie zakresie administrator bezpieczeństwa informacji zobowiązany jest do udokumentowania czynności sprawdzenia tj. jakie z wymienionych sposobów jest obligatoryjne, a jakie zależą w istocie od jego decyzji.
Par. 4 ust. 1 wskazuje bowiem, że to administrator bezpieczeństwa informacji określa sposób i zakres dokumentowania sprawdzenia, natomiast treść kolejnego ustępu tj. ustępu 2 może wywoływać wątpliwości, czy ta decyzja w rzeczywistości obejmuje wszystkie sposoby wymienione w ust. 2 czy też część z tych sposobów (od słów „oraz poprzez: (...)) nie ma charakteru obligatoryjnego. W przypadku obligatoryjności tych postanowień nałożenie obowiązku określonego w par. 4 ust. 2 pkt 1-5 może powodować to, że sposób dokumentowania może być nieadekwatny do zakresu sprawdzenia.
§ 8. 1
Postulujemy dostosowanie brzmienia tego przepisu do postanowień ustawy.
§ 8. 1. Sprawując nadzór, o którym mowa w § 1 pkt 2, administrator bezpieczeństwa informacji dokonuje weryfikacji:
1) opracowania i kompletności dokumentacji przetwarzania danych;
2) zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami prawa;
3) stanu faktycznego w zakresie przetwarzania danych osobowych;
4) zgodności ze stanem faktycznym przewidzianych w dokumentacji przetwarzania danych środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych;
5) przestrzegania zasad i obowiązków określonych w dokumentacji przetwarzania danych.
Uzasadnienie:
Zgodnie z art. 36a ust. 2 pkt 1 lit. c) do zadań administratora bezpieczeństwa informacji należy: (...)
b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2,
oraz przestrzegania zasad w niej określonych. (...)
Powyższe oznacza, że ABI nie ma obowiązku opracowania dokumentacji oraz bezpośredniego weryfikowania przestrzegania tych zasad (choć oczywiście może to robić). Obowiązkiem ABI-ego jest zapewnienie, by dokumentacja była opracowana a zasady w niej określone były przestrzegane.
Tymczasem rozporządzenie nie jest w tym zakresie jednoznaczne. Zapis w par. 8 ust. 1 pkt 5 można rozumieć jako obowiązek kontrolowania zasad określonych w dokumentacji bezpośrednio przez ABI. Ma to znaczenie praktyczne w dużych organizacjach (o dużym rozproszeniu geograficznym, np. siec oddziałów), gdzie kontrola przestrzegania zasad określonych w politykach (w tym PBI) realizowana jest przez osoby do tego delegowane. ABI może definiować kryteria tej kontroli oraz być odbiorcą wyników w celu podejmowania określonych działań naprawczych. Obecne brzmienie nie rozstrzyga czy takie działanie będzie uznawane za właściwy tryb sprawowania nadzoru w zakresie przestrzegania zasad.
§ 9. 1
Postulujemy zmianę tego przepisu w sposób spójny z ustawą.
§ 9. 1 W przypadku wykrycia podczas weryfikacji nieprawidłowości administrator bezpieczeństwa informacji:
1) zawiadamia administratora danych o nieopracowaniu lub brakach w dokumentacji przetwarzania danych
lub jej elementach oraz działaniach podjętych w celu doprowadzenia dokumentacji do wymaganego stanu,
w szczególności może przedstawić mu do wdrożenia projekty dokumentów usuwające stan niezgodności ;
2) zawiadamia administratora danych o nieaktualności dokumentacji przetwarzania danych oraz może przedstawić administratorowi danych do wdrożenia projekty dokumentów aktualizujących ;
3) zawiadamia administratora danych o innych przypadkach naruszenia zasad przetwarzania danych.
Uzasadnienie:
W naszej opinii te zapisy należy usunąć, żeby nie stały w sprzeczności z art. 36 ust.2 a także art. 36a ust. 2 uodo.
§ 12 (z wersji z 18.12.2015r.)
Postulujemy przywrócenie odwołania do normy PN-ISO/IEC 27001
§ 12. Wymagania dotyczące sprawdzeń oraz nadzoru nad dokumentacją przetwarzania danych określone w rozporządzeniu uważa się za spełnione, jeżeli administrator danych wdrożył system zarządzania bezpieczeństwem informacji z uwzględnieniem zgodny z Polskiej Normy Polską Normą PN-ISO/IEC 27001.
Uzasadnienie:
W ocenie Konfederacji należy przywrócić odwołanie do normy 27001. Wskazanie tej normy w regulacji prawnej o randze rozporządzenia dawałoby jasne potwierdzenie, ze ta norma wyznacza standard ochrony danych osobowych, którego stosowanie przez firmy (po uzyskaniu certyfikatu ISO) oznaczałoby dla GIODO - niejako z automatu - że firma jest świadoma obowiązujących zasad i spełnia wymagania ustawowe zakresie ochrony danych. W naszej opinii pominięcie normy PN-ISO/IEC 2700 będzie miało negatywny wpływ na efektywność zarzadzania bezpieczeństwem danych osobowych.
Konfederacja Lewiatan, 19.03.2015 r.
KL/171/50/703/MP/AK/2015