Przestrzeganie przepisów o ochronie danych osobowych

2015-03-20

Uwagi Konfederacji Lewiatan do Projektu rozporządzenia Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych w wersji z dnia 4 marca 2015 r.

I. Wstęp

W odpowiedzi na przygotowaną przez Ministerstwo Administracji i Cyfryzacji II wersję Projektu rozporządzenia Ministra Administracji i Cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych (dalej: Projekt) Konfederacja Lewiatan pragnie przedstawić swoje uwagi do nowego brzmienia projektowanego aktu. Przed omówieniem uwag szczegółowych pragniemy zaznaczyć, że aktualność zachowują nieuwzględnione dotąd uwagi, jakie przedstawiliśmy w opinii z dnia 16.01.2015 r.

  

II. Uwagi szczegółowe

§3 ust. 5

Proponujemy usunąć zdanie drugie tego punktu.

§3 ust. 5 Plan sprawdzeń jest przygotowywany przez administratora bezpieczeństwa informacji na określony przez niego okres nie krótszy niż kwartał i nie dłuższy niż rok. Plan jest przedstawiany administratorowi danych nie później niż na miesiąc przed rozpoczęciem okresu objętego planem. Plan sprawdzeń obejmuje co najmniej jedno sprawdzenie.

Uzasadnienie:

Opracowanie tego planu (§ 3 pkt 5) oraz powiadomienie o nim administratora danych (§ 3 pkt 7) są już przewidziane w Projekcie. Jak wynika, z § 7 plan jest przedstawiany Administratorowi „do wiadomości", a nie w celu jego akceptacji. Wprowadzanie terminu na przedstawienie go jest zbędne, bo formalizuje relacje miedzy ABI-m a administratorem danych.

§3 ust. 2 pkt 2

Proponujemy ograniczenie sprawdzeń doraźnych do sytuacji „istotnego" naruszenia ochrony danych osobowych.

§3 ust. 2

2. Sprawdzenie jest przeprowadzane w trybie:

1) sprawdzenia planowego - według planu sprawdzeń przygotowanego przez administratora bezpieczeństwa informacji, o którym mowa w ust. 3, albo

2) sprawdzenia doraźnego - w przypadku nieprzewidzianym w planie sprawdzeń, w sytuacji powzięcia przez administratora bezpieczeństwa informacji o istotnym naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia (...)

Uzasadnienie:

Należy uniknąć sytuacji, w której nieistotne incydenty naruszenia ochrony danych wymuszą każdorazowe przeprowadzanie procedury sprawdzenia. Sformalizowany tryb sprawdzenia i obowiązek sporządzenia szczegółowego sprawozdania są nieproporcjonalne do wielu incydentów, które mogą mieć miejsce w organizacji, a które można w sposób satysfakcjonujący zaadresować przez zastosowanie mniej sformalizowanych środków (pouczenie, doprowadzenie do stanu zgodnego z przepisami). Tak dalekie formalizowanie wszelkich działań sprawdzających ABI jest sprzeczne z założeniami deregulacyjnymi ustawy, którą projekt rozporządzenia doprecyzowuje. Alternatywnie, można rozważyć ograniczenie obowiązków związanych ze sprawdzeniem pozaplanowym (np. pozostawienie do wyjaśnienia).

§ 4 ust 2

Należy wyjaśnić, że katalog sposobów dokumentowania sprawdzenia również jest katalogiem  otwartym.

2. Administrator bezpieczeństwa informacji dokumentuje przeprowadzenie czynności w szczególności poprzez utrwalenie danych z systemu informatycznego służącego do przetwarzania lub zabezpieczania danych osobowych na informatycznym nośniku danych lub dokonanie wydruku tych danych, oraz poprzez w szczególności:

1) sporządzenie notatki z czynności, w szczególności z zebranych wyjaśnień, przeprowadzonych oględzin
oraz z czynności związanych z dostępem do urządzeń, nośników oraz systemów informatycznych służących
do przetwarzania danych osobowych;

2) odebranie pisemnych wyjaśnień osoby, której czynności objęto sprawdzeniem;

3) sporządzenie kopii otrzymanego dokumentu;

4) sporządzenie kopii obrazu wyświetlonego na ekranie urządzenia stanowiącego część systemu informatycznego służącego do przetwarzania lub zabezpieczania danych osobowych;

5) sporządzenie kopii zapisów rejestrów systemu informatycznego służącego do przetwarzania danych osobowych lub zapisów konfiguracji technicznych środków zabezpieczeń tego systemu.

 

Uzasadnienie:

Redakcja § 4 ust. 2 projektu rozporządzenia wywołuje wątpliwości, w jakim w istocie zakresie administrator bezpieczeństwa informacji zobowiązany jest do udokumentowania czynności sprawdzenia tj. jakie z wymienionych sposobów jest obligatoryjne, a jakie zależą w istocie od jego decyzji.
Par. 4 ust. 1 wskazuje bowiem, że to administrator bezpieczeństwa informacji określa sposób i zakres dokumentowania sprawdzenia, natomiast treść kolejnego ustępu tj. ustępu 2 może wywoływać wątpliwości, czy ta decyzja w rzeczywistości obejmuje wszystkie sposoby wymienione w ust. 2 czy też część z tych sposobów (od słów „oraz poprzez: (...)) nie ma charakteru obligatoryjnego. W przypadku obligatoryjności tych postanowień nałożenie obowiązku określonego w par. 4 ust. 2 pkt 1-5 może powodować to, że sposób dokumentowania może być nieadekwatny do zakresu sprawdzenia.

§ 8. 1

Postulujemy dostosowanie brzmienia tego przepisu do postanowień ustawy.

§ 8. 1. Sprawując nadzór, o którym mowa w § 1 pkt 2, administrator bezpieczeństwa informacji dokonuje weryfikacji:

1) opracowania i kompletności dokumentacji przetwarzania danych;

2) zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami prawa;

3) stanu faktycznego w zakresie przetwarzania danych osobowych;

4) zgodności ze stanem faktycznym przewidzianych w dokumentacji przetwarzania danych środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych;

5) przestrzegania zasad i obowiązków określonych w dokumentacji przetwarzania danych.

Uzasadnienie:

Zgodnie z art. 36a ust. 2 pkt 1 lit. c) do zadań administratora bezpieczeństwa informacji należy: (...)

b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2,
oraz przestrzegania zasad w niej określonych. (...)

Powyższe oznacza, że ABI nie ma obowiązku opracowania dokumentacji oraz bezpośredniego weryfikowania przestrzegania tych zasad (choć oczywiście może to robić). Obowiązkiem ABI-ego jest zapewnienie, by dokumentacja była opracowana a zasady w niej określone były przestrzegane.

Tymczasem rozporządzenie nie jest w tym zakresie jednoznaczne. Zapis w par. 8 ust. 1 pkt 5 można rozumieć jako obowiązek kontrolowania zasad określonych w dokumentacji bezpośrednio przez ABI. Ma to znaczenie praktyczne w dużych organizacjach (o dużym rozproszeniu geograficznym, np. siec oddziałów), gdzie kontrola przestrzegania zasad określonych w politykach (w tym PBI) realizowana jest przez osoby do tego delegowane. ABI może definiować kryteria tej kontroli oraz być odbiorcą wyników w celu podejmowania określonych działań naprawczych. Obecne brzmienie nie rozstrzyga czy takie działanie będzie uznawane za właściwy tryb sprawowania nadzoru w zakresie przestrzegania zasad.

§ 9. 1

Postulujemy zmianę tego przepisu w sposób spójny z ustawą.

§ 9. 1 W przypadku wykrycia podczas weryfikacji nieprawidłowości administrator bezpieczeństwa informacji:

1) zawiadamia administratora danych o nieopracowaniu lub brakach w dokumentacji przetwarzania danych
lub jej elementach oraz działaniach podjętych w celu doprowadzenia dokumentacji do wymaganego stanu,
w szczególności może przedstawić mu do wdrożenia projekty dokumentów usuwające stan niezgodności ;

2) zawiadamia administratora danych o nieaktualności dokumentacji przetwarzania danych oraz może przedstawić administratorowi danych do wdrożenia projekty dokumentów aktualizujących ;

3) zawiadamia administratora danych o innych przypadkach naruszenia zasad przetwarzania danych.

Uzasadnienie:

W naszej opinii te zapisy należy usunąć, żeby nie stały w sprzeczności z art. 36 ust.2 a także art. 36a ust. 2 uodo.

 

§ 12 (z wersji z 18.12.2015r.)

Postulujemy przywrócenie odwołania do normy PN-ISO/IEC 27001

§ 12. Wymagania dotyczące sprawdzeń oraz nadzoru nad dokumentacją przetwarzania danych określone w rozporządzeniu uważa się za spełnione, jeżeli administrator danych wdrożył system zarządzania bezpieczeństwem informacji z uwzględnieniem zgodny z Polskiej Normy Polską Normą PN-ISO/IEC 27001.

Uzasadnienie:

W ocenie Konfederacji należy przywrócić odwołanie do normy 27001. Wskazanie tej normy w regulacji prawnej o randze rozporządzenia dawałoby jasne potwierdzenie, ze ta norma wyznacza standard ochrony danych osobowych, którego stosowanie przez firmy (po uzyskaniu certyfikatu ISO) oznaczałoby dla GIODO - niejako z automatu - że firma jest świadoma obowiązujących zasad i spełnia wymagania ustawowe zakresie ochrony danych. W naszej opinii pominięcie  normy PN-ISO/IEC 2700  będzie miało negatywny wpływ na efektywność zarzadzania bezpieczeństwem danych osobowych.

 

Konfederacja Lewiatan, 19.03.2015 r.

KL/171/50/703/MP/AK/2015