Opinia do projektu rozporządzenia dotyczącego rejestru zbiorów danych

2014-12-19

Uwagi Konfederacji Lewiatan do projektu rozporządzenia Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych.

Pan
Andrzej Halicki
Minister Administracji i Cyfryzacji

W nawiązaniu do pisma z dnia 2 grudnia 2014 r. o sygnaturze DP-WL.0211.131.2014JRM,
w załączeniu przesyłam uwagi Konfederacji Lewiatan do projektu rozporządzenia Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych.

Henryka Bochniarz
Prezydent Konfederacji Lewiatan

Załącznik:
Uwagi Konfederacji Lewiatan do projektu rozporządzenia Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych.
Uwagi Konfederacji Lewiatan do projektu rozporządzenia Ministra Administracji i Cyfryzacji
w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych.


Paragraf 3 projektu rozporządzenia określa informacje, które muszą znaleźć się w jawnym rejestrze zbiorów danych, o którym mowa w art. 36 ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych.
Ust. 1 pkt 4 tego paragrafu, zalicza do nich:

„4) w przypadku powierzenia przetwarzania danych, oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy i adres jego siedziby lub miejsca zamieszkania;"

Proponujemy zmianę tego przepisu, w sposób pozwalający na określenie w tym rejestrze jedynie kategorii podmiotów, którym dane zostały powierzone:

„4) w przypadku powierzenia przetwarzania danych, oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy i adres jego siedziby lub miejsca zamieszkania lub wskazanie kategorii podmiotów, którym powierzono do przetwarzania dane osobowe".

Uzasadnienie:

W ocenie Konfederacji Lewiatan publikowanie szczegółowej informacji o tych podmiotach nie jest uzasadnione. Zwłaszcza w przypadku dużych firm, które powierzają przetwarzanie danych wielu firmom zewnętrznym, publikacja takiej informacji wiązałaby się z każdorazowym obowiązkiem aktualizacji listy w razie zmiany lub dodania podmiotu, z którego usług outsourcingowych korzysta administrator.
Zwracamy także uwagę, że powierzenie przetwarzania danych osobowych jest autonomiczną decyzją administratora danych, która nie wymaga, ani zgody, ani informowania o tym fakcie osoby, której dane dotyczą. Nie wpływa to oczywiście na odpowiedzialność administratora za przetwarzania powierzonych danych osobowych. Należy naszym zdaniem rozważyć zasadność publikowania tej informacji
w powszechnie dostępnym rejestrze. W niektórych przypadkach lista kontrahentów, z którymi współpracują administratorzy danych i którym powierzono dane osobowe, może stanowić tajemnicę przedsiębiorstwa zgodnie z art. 11 ust. 4 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji.