Uwagi Konfederacji Lewiatan do projektu ustawy o ułatwieniu wykonywania działalności gospodarczej (Druk senacki 746)
2014-11-03
Uwagi do art. 8 projektu ustawy, wprowadzającego zmiany w ustawie z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych.
Art. 36a. 1.
Doprecyzowania wymagają obowiązki administratora bezpieczeństwa informacji.
| Obecne brzmienie | Propozycja zmiany |
| Art. 36a. 1. Administrator danych może powołać administratora bezpieczeństwa informacji. 2. Do zadań administratora bezpieczeństwa informacji należy: 1) zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych, c) zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
2) prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7.
| Art. 36a. 1. Administrator danych może powołać administratora bezpieczeństwa informacji. 2. Do zadań administratora bezpieczeństwa informacji należy: 1) a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych, c) zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, 2) prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7.
|
Uzasadnienie:
ABI nie jest organem (spółki) i ustawa nie przyznaje mu kompetencji stanowiących, więc nie powinien odpowiadać za przestrzeganie przepisów, a raczej za „kontrolę przestrzegania przepisów".
Relacja art. 46d ustęp 1 i art. 46e ustęp 1
Przy obecnym brzmieniu przepisów każda zmiana na stanowisku administratora bezpieczeństwa informacji spowoduje utratę zwolnienia z obowiązku rejestrowania zbiorów, podważając tym samym sens wprowadzanych ustawą deregulacją zmian.
W ocenie Konfederacji Lewiatan doprecyzowania wymaga, że artykuł 46e ma zastosowanie tylko w razie wykreślenia administratora bezpieczeństwa informacji (ABI) z rejestru, na mocy decyzji administracyjnej, wydanej z urzędu przez Generalnego Inspektora Ochrony Danych Osobowych.
| Obecne brzmienie | Propozycja zmiany |
| Art. 46e. 1. W przypadku ponownego zgłoszenia przez administratora danych do rejestracji Generalnemu Inspektorowi powołania administratora bezpieczeństwa informacji wykreślonego z rejestru administratorów bezpieczeństwa informacji, Generalny Inspektor, w drodze decyzji administracyjnej:
1) wpisuje administratora bezpieczeństwa informacji do rejestru administratorów bezpieczeństwa informacji po stwierdzeniu, że nie zachodzą przyczyny wykreślenia 2) odmawia wpisania administratora bezpieczeństwa informacji do rejestru administratorów bezpieczeństwa informacji, jeżeli nie zostały usunięte przyczyny wykreślenia z rejestru.
2. Do administratora danych, który ponownie zgłosił do rejestracji administratora bezpieczeństwa informacji, zwolnienie | Art. 46e. 1. W przypadku ponownego zgłoszenia przez administratora danych do rejestracji Generalnemu Inspektorowi powołania administratora bezpieczeństwa informacji wykreślonego z rejestru administratorów bezpieczeństwa informacji w przypadku,
1) wpisuje administratora bezpieczeństwa informacji do rejestru administratorów bezpieczeństwa informacji po stwierdzeniu, 2) odmawia wpisania administratora bezpieczeństwa informacji do rejestru administratorów bezpieczeństwa informacji, jeżeli nie zostały usunięte przyczyny wykreślenia z rejestru.
2. Do administratora danych, który ponownie zgłosił do rejestracji administratora bezpieczeństwa informacji, zwolnienie
|
Uzasadnienie:
Art. 46 d ustęp 2 przewiduje możliwość wydania z urzędu decyzji o wykreśleniu administratora bezpieczeństwa informacji, w sytuacji gdy nie spełnia on warunków wymaganych ustawą, nie wykonuje swoich zadań lub gdy administrator nie powiadomił GIODO o odwołaniu administratora. W tej sytuacji administrator, będący adresatem takiej decyzji traci możliwość korzystania ze zwolnienia z obowiązku rejestracji zbiorów danych osobowych. Musi więc zarejestrować zbiór danych.
Art. 46 e stanowi, że przy ponownym zgłoszeniu do rejestracji administratora bezpieczeństwa informacji zwolnienie stosuje się dopiero po jego wpisaniu do rejestru (a nie z chwilą zgłoszenia do rejestracji). Nie jest jednak jasne czy chodzi tu jedynie o ponowne zgłoszenie ABI, wykreślonego z rejestru decyzją GIODO czy także- w następstwie powiadomienia o jego odwołaniu, dokonanego przez administratora danych, zgodnie z art. 46d ustęp 1. Nie wiadomo więc w istocie jak wygląda sytuacja w przypadku zgłoszenia przez administratora danych odwołania ABI, ale braku natychmiastowego powołania nowego ABI.
Biorąc pod uwagę, że artykuł 46b pozwala na zgłoszenie ABI do rejestracji w ciągu 30 dni od jego powołania lub odwołania, można by wnioskować, że jeśli administrator danych odwoła administratora bezpieczeństwa informacji (ABI), na przykład ze względu na rozwiązanie umowy o pracę z pracownikiem sprawującym tę funkcję, ma on 30 dni na zgłoszenie nowego ABI. W takich wypadkach nie traci on zwolnienia z obowiązku rejestracji zbioru, przewidzianego w art. 43 ustęp 1a. Konfederacja Lewiatan popiera takie rozumienie. Przeciwna interpretacja prowadziłaby do wniosku, że nawet przy chwilowym nieobsadzeniu stanowiska ABI, administrator danych traciłby wszystkie uprawnienia wynikające z ustawy deregulacyjnej.
Art. 46e ust. 2
Analogicznie, należy doprecyzować ustęp 2 tego artykułu:
| Obecne brzmienie | Propozycja zmiany |
| Art. 46e ust. 2 Do administratora danych, który ponownie zgłosił do rejestracji administratora bezpieczeństwa informacji, zwolnienie | Art. 46e ust. 2 Do administratora danych, który ponownie zgłosił do rejestracji administratora bezpieczeństwa informacji, w przypadku, |
Uzasadnienie:
Zmiana ta stanowi konsekwencję i uzupełnienie proponowanej zmiany ust. 1 art. 46e - uzasadnienie tej zmiany jest identyczne, jak przedstawione dla proponowanej zmiany ust. 1 art. 46e.
