Od ponad dwóch miesięcy nie wydano kluczowych rozporządzeń do znowelizowanych przepisów. Efekt? Nie wiadomo co dzieje się z rejestrami zbiorów danych.
Od początku tego roku część przedsiębiorców przetwarzających dane osobowe może korzystać z udogodnień wprowadzonych ustawą o ułatwieniu wykonywania działalności gospodarczej. Wśród nowelizowanych przez nią aktów prawnych była również ustawa o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182). Na podstawie tych zmian firmy, które powołają administratorów bezpieczeństwa informacji (ABI), nie muszą już rejestrować zbiorów danych osobowych u generalnego inspektora ochrony danych osobowych (GIODO). Wystarczy, że ABI zostanie wpisany do rejestru prowadzonego przez GIODO.
– – tłumaczy Małgorzata Kałużyńska-Jasak, rzecznik prasowy GIODO.
Brak informacji
Firma czy instytucja publiczna, które powołają ABI, nie tylko nie muszą zgłaszać nowych zbiorów, ale również aktualizować starych (z wyjątkiem danych wrażliwych). Problem polega na tym, że wciąż brakuje dwóch kluczowych aktów wykonawczych do znowelizowanych przepisów. Chodzi o rozporządzenia: w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych oraz w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych.
– – alarmuje dr Paweł Litwiński, adwokat, ekspert Instytutu Allerhanda.
– – twierdzi ekspert.
Mówiąc wprost – ABI prawdopodobnie prowadzą rejestry zbiorów (nikt tego w tej chwili nie jest w stanie zweryfikować), lecz nie mogą mieć pewności, czy robią to w sposób właściwy. Podobnie jak i nie mogą dokonywać sprawdzenia zgodności przetwarzania danych osobowych z przepisami. To ostatnie jest tym ważniejsze, że dokonując takiego sprawdzenia, ABI mają niejako zastępować kontrolę GIODO. Na razie jednak sam GIODO nie wie, co powinno być sprawdzane.
–– przyznaje Małgorzata Kałużyńska-Jasak.
– – precyzuje.
Wymienione przez nią przepisy dotyczą obowiązku przetwarzania danych w zgodzie z ustawą i prowadzenia rejestru zbiorów.
Firmy nie powołują
Za przygotowanie rozporządzeń odpowiedzialne jest Ministerstwo Administracji i Cyfryzacji. Zdawało ono sobie sprawę, jak istotne są te przepisy.
„Jak najszybsze określenie trybu i sposobu realizacji zadań administratora bezpieczeństwa informacji bądź w przypadku, gdy go nie wyznaczono – administratora danych, jest niezbędne dla uniknięcia stanu niepewności prawnej oraz konieczne dla poszanowania zasady zaufania obywateli do państwa, którzy to mogą oczekiwać, iż ważne dla nich przepisy prawa zostaną wydane w najszybszym możliwym terminie” – napisało w grudniu 2014 r. w uzasadnieniu jednego z projektów.
Dlaczego zatem wciąż nie ma tych dwóch aktów wykonawczych? W piątek spytaliśmy o to MAiC. Niestety, do chwili oddania tego numeru gazety do druku nie uzyskaliśmy odpowiedzi. Podobnie jak na pytanie o to, kiedy można spodziewać się rozporządzeń.
– – mówi dr Paweł Litwiński.
Brak rozporządzeń może być powodem tego, że na razie tak mało prywatnych przedsiębiorców ma zarejestrowanych ABI. Przegląd wpisów internetowego rejestru GIODO pokazuje, że większość zgłoszeń pochodzi od podmiotów publicznych, takich jak szkoły, urzędy gmin, ośrodki pomocy społecznej czy nawet areszty. Spółek jest bardzo mało.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu