Warszawa, 17 marca 2014 r.

Podobne dokumenty
PRELEGENT Przemek Frańczak Członek SIODO

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski

SZCZEGÓŁOWY HARMONOGRAM KURSU

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Nowe przepisy i zasady ochrony danych osobowych

Maciej Byczkowski ENSI 2017 ENSI 2017

Szkolenie. Funkcja Administratora Bezpieczeństwa Informacji po deregulacji. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Ochrona danych osobowych w biurach rachunkowych

Lp. Zgłoszona uwaga do paragrafu rozporządzenia Zgłaszający Stanowisko. Ad. 3. ust. 2 pkt. 1 i 2

Przetwarzanie danych osobowych w chmurze

Propozycje SABI w zakresie doprecyzowania statusu ABI

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

Zarządzanie bezpieczeństwem danych osobowych

II Lubelski Konwent Informatyków i Administracji r.

Planowany zakres nowelizacji ustawy o ochronie danych osobowych w 2012r. Maciej Byczkowski, Andrzej Rutkowski, Stefan Szyszko

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Zmiana obowiązków zabezpieczania danych osobowych

Pozycja i zadania ABI w świetle reformy ochrony danych osobowych

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Praktyczne aspekty ochrony danych osobowych w ubezpieczeniach

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Ochrona danych osobowych

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Sz. P. Mariusz Haładyj Podsekretarz Stanu Ministerstwo Gospodarki

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

Krzysztof Świtała WPiA UKSW

PROGRAM NAUCZANIA KURS ABI

PARTNER.

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

ZARZĄDZENIE Nr 128/2012 BURMISTRZA ŻNINA. z dnia 25 września 2012 r.

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Status prawny i obowiązki adwokata związane z przetwarzaniem danych osobowych w świetle ogólnego rozporządzenia o ochronie danych (RODO)

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

Ochrona danych osobowych w biurach rachunkowych

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej sp. z o.o. w Nowej Soli.

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI. zadania: przepisami; Nowe kompetencje GIODO: Administratora danych; Przekazywanie danych do państw trzecich:

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

KRAJOWA KONFERENCJA OCHRONY DANYCH OSOBOWYCH

Pierwsze doświadczenia w wykonywaniu funkcji IODy

Promotor: dr inż. Krzysztof Różanowski

Przetwarzanie danych w chmurze a bezpieczeństwo informacji. T: (+48) Jachranka, 27 listopada 2015r. E:

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

ZARZĄDZENIE NR 21/2015 BURMISTRZA MIASTA WĄGROWCA z dnia 02 lutego 2015 r. w sprawie wprowadzenia Księgi Procedur Audytu Wewnętrznego

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

OGÓLNOKRAJOWY REJESTR ADMINISTRATORÓW BEZPIECZEŃSTWA INFORMACJI

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Instytucja administratora bezpieczeństwa informacji przy obecnie obowiązujących przepisach prawa Pytania, odpowiedzi, fakty i mity

OCHRONA DANYCH OSOBOWYCH W DZIAŁACH KADR I HR OMÓWIENIE UNIJNEGO ROZPORZĄDZENIE RODO

rodo. naruszenia bezpieczeństwa danych

OCHRONA DANYCH OSOBOWYCH W DZIAŁACH KADR I HR OMÓWIENIE UNIJNEGO ROZPORZĄDZENIE RODO

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Polityka Ochrony Danych Osobowych. Magdalena Młynarczyk Lege Artis Biuro Obrotu Nieruchomościami

Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

POLITYKA BEZPIECZEŃSTWA

I. Postanowienia ogólne

Wprowadzenie do RODO. Dr Jarosław Greser

AuditSolutions OFERTA WSPÓŁPRACY. Bezpieczeństwo Informacji. Systemy Teleinformatyczne. Wymiana Informacji. Rozwiązania dla sektora publicznego

Instrukcja do opracowania Koncepcji technicznej projektu

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Szkolenie otwarte 2016 r.

Dane osobowe w data center

Szyfrowanie danych i tworzenie kopii zapasowych aspekty prawne

Praktyczny kurs dla Administratora Bezpieczeństwa Informacji

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Umowa powierzenia przetwarzania danych osobowych zawarta dnia pomiędzy: (zwana dalej Umową )

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

KONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO

Marcin Soczko. Agenda

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r.

Załącznik nr 5 do Polityki bezpieczeństwa

wraz z wzorami wymaganej prawem dokumentacją

BIURO OCHRONY DANYCH OSOBOWYCH BODO24 KURS RODO

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Przykład klauzul umownych dotyczących powierzenia przetwarzania

OCHRONA DANYCH OSOBOWYCH W PLACÓWKACH OŚWIATOWYCH. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z dnia 1 stycznia 2015 r.

Szczegółowe informacje o kursach

Transkrypt:

Warszawa, 17 marca 2014 r. Stanowisko Zespołu Ekspertów powołanego przez GIODO, dotyczące potrzeby zmiany art. 39a ustawy o ochronie danych osobowych (zawierającego delegację do wydania rozporządzenia) oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Zdaniem Zespołu Ekspertów GIODO, dalej Zespołu występuje potrzeba zmian przepisów wykonawczych do ustawy o ochronie danych osobowych, stanowiących wykonanie upoważnienia zawartego w art. 39a ustawy o ochronie danych osobowych (Dz.U z 2002 r., Nr 101, poz. 926, ze zm.), dalej u.o.d.o. Obecnie aktem wykonawczym realizującym wspomnianą delegację jest rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), dalej rozporządzenie. W opinii Zespołu określone w rozporządzeniu środki zabezpieczenia technicznego i organizacyjnego nie przystają już do wyzwań współczesnych technologii i do globalnego charakteru przetwarzania danych osobowych. Szeroki dostęp do Internetu i powszechne wykorzystanie sieci ogólnodostępnych do przetwarzania danych osobowych powodują, że określone w rozporządzeniu kryteria trzech poziomów bezpieczeństwa danych w systemie informatycznym, nie opisują poprawnie zagrożeń w rzeczywistych warunkach przetwarzania danych osobowych. Nie uwzględniają one m. in. faktu, że oparte na zestawie nowoczesnych technologii przetwarzanie danych w chmurze obliczeniowej umożliwia łatwy i tani, dostęp do różnych modeli usług przetwarzania danych, szybkie ich wdrożenie oraz elastyczne, odpowiednie do potrzeb, wykorzystanie zasobów przetwarzania. Obecnie znaczna część przetwarzania danych osobowych dokonywana jest na wielką skalę w złożonych procesach przetwarzania z wykorzystaniem technologii sieciowych i wirtualizacji zasobów. Należy przyjąć, że taki sposób przetwarzania danych osobowych, w związku z dalszym postępem technologicznym i przynoszeniem korzyści ekonomicznych, będzie się rozwijał. Następną cechą współczesnego przetwarzania danych osobowych jest jego duża złożoność i dynamika, w 1

szczególności wydłużanie oraz komplikacja łańcuchów przetwarzania poprzez jego powierzanie i podpowierzanie, często połączone z przekazywaniem danych osobowych do państwa trzeciego. Powoduje to, że środki techniczne i organizacyjne ochrony danych osobowych powinny zapewniać bezpieczeństwo nie tylko zbiorów i pojedynczych danych osobowych lecz powinny zapewniać także bezpieczeństwo operacji przetwarzania danych osobowych. W szczególności operacji przetwarzania, które stwarzają szczególne zagrożenie dla praw podmiotu danych, a więc operacji przetwarzania danych osobowych wrażliwych, o których mowa w art. 27 ust. 1 u.o.d.o. oraz szczególnych operacji przetwarzania innych danych osobowych, które ze względu na swój charakter, a także zakres i cele przetwarzania, stwarzają takie zagrożenie. Za szczególne operacje przetwarzania danych osobowych należy uznać przetwarzanie tych danych z wykorzystaniem określonych technologii takich jak chmura obliczeniowa, wirtualizacja zasobów, identyfikacja radiowa oraz przetwarzanie w określonym celu takim jak profilowanie. Nie można zapewnić bezpieczeństwa operacji przetwarzania danych osobowych w systemach teleinformatycznych poprzez spełnienie wymagań określonych w obowiązującym rozporządzeniu w tym poprzez stosowanie zestawów środków technicznych i organizacyjnych przypisanych do sztywno zdefiniowanych i nieadekwatnych do rzeczywistych zagrożeń poziomów bezpieczeństwa przetwarzania danych. Zespół proponuje aby w projektowanym rozporządzeniu bezpieczeństwo przetwarzania danych osobowych rozumiane jako bezpieczeństwo zbiorów danych osobowych, pojedynczych danych oraz operacji przetwarzania danych osobowych, było oparte na zarządzaniu bezpieczeństwem danych osobowych. Podstawą takiego zarządzania powinno być stosowanie, określonych w rozporządzeniu, wymagań i środków w zakresie bezpieczeństwa danych osobowych. Podstawowe wymagania i środki zarządzania bezpieczeństwem danych osobowych to: 1) przeprowadzanie analizy zagrożeń (ryzyka) dla przetwarzania danych osobowych, w odniesieniu do kategorii przetwarzanych danych oraz sposobów i operacji przetwarzania danych przez ADO i przetwarzających (procesorów, którym dane są powierzane do przetwarzania). Analiza ma na celu określenie poziomu zagrożeń oraz doboru odpowiednich środków technicznych i organizacyjnych (zabezpieczeń) dla minimalizacji występowania zagrożeń podstawowych lub rozszerzonych, które 2

powinny być zrealizowane dla zabezpieczenia danych przez ADO i przetwarzającego. a. Przeprowadzanie podstawowej analizy zagrożeń (ryzyka) przez wszystkich ADO i przetwarzających w odniesieniu do kategorii przetwarzanych danych oraz sposobów i operacji ich przetwarzania. b. Przeprowadzanie rozszerzonej analizy zagrożeń przez podmioty wykonujące operacje przetwarzania danych, które stwarzają szczególne ryzyko dla praw podmiotu danych, a więc operacji przetwarzania danych osobowych wrażliwych, o których mowa w art. 27 ust. 1 u.o.d.o. oraz szczególnych operacji przetwarzania innych danych osobowych, które ze względu na swój charakter a także zakres i cele przetwarzania stwarzają takie ryzyko. 2) dobór technicznych i organizacyjnych środków ochrony danych zabezpieczenia na poziomie podstawowym lub rozszerzonym w zależności od poziomu zagrożeń - który wynika z analizy zagrożeń przetwarzania danych osobowych uwzględniającej kategorie i sposoby przetwarzania danych oraz wykonywanie szczególnych operacji przetwarzania. 3) wdrożenie środków technicznych i organizacyjnych dotyczących zarządzania bezpieczeństwem danych osobowych, przez ADO lub przetwarzających, na poziomie podstawowym wynikających z przeprowadzonej analizy zagrożeń przetwarzania danych osobowych. 4) wdrożenie i funkcjonowanie systemu zarządzania bezpieczeństwem danych osobowych, który powinien zapewnić poufność, dostępność oraz integralność danych osobowych z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność przez ADO i przetwarzających, którzy przetwarzają dane osobowe wrażliwe, o których mowa w art. 27 ust. 1 u.o.d.o. oraz wykonują szczególne operacje przetwarzania danych, które ze względu na swój charakter a także zakres i stwarzają szczególne ryzyko dla podmiotu danych. Ze względu na stan regulacji dotyczących kwestii definicyjnych Zespół proponuje aby w dalszych pracach nad projektowanym rozporządzeniem, po kolejnych analizach, określić: kategorie danych osobowych, sposoby ich przetwarzania oraz szczególne operacje przetwarzania, które ze względu na 3

swój charakter a także zakres stwarzają szczególne ryzyko dla podmiotu danych - które powinny być przedmiotem rozszerzonej analizy zagrożeń (ryzyka). 5) wdrożenie środków technicznych i organizacyjnych ochrony danych przez ADO i przetwarzających w momencie ustalania środków niezbędnych do przetwarzania danych osobowych, jak i w momencie samego przetwarzania tych danych. Jak wynika z powyższego Zespół proponuje także wprowadzenie w projektowanym rozporządzeniu, bez obniżenia poziomu ochrony danych osobowych, zróżnicowania sposobu wypełniania wymogów dotyczących stosowania środków technicznych i organizacyjnych ochrony danych przez ADO i przetwarzających na poziomie podstawowym i rozszerzonym. Podstawą tego zróżnicowania jest poziom zagrożenia jaki wynika z realizowanych procesów przetwarzania danych osobowych przez ADO i przetwarzających. Rozporządzenie nie różnicuje obecnie obowiązków ADO i przetwarzających w zależności od określonego poziomu zagrożenia, wynikającego realizacji procesów przetwarzania danych. Powoduje to nałożenie jednakowych obowiązków na wszystkie podmioty przetwarzające dane, bez względu czy ryzyko ich przetwarzania jest wysokie czy niskie. ADO i przetwarzający będą obowiązani do przeprowadzenia podstawowej lub także rozszerzonej analizy zagrożeń przetwarzania danych osobowych, która obejmuje: 1) opis operacji przetwarzania danych osobowych objętych analizą, 2) identyfikację zagrożeń oraz oszacowanie prawdopodobieństwa ich wystąpienia podczas przetwarzania danych osobowych, 3) określenie środków technicznych i organizacyjnych ochrony przetwarzanych danych osobowych, odpowiednich do oszacowanego poziomu zagrożeń występującego podczas przetwarzania danych osobowych, 4) sprawozdanie z przeprowadzonej analizy zagrożeń przetwarzania danych osobowych. Listy celów i potencjalnych zagrożeń dla przeprowadzenia podstawowej i rozszerzonej analizy zagrożeń będą załącznikami do projektowanego rozporządzenia. Projektowane rozporządzenie będzie zawierało także katalogi technicznych i organizacyjnych środków ochrony danych osobowych odpowiednich do ograniczenia (minimalizacji) podstawowego i wysokiego poziomu zagrożeń występującego podczas realizacji procesów przetwarzania danych osobowych. Środki te będą 4

określone w sposób umożliwiający ich przejrzyste stosowanie i dokonanie oceny, czy zostały one zastosowane. W odniesieniu do powyższej propozycji zróżnicowania wymagań i stosowania środków ochrony danych na podstawowe i rozszerzone, w projektowanym rozporządzeniu określone będą również wymogi dotyczące prowadzenia dokumentacji przetwarzania danych zgodnie z art. 36 ust. 2 u.o.d.o. Obecne przepisy wymagają od wszystkich ADO i przetwarzających opracowania Polityki bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. W praktyce wymienione dokumenty są opracowywane przede wszystkim przez podmioty, dla których wypełnienie wymogów prawa ochrony danych osobowych ma ważne znaczenie w osiągnięciu ich celów biznesowych lub w wypełnieniu zadań publicznych. Dla tych podmiotów opracowanie takiej dokumentacji nie stanowi problemu, ponieważ stosowane przez nich metody zarządzania i rozwiązania organizacyjne zakładają tworzenie różnych polityk, instrukcji i procedur związanych z prowadzoną działalnością. Dla małych przedsiębiorców, w tym mikroprzedsiębiorców oraz osób fizycznych prowadzących jednoosobową działalność gospodarczą, opracowanie takiej dokumentacji stanowi duże obciążenie, zarówno organizacyjne, jak i finansowe, co w praktyce powoduje niewykonywanie tego obowiązku. Wobec powyższego Zespół proponuje wprowadzenie obowiązku prowadzenia Podstawowej dokumentacji przetwarzania danych osobowych przez wszystkich ADO i przetwarzających, w której zostaną zawarte zapisy dokumentujące wypełnianie podstawowych obowiązków przetwarzania i ochrony danych zgodnie z u.o.d.o. Natomiast podmioty, w których realizacja procesów przetwarzania danych osobowych powoduje wysoki poziom zagrożeń będą zobowiązane aby oprócz Podstawowej dokumentacji jako minimum prowadzić taką samą dokumentację jaka obowiązuje obecnie, a więc - Politykę bezpieczeństwa danych osobowych oraz Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych i jaką wcześniej posiadały, w ramach prowadzonego systemu zarządzania bezpieczeństwem danych osobowych (system taki powinien być zgodny z uznanymi metodykami i standardami). 5

Uproszczenie form wypełnienia wyżej wymienionych obowiązków jest istotną deregulacją obecnie obowiązujących wymogów. W opinii Zespołu deregulacja zmniejszy obciążenia podmiotów, w których przetwarzanie danych osobowych powoduje zagrożenia na poziomie podstawowym, a które wykonują obowiązki dotyczące zabezpieczenia danych osobowych. Przyczyni się także do wykonywania tych obowiązków przez znaczną liczbę podmiotów z tej grupy, które dotąd tego nie czynią. Zespół proponuje także aby w projektowanym rozporządzeniu znalazły się regulacje dotyczące realizacji wymogów, o których mowa w art. 38 u.o.d.o. Przepisy określać będą zasady i tryb przeprowadzania kontroli przetwarzania danych osobowych w systemie teleinformatycznym, zapewniające rozliczalność przetwarzania danych osobowych oraz przepisy określające sposób odnotowywania informacji niezbędnych do kontroli przetwarzania danych osobowych. W obowiązującym rozporządzeniu przepisy dotyczące realizacji wymogów określonych w art. 38 u.o.d.o. zawarte są w 7 i wprowadzają obowiązek odnotowywania w systemie informatycznym: daty wprowadzenia danych do systemu oraz identyfikatora osoby wprowadzającej dane. Przepisy tego samego paragrafu odnoszą się również do art. 32 ust. 3 i 33 ust. 1 u.o.d.o., dotyczących prawa do kontroli przetwarzania danych przez osobę, której dane dotyczą oraz realizacji obowiązku udzielania informacji tym osobom przez ADO. W opinii Zespołu oraz opinii reprezentantów wielu podmiotów (ADO) obecny zapis w 7 rozporządzenia jest nieczytelny oraz wprowadza niepotrzebne obowiązki związane z odnotowywaniem w systemie informatycznym informacji dotyczących: źródła pozyskania danych, informacji o odbiorcach podmiotach którym dane są przekazywane oraz informacji o sprzeciwie na przetwarzanie danych w celach marketingowych lub wobec przekazania jej danych innemu ADO. W art. 32 i 33 u.o.d.o. nie istnieje żadne wymaganie dotyczące odnotowywania takich informacji przez ADO w systemie informatycznym. Zgodnie z art. 32 ust. 5 u.o.d.o. osoba, której dane dotyczą ma możliwość raz na 6 miesięcy wystąpić do ADO z wnioskiem o udzielenie informacji na temat przetwarzania jej danych osobowych, w tym: w jaki sposób zebrano dane (informacje o źródle danych) w jakim zakresie oraz komu dane zostały udostępnione (informacje o odbiorcach danych) 6

Powyższe informacje, potrzebne do udzielenia odpowiedzi ADO może zapisywać w dowolnie prowadzonym przez niego rejestrze informatycznym lub papierowym, ale nie ma takiego obowiązku. Z kolei w art. 32 ust. 3 jest zapis dotyczący możliwości prowadzenia przez ADO rejestru osób, które wyraziły sprzeciw na przetwarzanie danych w celach marketingowych lub przekazywania ich innemu ADO. ADO ma więc wybór prowadzenia lub nie, takiego rejestru w celach kontrolnych, zarówno w formie papierowej lub informatycznej. Wobec powyższego proponujemy uporządkowanie zapisów w tym zakresie przez usunięcie w projektowanym rozporządzeniu odniesień do art. 32 oraz 33 u.o.d.o. a pozostawienia jedynie przepisów dotyczących realizacji wymagań art. 38 u.o.d.o., zwłaszcza że delegacja określona w art. 39a u.o.d.o. odnosi się jedynie do obowiązków zabezpieczenia danych osobowych zawartych w Rozdziale 5 art. 36 39 u.o.d.o. Taka propozycja ma także charakter deregulacyjny. Nie obniża poziomu ochrony danych osobowych. Zmniejsza natomiast koszty budowy i funkcjonowania systemu informatycznego oraz racjonalnie ogranicza wykonywanie czynności związane z odnotowywaniem informacji zgodnie z u.o.d.o. w tym systemie. Aby uniknąć problemów związanych z kolizją przepisów prawa, w tym możliwego braku zgodności, czy też odpowiedniości wymagań dotyczących zabezpieczania przetwarzanych informacji (w szczególności danych osobowych) oraz dublowania działań organizacyjnych zawartych w różnych przepisach, Zespół proponuje także zastosowanie w projektowanym rozporządzeniu przepisów odsyłających dla wypełnienia powyższych wymogów. W szczególności proponujemy zwolnienie z części wymogów podmioty zobowiązane do realizacji wymagań zarządzania bezpieczeństwem systemów teleinformatycznych na podstawie rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r., poz. 526) oraz Rozporządzenia Prezesa Rady Ministrów z dnia 20 lipca 2011r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. z 2011 r., Nr 159, poz. 948). W opinii Zespołu Ekspertów obecna delegacja zawarta w art. 39a u.o.d.o. powinna uzyskać nowe brzmienie, przy okazji nowelizacji u.o.d.o. w ramach projektu deregulacji dla przedsiębiorców przygotowywanej przez Ministerstwo Gospodarki 7

(projekt ustawy o ułatwieniu warunków wykonywania działalności gospodarczej). Zmieniona delegacja powinna zawierać wytyczne wskazujące, że rozporządzenie ma bardziej regulować cele i zasady jakim ma odpowiadać zarządzanie bezpieczeństwem przetwarzania danych osobowych niż kazuistycznie normować jego poszczególne elementy. Ponadto, wytyczne powinny zawierać fakt, iż stopień sformalizowania wymagań i środków zarządzania bezpieczeństwem przetwarzania danych osobowych musi uwzględniać analizę zagrożeń dla przetwarzania określonych kategorii danych osobowych oraz wykonywania szczególnych operacji przetwarzania danych, a w przypadkach gdy skala zagrożeń związanych z przetwarzaniem jest mała, wymogi formalne powinny być wprowadzone tylko w niezbędnym zakresie. Wobec powyższego proponujemy zmianę art. 39a u.o.d.o. i dołączenie jej do projektu deregulacji Ministerstwa Gospodarki. Przedstawione poniżej nowe brzmienie tego przepisu zapewni pełną zgodność brzmienia delegacji ustawowej i nowych przepisów wykonawczych spełniających podane powyżej warunki: Art. 39a Minister właściwy do spraw administracji publicznej, po zasięgnięciu opinii Generalnego Inspektora, określi, w drodze rozporządzenia wymagania dla zarządzania bezpieczeństwem przetwarzania danych osobowych i wynikające z tego środki techniczne i organizacyjne, o których mowa w art. 36 ust. 1, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2 i sposób wykonywania kontroli, o której mowa w art. 38, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do kategorii danych objętych ochroną oraz zagrożeń wynikających z operacji przetwarzania danych osobowych... Należy zaznaczyć, że w opinii Zespołu możliwe jest wydanie projektowanego rozporządzenia także na podstawie obowiązującej delegacji zawartej w art. 39a u.o.d.o. Opracował Zespół Ekspertów powołany przez GIODO w składzie: Maciej Byczkowski (Przewodniczący Zespołu), Piotr Dzwonkowski, Aleksander Frydrych, Małgorzata Michniewicz, Andrzej Rutkowski, dr Stefan Szyszko. 8

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres