Lp. Zgłoszona uwaga do paragrafu rozporządzenia Zgłaszający Stanowisko. Ad. 3. ust. 2 pkt. 1 i 2

Podobne dokumenty
z dnia 2014 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

Od 1 stycznia 2015 r. zaczęły obowiązywać znowelizowane przepisy ustawy o ochronie danych osobowych

Nowy status i zakres obowiązków administratora bezpieczeństwa informacji Andrzej Kaczmarek. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Zarządzenie 132/2015. Burmistrza Miasta i Gminy Ogrodzieniec z dnia 10 września 2015 r.

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

Rola Administratora Bezpieczeństwa Informacji w zarządzaniu bezpieczeństwem informacji. Michał Cupiał

WSPÓŁTWORZENIE NOWEGO SYSTEMU MONITOROWANIA PRZESTRZEGANIA PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH. Monika Młotkiewicz

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski

Ustawa o ochronie danych osobowych po zmianach

Sz. P. Michał Serzycki Generalny Inspektor Ochrony Danych Osobowych.

Zmiany w ustawie o ochronie danych osobowych

Obowiązek powoływania Administratora Bezpieczeństwa Informacji

Wprowadzenie. 2. Czy powołanie ABI jest obowiązkowe? [ ] Powstało mylne, powszechne przekonanie o konieczności powołania ABI [ ]

ZARZĄDZENIE Nr 105/2016 BURMISTRZA KARCZEWA z dnia 12 sierpnia 2016 r.

Zadania administratora bezpieczeństwa informacji w krajowych przepisach o ochronie danych osobowych aktualny stan prawny

ZARZĄDZENIE Nr 118/2006 Rektora Uniwersytetu Wrocławskiego z dnia 15 września 2006 r.

Nowe obowiązki Administratora Bezpieczeństwa Informacji sprawdzenie

KRAJOWA KONFERENCJA OCHRONY DANYCH OSOBOWYCH

SYSTEM EKSPLOATACJI SIECI PRZESYŁOWEJ

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

ROZPORZĄDZENIE MINISTRA FINANSÓW. z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania audytu wewnętrznego

z dnia 2015 r. w sprawie przeprowadzania audytu wewnętrznego oraz przekazywania informacji o pracy i wynikach audytu wewnętrznego

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

Karta audytu Uniwersytetu Śląskiego

Propozycje SABI w zakresie doprecyzowania statusu ABI

Program szkolenia - Rejestracja i bezpieczeństwo danych osobowych

Administrator Bezpieczeństwa informacji

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

Karta audytu Uniwersytetu Śląskiego w Katowicach

Sprawdzenie systemu ochrony danych

Szkolenie. Funkcja Administratora Bezpieczeństwa Informacji po deregulacji. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Karta Audytu Wewnętrznego Urząd Gminy i Miasta w Miechowie

OGÓLNOKRAJOWY REJESTR ADMINISTRATORÓW BEZPIECZEŃSTWA INFORMACJI

I Program szczegółowy akredytowanego Kursu dla Administratorów Bezpieczeństwa Informacji

ZASADY WEWNĘTRZNEJ KONTROLI JAKOŚCI PODMIOTU UPRAWNIONEGO DO BADANIA SPRAWOZDAŃ FINANSOWYCH. Postanowienia ogólne

Pierwsze doświadczenia w wykonywaniu funkcji IODy

Rola administratora bezpieczeństwa informacji w dyrektywie 95/46 oraz w prawodawstwie państw członkowskich UE. adw. dr Paweł Litwiński

WARSZTATY PRZYGOTOWUJĄCE DO OBJĘCIA FUNKCJI ABI I ASI. NOWE ZADANIA - SPRAWDZENIA, SPRAWOZDANIA, JAWNY REJESTR ZBIORÓW DANYCH.

Poz. 9 ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia 5 kwietnia 2016 r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

POJĘCIE, ZAKRES I TRYB SPRAWDZENIA PRZEPROWADZANEGO NA ZLECENIE GIODO

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

Zarządzenie Nr 2/2013 Prezydenta Miasta Kalisza z dnia 3 stycznia 2013r.

ZARZĄDZENIE NR 9 MINISTRA CYFRYZACJI 1) z dnia r. w sprawie Karty Audytu Wewnętrznego w Ministerstwie Cyfryzacji

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

Instytucja administratora bezpieczeństwa informacji przy obecnie obowiązujących przepisach prawa Pytania, odpowiedzi, fakty i mity

Zarządzanie bezpieczeństwem danych osobowych

OCHRONA DANYCH OSOBOWYCH W PLACÓWKACH OŚWIATOWYCH. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z dnia 1 stycznia 2015 r.

POLITYKA BEZPIECZEŃSTWA KRAJOWEGO REJESTRU KLIENTÓW HOTELOWYCH sp. z o.o.. Art. 1 Postanowienia ogólne

OCHRONA DANYCH OSOBOWYCH

SYSTEM EKSPLOATACJI SIECI PRZESYŁOWEJ

PROWADZENIE REJESTRU ZBIORÓW DANYCH OSOBOWYCH PRZEZ ABI BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH

OFERTA Usług audytowych i doradczych w zakresie ochrony danych osobowych dla jednostek administracji publicznej

Warszawa, 17 marca 2014 r.

W ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) wprowadza się następujące zmiany:

K A R T A. Audytu Wewnętrznego w Uniwersytecie Śląskim w Katowicach. Rozdział I. Postanowienia ogólne

Kontrola GIODO w firmie

Projektowane zmiany prawne statusu Administratora Bezpieczeństwa Informacji (ABI) dr Grzegorz Sibiga

PROGRAM NAUCZANIA KURS ABI

Rozdział 4 Procedura DPIA (Data Protection Impact Assessment)

Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. nr./2018

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r.

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

KARTA AUDYTU WEWNĘTRZNEGO

Warszawa, dnia 12 maja 2016 r. Poz. 20

Zarządzenie Rektora Politechniki Gdańskiej nr 36/2012 z 14 listopada 2012 r.

POLITYKA BEZPIECZEŃSTWA w STAROSTWIE POWIATOWYM w ŻYWCU. Rozdział I. Postanowienia ogólne, definicje

Rozdział 1 PRZEPISY OGÓLNE

Załącznik do Zarządzenia Nr160/08 z dnia 8 kwietnia 2008 r. KARTA AUDYTU WEWNĘTRZNEGO. 2. Adres Jednostki Bielsk Podlaski, Kopernika 1

Polityka Bezpieczeństwa i Ochrony Danych Osobowych przetwarzanych przez Instytut Filozofii i Socjologii Polskiej Akademii Nauk. z siedzibą w Warszawie

POLITYKA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

Uchwała wchodzi w życie z dniem uchwalenia.

Metodyka pracy administratora bezpieczeństwa informacji

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

ZARZĄDZENIE NR 19/2019 STAROSTY SIEDLECKIEGO. z dnia 4 kwietnia 2019 r.

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI. zadania: przepisami; Nowe kompetencje GIODO: Administratora danych; Przekazywanie danych do państw trzecich:

MEMORANDUM INFORMACYJNE

KARTA AUDYTU WEWNĘTRZNEGO

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

Zarządzenie Nr R 48/2011 Rektora Politechniki Lubelskiej z dnia 1 września 2011 r.

Wydawanie upoważnień do przetwarzania danych osobowych 1

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

Regulamin Komisji Przetargowej

Szczegółowe informacje o kursach

REGULAMIN AUDYTU WEWNĘTRZNEGO W NARODOWYM FUNDUSZU ZDROWIA. 1. Celem przeprowadzania audytu wewnętrznego jest usprawnianie funkcjonowania NFZ.

OD ADMINISTRATORA DO INSPEKTORA DEBATA NA TEMAT

Administrator bezpieczeństwa informacji, urzędnik do spraw ochrony danych osobowych, inspektor ochrony danych analiza porównawcza. dr Grzegorz Sibiga

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ

KARTA AUDYTU WEWNĘTRZNEGO

Zmiana obowiązków zabezpieczania danych osobowych

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

URZĄD MIASTA ZIELONA GÓRA PLAN SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH

ZARZĄDZENIE Nr 120/2011 Rektora Uniwersytetu Wrocławskiego z dnia 29 grudnia 2011 r.

Zarządzenie Nr 424/2009 Prezydenta Miasta Kalisza z dnia 29 września 2009 r.

Zarządzenie Nr 17/2010 Burmistrza Krapkowic z dnia 22 kwietna 2010 roku

Załącznik nr 7 do SIWZ OP-IV PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych

REGULAMIN KOMITETU RYZYKA RADY NADZORCZEJ ING BANKU ŚLĄSKIEGO S.A.

Transkrypt:

Lp. Zgłoszona uwaga do paragrafu rozporządzenia Zgłaszający Stanowisko 2. Ad. 2 pkt 3 1. W par. 2 pkt 3 nie jest do końca jasne, kto komu zleca czynności sprawdzenia: ABI GIODO czy GIODO ABI? Po słowie zwrócenia się dodać sformułowanie do ABI. 3. Ad. 3. ust. 2 pkt. 1 i 2 W 3 ust. 2 pkt 1 i 2 należy dokonać korekty redakcyjnej: 2. W 3 ust. 2 pkt 1 zamienić treść na: "1) sprawdzenia planowego - według planu sprawdzeń, o którym mowa w ust. 3, przygotowanego przez administratora bezpieczeństwa informacji; W 3 ust. 2 pkt 2 po słowach: "przez administratora bezpieczeństwa informacji" dodać słowo: "informacji". 3. Ad. 3. ust. 4 Przepis w obecnym brzmieniu powoduje, że każde sprawdzenie musi obejmować w szczególności całą inwentaryzację przetwarzanych zbiorów oraz całościowe sprawdzenie realizacji wszystkich obowiązków ustawowych, co w przypadku dużych organizacji jest długotrwałe. Proponujemy przeredagowanie zapisów w taki sposób, aby ABI mający niezależność w wykonywaniu sprawdzenia ustalał jego zakres w zależności od potrzeb w odniesieniu do weryfikacji poszczególnych obowiązków ustawowych. Proponujemy następujące brzmienie pierwszego zdania w ust. 4: 1

Administrator bezpieczeństwa informacji w planie sprawdzeń ustala ich zakres, w zależności od potrzeb, w odniesieniu do konieczności inwentaryzacji zbiorów danych osobowych przetwarzanych przez administratora danych oraz weryfikacji zgodności przetwarzania danych osobowych, w tym: Natomiast należy też wziąć pod uwagę, że delegacja do rozporządzenia w art. 36a ust. 9 pkt 1 odnosi się do trybu i sposobu realizacji zadań wynikających z art. 36a ust. 2 pkt. 1 lit. a i b. Natomiast nie odnosi się do zakresu zadań jakie ma obowiązek wykonywać ABI, dlatego podawanie co ma w szczególności uwzględnić w sprawdzeniu ABI jest niezgodne z delegacją ustawową. Pojawia się zatem pytanie: czy takie zapisy w par. 3 ust. 4 są zgodnie z delegacją ustawową? Ad. 3 ust. 7 Przy sprawdzeniu dokonywanym przez ABI dla GIODO nie ma zapisów dotyczących trybu powiadamiania ADO przez ABI. Przy sprawdzeniu planowym i pozaplanowym wymóg takiego powiadomienia jest zapisany w par. 3 ust 7. Proponujemy uzupełnienie w tym zakresie ust. 7: 4. Administrator danych przyjmuje od administratora bezpieczeństwa informacji do wiadomości: 1. plan sprawdzeń, 2. zawiadomienie o sprawdzeniu pozaplanowym, 3. zawiadomienie o otrzymaniu wystąpienia GIODO o dokonanie sprawdzenia, o którym mowa w art. 19b ust. 1 ustawy. 2

4. Ad. 4. ust. 2 5. W przypadku sprawdzenia planowego sporządzanie programu będzie powielać przygotowany plan sprawdzeń. Zapisy dotyczące zakresu czynności oraz sposób i zakres ich dokumentowania mogą być zawarte w planie sprawdzeń. Proponujemy wykreślenie pkt 2 lub rozważenie pozostawienia zapisu o wymogu przygotowywania programu jedynie dla sprawdzenia pozaplanowego. 6. Ad. 4. ust. 3 W par. 4 ust. 3 pkt 3 jest mowa o dokumentach dotyczących przetwarzania danych. Natomiast nie zawsze będą to dokumenty papierowe. Mogą być to również zapisy elektroniczne lub np. nagrania rozmów telefonicznych. Proponujemy zmianę zapisów w pkt 3 na: Wgląd do dokumentów i danych mających związek z przedmiotem sprawdzenia i przeprowadzenie ich analizy 7. Ad. 4. ust. 6 W par. 4 ust. 6 wprowadzono obowiązek asysty osób upoważnionych do przetwarzania danych, w tym w szczególności administratora systemu. Wyklucza to wykonywanie tych czynności przez ABI samodzielnie. Natomiast w praktyce ABI ma dostęp do systemu informatycznego, i jako uprawniony i upoważniony użytkownik może wykonywać takie czynności w zakresie swoich uprawnień dostępowych. Jeśli natomiast dostęp ten przekracza uprawnienia ABI i będzie on potrzebował pomocy ze strony innych osób, to i tak się do nich zwróci. Rozumiemy, że intencją tego zapisu jest ryzyko żądania przez ABI nadania mu szczególnych uprawnień 3

dostępowych do system w ramach przeprowadzenia sprawdzenia (np. uprawnień administratora systemu). W praktyce wykonywania zadań ABI nie spotyka się takich sytuacji. Dlatego proponujemy usunięcie zapisu lub jego przeredagowanie: W systemie informatycznym służącym do przetwarzania danych osobowych czynności, o których mowa w ust. 3, wykonywane są przez administratora bezpieczeństwa informacji w zakresie przyznanych mu uprawnień dostępowych lub przy udziale osób upoważnionych do przetwarzania danych, w szczególności administratora systemu. Ad. 4. ust. 7 8. W par. 4 ust 7 mamy wątpliwość czy zastosowanie słowa "albo" jest tu właściwe. Dokumenty, o których mowa w ust. 4 mogą być zarówno elektroniczne, jak i papierowe. Proponujemy zmianę zapisów na: Dokumenty, o których mowa w ust. 4, mogą być sporządzane w postaci papierowej lub elektronicznej. 9. Ad. 4. ust. 8 Nie można zabronić ABI aby zwracał się o opinie prawne lub techniczne i organizacyjne do specjalistów posiadających wiedzę dotycząca przepisów o ochronie danych osobowych. Jest to zbyt daleko idące ograniczanie swobody działalności gospodarczej; jest to wewnętrzna sprawa organizacji i nie powinno się tego regulować. Wymóg posiadania odpowiedniej wiedzy przez ABI, który wynika obecnie z przepisów ustawy nie oznacza, że ABI musi posiadać wiedzę interdyscyplinarną z dziedziny prawa, zarządzania czy technologii informatycznych i nie znaczy, że nie może zasięgać opinii ekspertów. Nie można zatem ograniczać jego prawa do konsultacji z fachowcami w zakresie ochrony danych, dotyczących skomplikowanych i zawiłych stanów faktycznych przetwarzania danych osobowych. Orzecznictwo GIODO i WSA pokazują jak trudne i długie jest nieraz rozwikłanie takich stanów faktycznych w zgodzie z obowiązującymi przepisami o ochronie danych osobowych. Przepis ten, w proponowanym brzmieniu, odbiera ABI możliwość wnioskowania do ADO o wydanie opinii 4

dotyczącej złożonych stanów faktycznych przetwarzania danych osobowych. ABI powinien posiadać taką możliwość. Po za tym w organizacjach działają różnego rodzaju specjaliści (np. radca prawny, księgowy, kadrowiec), którzy powinni również posiadać należytą wiedzę na temat swojego zakresu obowiązków, a mimo to nie ma przepisu, który zabraniałby im korzystać ze wsparcia zewnętrznych konsultantów. Wprowadzenia takiego ograniczenia w stosunku do ABI jest bezpodstawne. Pojawia się również wątpliwość czy zapis ten nie przekracza delegacji ustawowej do tego rozporządzenia. Należy zatem usunąć w całości ust. 8. 5. Ad. 5. ust. 2 i 3 10. Pojawiają się wątpliwości czy zapis ten nie jest zbędnym formalizmem oraz czy nie niesie za sobą niepotrzebnego wydłużenia czasu sprawdzenia. W wielu przypadkach sprawdzenie będzie dotyczyło różnych procesów przetwarzania danych osobowych, w które zaangażowane są różne osoby z wielu komórek organizacyjnych ADO. W toku sprawdzenia może pojawić się konieczność objęcia nim również innych osób, których wcześniej nie przewidziano. Przy takim zapisie każda osoba niepowiadomiona ma prawo odmówić poddania się czynnościom sprawdzającym (bo niebyła zawiadomiona w terminie), co uniemożliwi realizację sprawdzenia przez ABI, a przynajmniej znacznie ją opóźni. W szczególności gdy ABI będzie przeprowadzać sprawdzenie w terenie (co wiąże się z dodatkowymi kosztami). Proponujemy zatem usunięcie par. 5 ust. 2 i 3. 6. Ad. 6. ust. 2 11. W organizacjach pozarządowych stosowanie tego typu rozwiązań jest śladowe i wymóg ten uniemożliwiłby 5

większości przedsiębiorcom sporządzanie elektronicznych sprawozdań do własnych organizacyjnych potrzeb, gdzie istnieją wdrożone elektroniczne systemy obiegu dokumentów, a wszystkie dokumenty są przechowywane i udostępniane do wglądu jedynie w formie elektronicznej (bez konieczności stosowania kwalifikowanych certyfikatów). Proponujemy rozważenie pozostawienia konieczności podpisywania sprawozdania kwalifikowanym certyfikatem lub podpisem potwierdzonym profilem zaufanym jedynie w przypadku sprawozdania dla Generalnego Inspektora. 8. Ad. 8 pkt 4 Zapis o spełnieniu wymogu "weryfikacji skuteczności zabezpieczeń" oznacza konieczność przeprowadzenia przez ABI m. in. testów bezpieczeństwa systemu np. testów penetracyjnych związanych z ryzykiem nieautoryzowanego dostępu do danych. Nie wydaje się, żeby to było zadanie dla ABI. ABI, na podstawie posiadanej wiedzy powinien ocenić, czy zastosowane środki zabezpieczeń są adekwatne do ryzyk. 12. 13. Proponujemy zmianę zapisu w pkt. 4: 8. Nadzór, o którym mowa w 1 pkt 2, polega na weryfikacji: (...) 4) skuteczności adekwatności przewidzianych w dokumentacji przetwarzania danych, środków technicznych i organizacyjnych zabezpieczenia rozwiązań dla służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych; Ad. 8 pkt 5 W par. 8 pkt 5 przed słowem obowiązków dodać zasad i ponieważ ABI ma nadzorować zgodnie z art. 36a ust. 2 pkt. 1 lit b przestrzeganie zasad określonych w dokumentacji przetwarzania danych. 6

10. Ad. 10 ust. 1 W zapisach ust. 1 pkt 1 i 2 pojawia się wymóg przedstawienia ADO przez ABI do wdrożenia dokumentów aktualizacyjnych. Zapis ten jest sprzeczny z zadaniami ABI określonymi w art. 36a ust. 2 pkt 1 lit. b - nie ma tam mowy, że ABI ma obowiązek opracowywać dokumentację dotycząca ochrony danych. Natomiast ADO może mu to zlecić jako dodatkowe zadanie zgodnie z art. 36a ust. 4. 14. Dlatego w pkt 1 i 2 ust. 10 należy zmienić zapisy: W przypadku wykrycia podczas weryfikacji nieprawidłowości administrator bezpieczeństwa informacji: 1) zawiadamia administratora danych o nieopracowaniu lub brakach w dokumentacji przetwarzania danych lub jej elementach oraz działaniach podjętych w celu doprowadzenia dokumentacji do wymaganego stanu, w szczególności może przedstawić mu do wdrożenia dokumenty usuwające stan niezgodności; 2) zawiadamia administratora danych o nieaktualności dokumentacji przetwarzania danych oraz może przedstawić administratorowi danych do wdrożenia dokumenty aktualizujące; 15. 16. W par. 10 ust. 1 pkt 3 po słowach zasad dodać i obowiązków. 11. Proponujemy wykreślenie zapisu: a w przypadku administratora bezpieczeństwa informacji, o którym mowa w art. 35 ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz. U. poz. 1662) w terminie do dnia 30 kwietnia 2015 r.. Zmiana ustawy miała w swych założeniach wprowadzić okres przejściowy, w którym ADO miałby czas na podjęcie decyzji czy powołać ABI na nowych zasadach i zarejestrować go w GIODO do 30 czerwca 2015 r. Niefortunnie zapis 7

przejściowy w ustawie deregulacyjnej (art. 35) wprowadził obowiązek wykonywania wszystkich nowych zadań już od 1 stycznia przez dotychczasowych ABI, bez względu czy spełniają oni kryteria dla nowego ABI oraz czy będą oni powołani wg nowych przepisów. Aby nie wprowadzać zbędnego zamieszania organizacyjnego u ADO, którzy będą podejmować decyzję organizacyjne o tym czy powołać ABI na nowych zasadach lub nie, proponujemy rozważenie zrezygnowania z przepisu przejściowego dotyczącego podania terminu dla przedstawienia planu sprawdzeń przez dotychczasowych ABI. Jeżeli nie zostaną oni wyznaczeni do 30 czerwca, to i tak nie będą musieli wykonywać sprawdzeń zgodnie z wytycznymi tego rozporządzenia, a jeżeli zostaną powołani 30 czerwca, to przedstawią plan do 30 lipca. Sytuacja ta nie będzie wpływać na wykonywanie bieżącego nadzoru nad przetwarzaniem danych. 13. 17. W par. 13 zamienić zapis: "oraz nadzór na dokumentacją" na: "oraz nadzór nad dokumentacją". 15. Wyłączenie odpowiedniego stosowania przepisów rozporządzenia do ADO, o którym mowa w art. 36b powinno obejmować: 1) sprawdzenie, o którym mowa w par. 3 ust. 1 pkt 2 rozporządzenia, oraz 2) sprawozdanie, o którym mowa w par. 6 ust. 3 pkt 3 rozporządzenia. 18. Brak takiego wyłączenia oznaczałby, że ten ADO ma dokonywać sprawdzenia samego siebie na zlecenie GIODO. Nie ma takiego rodzaju sprawdzenia w ustawie i nie można go wprowadzać w drodze rozporządzenia. Sprawdzenie, o którego dokonanie zwrócił się GIODO na podstawie art. 19b ust. 1 ustawy, może przeprowadzić tylko ABI. GIODO może mu powierzyć wykonanie takiego zadania "ze względu na niezależną kompetencję kontrolną" jaką posiada ABI. Taką intencję ustawodawcy znajdujemy na str. 18 uzasadnienia rządowego projektu ustawy o ułatwieniu wykonywania działalności gospodarczej. 8

Proponujemy nowe brzmienie: 15. Do administratora danych, o którym mowa w art. 36b ustawy, stosuje się odpowiednio przepisy rozporządzenia, z wyłączeniem obowiązków: 1. dokonania sprawdzenia dla GIODO w przypadku, o którym mowa w 3 ust. 1 pkt 2, 2. sporządzenia sprawozdania, o którym mowa w 6, 3. zawiadomień, o których mowa w 10 ust. 1. Administrator danych nie będący osobą fizyczną wskazuje osoby wykonujące czynności lub opracowujące dokumenty określone w rozporządzeniu. 9

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres