Od ponad dwóch miesięcy nie wydano kluczowych rozporządzeń do znowelizowanych przepisów. Efekt? Nie wiadomo co dzieje się z rejestrami zbiorów danych.
Od początku tego roku część przedsiębiorców przetwarzających dane osobowe może korzystać z udogodnień wprowadzonych ustawą o ułatwieniu wykonywania działalności gospodarczej. Wśród nowelizowanych przez nią aktów prawnych była również ustawa o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182). Na podstawie tych zmian firmy, które powołają administratorów bezpieczeństwa informacji (ABI), nie muszą już rejestrować zbiorów danych osobowych u generalnego inspektora ochrony danych osobowych (GIODO). Wystarczy, że ABI zostanie wpisany do rejestru prowadzonego przez GIODO.
Wpłynęło już 1880 zgłoszeń o powołaniu ABI, ale na razie zarejestrowanych zostało tylko 350 z nich. Wiele zgłoszeń jest obarczonych brakami formalnymi i błędami, dlatego wciąż nie można było zakończyć postępowań rejestracyjnych – tłumaczy Małgorzata Kałużyńska-Jasak, rzecznik prasowy GIODO.
Brak informacji
Firma czy instytucja publiczna, które powołają ABI, nie tylko nie muszą zgłaszać nowych zbiorów, ale również aktualizować starych (z wyjątkiem danych wrażliwych). Problem polega na tym, że wciąż brakuje dwóch kluczowych aktów wykonawczych do znowelizowanych przepisów. Chodzi o rozporządzenia: w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych oraz w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych.
Mamy do czynienia z bardzo niepokojącą sytuacją. Tak naprawdę to nikt w tej chwili nie wie, co dzieje się z nowymi zbiorami danych osobowych wszędzie tam, gdzie działa ABI – alarmuje dr Paweł Litwiński, adwokat, ekspert Instytutu Allerhanda.
Nie ma bowiem ani przepisów precyzujących, w jaki sposób powinny być prowadzone rejestry zbiorów danych, ani też w jaki sposób mają być przeprowadzane sprawdzenia przez ABI. Można wręcz powiedzieć, że od 1 stycznia 2015 r. część zbiorów została wyjęta spod prawa – twierdzi ekspert.
Mówiąc wprost – ABI prawdopodobnie prowadzą rejestry zbiorów (nikt tego w tej chwili nie jest w stanie zweryfikować), lecz nie mogą mieć pewności, czy robią to w sposób właściwy. Podobnie jak i nie mogą dokonywać sprawdzenia zgodności przetwarzania danych osobowych z przepisami. To ostatnie jest tym ważniejsze, że dokonując takiego sprawdzenia, ABI mają niejako zastępować kontrolę GIODO. Na razie jednak sam GIODO nie wie, co powinno być sprawdzane.
Brak tych przepisów wykonawczych odnosi się również do działalności generalnego inspektora – przyznaje Małgorzata Kałużyńska-Jasak.
Problem dotyczy głównie prowadzonych przez inspektorów GIODO kontroli w zakresie weryfikacji, czy właściwie wypełniane są – zarówno przez administratorów danych osobowych, jak i administratorów bezpieczeństwa informacji – zadania określone w art. 36 a ust. 2, pkt 1 i pkt 2 ustawy – precyzuje.
Wymienione przez nią przepisy dotyczą obowiązku przetwarzania danych w zgodzie z ustawą i prowadzenia rejestru zbiorów.
Firmy nie powołują
Za przygotowanie rozporządzeń odpowiedzialne jest Ministerstwo Administracji i Cyfryzacji. Zdawało ono sobie sprawę, jak istotne są te przepisy.
„Jak najszybsze określenie trybu i sposobu realizacji zadań administratora bezpieczeństwa informacji bądź w przypadku, gdy go nie wyznaczono – administratora danych, jest niezbędne dla uniknięcia stanu niepewności prawnej oraz konieczne dla poszanowania zasady zaufania obywateli do państwa, którzy to mogą oczekiwać, iż ważne dla nich przepisy prawa zostaną wydane w najszybszym możliwym terminie” – napisało w grudniu 2014 r. w uzasadnieniu jednego z projektów.
Dlaczego zatem wciąż nie ma tych dwóch aktów wykonawczych? W piątek spytaliśmy o to MAiC. Niestety, do chwili oddania tego numeru gazety do druku nie uzyskaliśmy odpowiedzi. Podobnie jak na pytanie o to, kiedy można spodziewać się rozporządzeń.
Mam nadzieję na jak najszybsze ich wydanie przez MAiC. Nie wyobrażam sobie, by nadal ich nie było po 30 czerwca. To data graniczna, po której zakończy się okres przejściowy, w którym ABI mogą jeszcze funkcjonować na wcześniejszych zasadach – mówi dr Paweł Litwiński.
Brak rozporządzeń może być powodem tego, że na razie tak mało prywatnych przedsiębiorców ma zarejestrowanych ABI. Przegląd wpisów internetowego rejestru GIODO pokazuje, że większość zgłoszeń pochodzi od podmiotów publicznych, takich jak szkoły, urzędy gmin, ośrodki pomocy społecznej czy nawet areszty. Spółek jest bardzo mało.