Firmy nie będą musiały rejestrować zbiorów, jeśli powołają specjalną osobę dbającą o ich bezpieczeństwo.
To jeden z elementów pakietu deregulacyjnego przedstawionego przez Ministerstwo Gospodarki. Zgodnie z jego założeniami przedsiębiorcy, ale też administracja centralna czy samorządowa, szkoły i inne instytucje przetwarzające dane osobowe byliby zwolnieni z obowiązku ich rejestracji u generalnego inspektora ochrony danych osobowych.
Tylko wrażliwe
– Zmiany te będą promować tych przedsiębiorców, którzy sami potrafią zadbać o ochronę danych. Jeśli powołają specjalną osobę, to zostaną uwolnieni od niektórych obowiązków administracyjnych – wyjaśnia dr Wojciech Wiewiórowski, generalny inspektor ochrony danych osobowych, z którym resort gospodarki konsultował propozycje nowelizacji.
Ta specjalna osoba to administrator bezpieczeństwa informacji. Jeśli spełni określone w przepisach wymogi, to przejmie pewną część czynności zarezerwowanych dzisiaj dla GIODO. Przede wszystkim nie będzie musiał rejestrować zbioru (chyba że będzie on zawierał dane wrażliwe).
– W praktyce rejestracja zbioru nie odgrywa dużej roli, jeśli chodzi o bezpieczeństwo samych danych osobowych, a oznacza spore utrudnienia biurokratyczne dla przedsiębiorców. Każda informacja zgłaszana GIODO musi być aktualizowana.
W praktyce nierzadko wiąże się to z koniecznością zatrudniania dodatkowych osób, które zajmują się wyłącznie kontaktami z GIODO – mówi Marcin Lewoszewski, prawnik w kancelarii CMS Cameron McKenna.
Z obowiązku rejestracji zostaną też zwolnieni ci, którzy przetwarzają dane w inny sposób niż z wykorzystaniem systemów informatycznych.
yłaby to duża ulga dla drobnych usługodawców czy sprzedawców, którzy prowadzą niewielkie kartoteki z danymi gromadzonymi np. w związku z reklamacjami zgłaszanymi przez klientów.
Samokontrola
Propozycje resortu gospodarki idą jeszcze dalej.
– Przedsiębiorcy, ale także instytucje administracji publicznej, jeśli powołają administratora bezpieczeństwa informacji, będą mogli dokonywać samokontroli w miejsce dotychczasowych inspekcji GIODO. Zgodnie z zasadą zaufania będziemy zakładać, że administrator jest w stanie sam rzetelnie wypełnić te zadania.
Oczywiście jeśli coś wzbudzi nasze poważne wątpliwości, będziemy mogli przeprowadzić dodatkową inspekcję – tłumaczy dr Wiewiórowski.
– Nie wiem, czy jesteśmy już gotowi, by oddać całą kontrolę w ręce samych administratorów bezpieczeństwa informacji. Obawiam się, że może to być o jeden krok za daleko. GIODO powinien jednak pełnić nadzór nad tym, w jaki sposób są przetwarzane dane – ocenia Marcin Lewoszewski.
Jeśli okaże się, że administrator bezpieczeństwa informacji przestanie spełniać określone wymagania, zostanie wykreślony z rejestru.
To zaś będzie oznaczać dla firmy, że na nowo podlega obowiązkom związanym z przetwarzaniem danych osobowych (rejestracja zbiorów) i znów musi się liczyć z kontrolą ze strony GIODO.
Etap legislacyjny
Projekt założeń skierowany do konsultacji społecznych