Rejestry zbiorów danych osobowych będą mogły być prowadzone w formie elektronicznej

A A A

Projekt rozporządzenia Ministra Administracji i Cyfryzacji określa sposoby prowadzenia rejestrów zbiorów danych. Wprowadza również zasady ich udostępniania zarówno w postaci elektronicznej, jak i papierowej. Ponadto podkreślenia wymaga fakt, że rozporządzenie dodatkowo wprowadza zasadę jawności rejestrów zbiorów danych.

Rozporządzenie stanowi wykonanie upoważnienia ustawowego wprowadzonego do ustawy z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.); dalej: OchrDanychU nowelizacją, która weszła w życie 1.1.2015 r. Nowelizacja ta reguluje m.in. podstawowe zadania administratorów bezpieczeństwa informacji (ABI), do których należy prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych.

Projekt rozporządzenia określa przede wszystkim sposoby prowadzenia rejestrów zbiorów danych.

Według nowych przepisów, rejestry zbiorów danych będą mogły być prowadzone zarówno w formie papierowej, jak i elektronicznej.

Projektodawca nie przesądził, co ma decydować o wyborze konkretnej formy prowadzenia rejestru, nie określił również kryteriów, którymi należy się kierować przy podejmowaniu decyzji o wyborze jednej z form.

Wybór w tym względzie został pozostawiony każdorazowo ABI. Podkreślić należy, że projekt rozporządzenia umożliwia prowadzenie rejestru w postaci elektronicznej bez konieczności opatrzenia go bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu.

Rozporządzenie będzie także określać zasady dokonywania wpisów do rejestru zbiorów danych. Przede wszystkim przy dokonywaniu wpisu do rejestru zbiorów danych zawsze należy podać datę dokonania wpisu i datę ostatniej modyfikacji (§ 3 ust. 2 projektu rozporządzenia).

Wpis dokonany przez ABI, powinien być w „powszechnie zrozumiałej formie”

Warto przy tym zauważyć, że projekt rozporządzenia nakłada na ABI dokonujących wpisów obowiązek zamieszczania informacji w „powszechnie zrozumiałej formie”. Niestety, ani w projekcie rozporządzenia, ani w uzasadnieniu do projektu nie zostało zdefiniowane to pojęcie, dlatego należy się spodziewać, że jako zwrot niedookreślony stanie się przedmiotem kontrowersji i licznych orzeczeń.

Jawności rejestrów zbiorów danych

Rozporządzenie wskazuje również sposoby udostępniania takich rejestrów zbiorów danych, prowadzonych przez ABI. Przede wszystkim podkreślenia wymaga fakt, że rozporządzenie wprowadza zasadę jawności rejestrów zbiorów danych.

Jeżeli rejestr jest prowadzony w formie elektronicznej, udostępnienie do publicznej wiadomości następuje przez umieszczenie go na stronie internetowej administratora danych lub zapewnienie dostępu na stanowiskach dostępowych w siedzibie lub miejscu zamieszkania administratora danych (§ 5 ust. 1 pkt 1–2 projektu rozporządzenia).

Jeżeli rejestr jest prowadzony w formie tradycyjnej (papierowej), udostępnia się go do wglądu w siedzibie lub miejscu zamieszkania administratora danych.

Co ważne, projekt rozporządzenia nie zawiera żadnych wymagań odnośnie do legitymowania się interesem faktycznym lub prawnym w celu przeglądania rejestru.

Informacje, które będą musiały znaleźć się w prowadzonym rejestrze:

  • nazwa zbioru danych;
  • oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania;
  • w przypadku powierzenia przetwarzania danych – oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 OchrDanychU i adres jego siedziby lub miejsca zamieszkania;
  • podstawa prawna upoważniającą do prowadzenia zbioru danych, cel przetwarzania danych w zbiorze.
 

Uwagi do projektu

Warto podkreślić, że podczas zgłaszania uwag do projektu przez zainteresowane podmioty, Ministerstwo Finansów zwróciło uwagę na poważny brak w treści projektu rozporządzenia. Mianowicie na brak jednoznacznego rozstrzygnięcia, czy elektroniczny rejestr jest uważany za „system” (zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania zapewniający przetwarzanie, przechowywanie, a także wysyłanie i odbieranie danych przez sieci telekomunikacyjne) w zakresie zdefiniowanym w przepisach ustawy z 17.2.2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (t.j. Dz.U. z 2014 r. poz. 1114). Z kontekstu i sformułowania przepisów wydaje się, że projektowane rozwiązania spełniają definicję zawartą w art. 3 pkt 3 ustawy o informatyzacji, brak jednak w tym względzie jednoznacznych argumentów.

Być może powyższa nieścisłość zostanie wyjaśniona w toku prac nad projektem rozporządzenia, z uwagi na fakt, że Ministerstwo Administracji i Cyfryzacji skierowało m.in. tę wątpliwość do dalszego wyjaśnienia.

W momencie oddawania czasopisma do druku prace nad projektem jeszcze trwały.

Podstawa prawna

  • art. 36a ust. 9 pkt 2 ustawy z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.)

  • art. 3 pkt 3 ustawy z 17.2.2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (t.j. Dz.U. z 2014 r. poz. 1114)

Ocena artykułu:
Oceniono 0 razy
Oceniłeś już ten artykuł.
Artykuł został oceniony.
Podziel się ze znajomymi
Artykuł:
Rejestry zbiorów danych osobowych będą mogły być prowadzone w formie elektronicznej
Łukasz Majchrzyk
Do:
Od:
Wiadomość:
Zaloguj się lub zarejestruj, aby dodać komentarz.
 
Wyrok V CSK 283/10
Obliczanie terminu przedawnienia roszczenia o zachowek
Zamów
 

Prenumerata

Moduł tematyczny