• Nie Znaleziono Wyników

3. Rozporządzenie wchodzi w życie po upływie 6 tygodni od dnia ogłoszenia.

N/A
N/A
Protected

Academic year: 2022

Share "3. Rozporządzenie wchodzi w życie po upływie 6 tygodni od dnia ogłoszenia."

Copied!
5
0
0

Pełen tekst

(1)

Projekt z dnia 9 lipca 2008

ROZPORZĄDZENIE

MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI1) z dnia 2008 r.

w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych

Na podstawie art. 46a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.2)) zarządza się, co następuje:

§ 1. Określa się wzór zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, stanowiący załącznik do rozporządzenia.

§ 2. Traci moc rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 100, poz. 1025).

§ 3. Rozporządzenie wchodzi w życie po upływie 6 tygodni od dnia ogłoszenia.

1) Minister Spraw Wewnętrznych i Administracji kieruje działem administracji rządowej – administracja publiczna, na podstawie § 1 ust. 2 pkt 1 rozporządzenia Prezesa Rady Ministrów z dnia 16 listopada 2007 r. w sprawie szczegółowego zakresu działania Ministra Spraw Wewnętrznych i Administracji (Dz. U. Nr 216, poz.

1604).

2) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2002 r. Nr 153, poz. 1271, z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285, z 2006 r. Nr 104, poz. 708 i poz. 711 oraz z 2007 r. Nr 165, poz. 1170 i Nr 176, poz 1238.

(2)

UZASADNIENIE

Propozycja wprowadzenia nowego wzoru zgłoszenia do rejestracji zbioru danych osobowych, będącego załącznikiem do rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, wydanego na podstawie art. 46a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn.

zm.), zwanej dalej „ustawą”, które miałoby zastąpić rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku (Dz. U. Nr 100, poz. 1025), wynika z oceny kilkuletniego funkcjonowania formularza zgłoszenia w praktyce. Nie ulega wątpliwości, że prawidłowe zgłoszenie zbioru do rejestracji sprawia administratorom danych wiele trudności. W ponad połowie zgłoszeń nadsyłanych do Biura Generalnego Inspektora Ochrony Danych Osobowych brak informacji, które - zgodnie z przepisami ustawy - powinno zawierać zgłoszenie. Najwięcej problemów wiąże się wypełnianiem części E formularza, która dotyczy informacji o środkach technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 ustawy. We wskazanych przepisach ustawodawca określa na czym ma polegać zabezpieczenie danych, używając z jednej strony nieostrych i niejednoznacznych zwrotów, w szczególności: „administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem”, z drugiej zaś, wprost wskazuje jakie zabezpieczenia zobowiązany jest zastosować administrator danych, tj. prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne powzięte dla ich ochrony, wyznaczenie administratora bezpieczeństwa informacji, dopuszczenie do przetwarzania danych wyłącznie osób posiadających upoważnienie nadane przez administratora danych oraz prowadzenie ewidencji takich osób. Obecnie, ze względu na opisowy charakter tej części zgłoszenia, administratorzy danych podają często wiele informacji związanych z zabezpieczeniem zbiorów nie zawsze istotnych z punktu widzenia spełnienia wymogów ustawowych, nie podając jednocześnie informacji o zabezpieczeniach wymaganych wprost przepisami ustawy. Należy podkreślić, że stwierdzenie powyższych nieprawidłowości w zgłoszeniu obliguje Generalnego Inspektora Ochrony Danych Osobowych do wydania decyzji o odmowie rejestracji zbioru danych. Wraz z odmową rejestracji Generalny Inspektor może nakazać ograniczenie przetwarzania danych lub ich usunięcie ze zbioru, a więc skutki błędnego wypełnienia formularza zgłoszenia mogą mieć negatywny wpływ na całą działalność wnioskodawcy, często wręcz uniemożliwiając jej kontynuowanie. Głównym celem modyfikacji jest zatem uporządkowanie i zwiększenie

(3)

transparentności części E formularza zgłoszenia, co doprowadzi do jej uproszczenia i wyeksponowania zasadniczych obowiązków administratora danych dotyczących zabezpieczeń danych w zbiorze. Spowoduje to zmniejszenie liczby nieprawidłowo wypełnionych zgłoszeń, wymagających prowadzenia postępowania wyjaśniającego, które przedłuża proces rejestracji zbioru. Jest to szczególnie istotne obecnie, gdy - w związku z prowadzoną przez Generalnego Inspektora Ochrony Danych Osobowych zintensyfikowaną działalnością edukacyjną i informacyjną - wzrasta świadomość przedsiębiorców dotycząca zasad ochrony danych osobowych i obowiązków związanych z ich realizacją, w tym obowiązku zgłoszenia do rejestracji prowadzonych zbiorów danych, co przekłada się na zwiększenie liczby wpływających zgłoszeń. Zatem wprowadzenie nowego wzoru zgłoszenia będzie miało wpływ na zapewnienie właściwej realizacji ustawowego zadania Generalnego Inspektora Ochrony Danych Osobowych, określonego w art. 12 pkt 3 ustawy, polegającego na prowadzeniu rejestru zbiorów danych osobowych.

Różnice między treścią obecnie obowiązującego, a nowego wzoru zgłoszenia do rejestracji, będą polegały na:

- dodaniu w punkcie 15 (część E) dodatkowych podpunktów b) i c) charakteryzujących zgłoszony do rejestracji zbiór i zamieszczeniu dotychczasowych pól punktu 15 w podpunkcie a). Wnioskodawca wypełniając pola podpunktu b) będzie składał jednoznaczne oświadczenie, czy do przetwarzania danych w zbiorze używany jest system informatyczny, czy też dane te gromadzone są wyłącznie w formie dokumentacji papierowej. W przypadku przetwarzania danych przy użyciu systemów informatycznych wnioskodawca będzie dodatkowo oświadczał w podpunkcie c) czy urządzenia wykorzystywane do przetwarzania danych połączone są z siecią publiczną, czy też nie posiadają takiego połączenia. Praktyka dowodzi, że ze zgłoszenia nie zawsze wynika w jakiej postaci (tradycyjnej czy informatycznej) prowadzony jest zbiór danych osobowych, a w przypadku zbiorów danych przetwarzanych w systemie informatycznym, czy jest połączenie z siecią publiczną. Te informacje są zaś niezbędne dla oceny prawidłowości zastosowanego poziomu zabezpieczeń, o którym mowa w punkcie 17 części F zgłoszenia.

- rezygnacji w punkcie 16 z dotychczasowej treści podpunktów a)-g) implikujących opisowy charakter informacji i zastąpienie ich nowymi podpunktami a)-e), w których wnioskodawca będzie składał oświadczenie o spełnieniu konkretnych wymogów w zakresie zabezpieczeń, wyłącznie poprzez zaznaczenie pola wyboru oraz podpunktem f) o charakterze opisowym. W podpunkcie f) wnioskodawca będzie miał możliwość podania informacji o innych środkach,

(4)

niż wymienione w podpunktach a)-e), zastosowanych w celu zabezpieczenia danych.

Proponowana konstrukcja punktu 16 zgłoszenia będzie obligowała administratorów do podania w ppkt a)- e) informacji o zabezpieczeniach wprost wynikających z ustawy o ochronie danych osobowych ale także umożliwi podanie w podpunkcie f) innych, istotnych - zdaniem wnioskodawcy - informacji charakteryzujących system zabezpieczeń.

- rezygnacji z dotychczasowych sześciu pól wyboru w pkt. 11 i zastąpienie ich nowymi dwoma polami wyboru, a przez to rezygnacji z obowiązku określania proporcji w jakich dane osobowe będą pozyskiwane z określonego źródła (wyłącznie czy głównie) oraz informowania o zbieraniu danych metodą teletransmisji. Dotychczasowa praktyka wskazuje, że administratorzy danych mają problemy z interpretacją pojęcia teletransmisji. Jest to uzasadnione faktem, że w przepisach o ochronie danych osobowych brak definicji tego pojęcia. W związku z różnym rozumieniem znaczenia terminu „teletransmisja” informacje podawane przez wnioskodawców w części D obowiązującego formularza mogą być mylące i nie odpowiadać stanowi faktycznemu, co uzasadnia rezygnację z tej informacji w powyższym punkcie zgłoszenia.

Pozostałe części obowiązującego wzoru zgłoszenia do rejestracji zbioru danych osobowych pozostają bez zmian. Proponuje się natomiast dodanie objaśnień do punktów zgłoszenia, w których popełniana jest największa liczba błędów.

Zgodnie z ustawą z dnia 7 lipca 2005 r. o działalności lobbingowej w procesie stanowienia prawa (Dz. U. Nr 169 poz. 1414) projekt rozporządzenia zostanie umieszczony w

Biuletynie Informacji Publicznej na stronie podmiotowej Ministra Spraw Wewnętrznych i Administracji

OCENA SKUTKÓW REGULACJI

1. Podmioty, na które oddziałuje akt normatywny.

Rozporządzenie dotyczy administratorów danych, czyli zgodnie z przepisem art. 7 pkt. 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r.

Nr 101, poz. 926 z późn. zm.) organów, jednostek organizacyjnych, podmiotów lub osób decydujących o celach i środkach przetwarzania danych, jeśli przetwarzają dane w zbiorach podlegających obowiązkowi zgłoszenia do rejestracji ( art. 40 ww. ustawy).

(5)

2. Wpływ regulacji na sektor finansów publicznych, w tym na budżet państwa i budżet jednostek samorządu terytorialnego.

Realizacja przepisów rozporządzenia nie zmniejszy dochodów i nie zwiększy wydatków budżetu państwa.

3. Wpływ regulacji na rynek pracy.

Realizacja rozporządzenia nie ma wpływu na rynek pracy.

4. Wpływ regulacji na konkurencyjność gospodarki i przedsiębiorczość, w tym funkcjonowanie przedsiębiorstw.

Realizacja przepisów rozporządzenia nie będzie miała wpływu na konkurencyjność gospodarki i przedsiębiorczość.

5. Wpływ regulacji na sytuację i rozwój regionalny.

Realizacja przepisów rozporządzenia nie będzie miała wpływu na sytuację i rozwój regionów.

6. Wskazanie źródeł finansowania.

Realizacja przepisów rozporządzenia nie pociąga za sobą obciążenia budżetu państwa.

7. Konsultacje społeczne.

W ramach konsultacji społecznych projekt zostanie przekazany do następujących podmiotów:

1) Konfederacja Pracodawców Polskich,

2) Polska Konfederacja Pracodawców Prywatnych Lewiatan, 3) Business Centre Club,

4) Związek Rzemiosła Polskiego.

Cytaty

Powiązane dokumenty

Wzory oznak stanowisk słuŜbowych oraz emblematów wewnętrznej słuŜby ochrony działającej w Zamku Królewskim w Warszawie określa załącznik nr 13 do rozporządzenia..

2) czasowej niezdolności do służby z powodu choroby trwającej dłużej niż 60 dni, w celu ustalenia zdolności do prawidłowego wykonywania obowiązków służbowych na

2) czasowej niezdolności do służby z powodu choroby trwającej dłużej niż 60 dni, w celu ustalenia zdolności do prawidłowego wykonywania obowiązków

2) w przypadku zwolnienia ze słuŜby na podstawie art. StraŜak składa oświadczenie o stanie majątkowym na pisemne Ŝądanie przełoŜonego uprawnionego do mianowania

... e) środków ochrony w ramach narzędzi baz danych i innych narzędzi programowych (nazwy zwyczajowo przyjęte albo symbole norm lub standardów

7) nazwę lub rodzaj dokumentów przekazanych nabywcy, o których mowa w § 9 ust. Podstawą dokonania wpisu w księdze ewidencyjnej przeznaczonych do obrotu towarów koncesjonowanych,

w sprawie szczegółowego zakresu działania Ministra Spraw Wewnętrznych i Administracji (Dz. 2) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz.. Kierownik

4) wzór i tryb wydawania legitymacji emeryta-rencisty policyjnego. Organem właściwym do ustalania prawa do zaopatrzenia emerytalnego, wysokości świadczeń pieniężnych z tytułu