Pierwszy zarys projektu rozporządzenia został przygotowany już w grudniu ubiegłego roku. Jednak zgłoszono do niego bardzo dużo uwag. Mimo, że już w lutym odbyła się konferencja uzgodnieniowa, w wyniku której do projektu rozporządzenia wprowadzono wiele zmian, to wszystko wskazuje na to, że to nie ostatnie modyfikacje.
ABI chcą zmian w rozporządzeniu o nadzorze nad ochroną danych
Od blisko trzech miesięcy obowiązuje nowa ustawa o ochronie danych osobowych, jednak wciąż nie doczekaliśmy się kompletu rozporządzeń wykonawczych. Najwięcej problemów sprawia uzgodnienie ostatecznego kształtu rozporządzenia w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji.
Teraz kolejne uwagi do projektu zgłosiło Stowarzyszenie Administratorów Bezpieczeństwa Informacji. Członkowie SABI mają wątpliwości m.in. co do zapisów odnoszących się do planu sprawdzeń, którego przygotowanie będzie jednym z obowiązków ABI. Proponują m.in. żeby przepisy oddzielnie określały przedmiot sprawdzenia (zbiory danych, systemy informatyczne służące do ich przetwarzania i zgodność przetwarzania danych z ustawowymi obowiązkami) i zasady ochrony danych, które ABI powinien podczas niego określić (m.in. zasady zabezpieczania danych czy ich przekazywania).
SABI proponuje też, żeby rozporządzenie wskazywało w jakim terminie nowopowołany ABI powinien przedstawić administratorowi danych pierwszy plan sprawdzeń. Zgodnie z propozycją Stowarzyszenia miałoby się to odbyć w ciągu 30 dni od powołania ABI. Taki zapis funkcjonował w pierwotnej wersji rozporządzenia, jednak w toku konsultacji i zmian został wykreślony.
Stowarzyszenie Administratorów Bezpieczeństwa Informacji chce też, żeby Ministerstwo Administracji i Cyfryzacji zrezygnowało z zapisu, który zobowiązuje ABI do sprawdzania zbiorów danych i systemów informatycznych przynajmniej raz na 2 lata. Jeżeli nie będzie takiej możliwości, to SABI proponuje wydłużenie tego terminu do 5 lat.
„W dużych podmiotach, pracujących w oparciu o zaawansowane systemy informatyczne, częste przeprowadzanie takiego sprawdzenia może być znacznie utrudnione” – argumentuje SABI. Członkowie Stowarzyszenia twierdzą też, że w takich podmiotach może być nawet 100 aplikacji służących do przetwarzania danych osobowych. SABI zaznacza, że są też firmy, które w swoich wykazach posiadają ponad 100 zbiorów danych osobowych. „W przypadku takich podmiotów przeprowadzanie sprawdzenia w trybie 2-letnim wszystkich systemów i zbiorów, odbywałoby się w trybie ciągłym” – czytamy w piśmie SABI.
SABI chce też, żeby ABI informował swojego administratora danych także o tym, że prowadzi sprawdzenie na wniosek Generalnego Inspektora Ochrony Danych Osobowych, a nie tak jak obecnie, tylko o sprawdzeniu doraźnym.
Stowarzyszenie postuluje też przywrócenie zapisu o możliwości wyboru sposobu dokumentowania sprawdzenia przez ABI. Jak wynika z obecnych zapisów rozporządzenia ABI powinien wykorzystać wszystkie sposoby dokumentowania, czyli m.in. sporządzanie notatek, kopii dokumentów czy odbieranie pisemnych wyjaśnień. SABI twierdzi, że zobowiązanie administratora bezpieczeństwa informacji do wykonywania tych wszystkich czynności w rzeczywistości uczyni go inspektorem GIODO.
Źródło:
Stowarzyszenie Administratorów Bezpieczeństwa Informacji
dane osobowe, abi, giodo
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
