Uwagi SABI do projektów nowych przepisów o ochronie danych osobowych

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Dodano: 9 listopada 2017
Uwagi SABI do projektów nowych przepisów o ochronie danych osobowych

W swoich uwagach SABI odnosi się m.in. do kwestii inspektorów ochrony danych, mechanizmu certyfikacji oraz postępowania administracyjnego i kontrolnego prowadzonego przez organ nadzorczy.

Stowarzyszenie Administratorów Bezpieczeństwa Informacji (SABI) w swoim piśmie do Ministerstwa Cyfryzacji odniosło się m.in. do kwestii zgłaszania wyznaczenia inspektora ochrony danych organowi nadzorczemu. Projekt ustawy przewiduje, że inspektor będzie zgłaszany poprzez system teleinformatyczny Prezesa Urzędu Ochrony Danych Osobowych z użyciem funkcjonalności ePUAP. Zdaniem SABI istnieje obawa, że taki system nie powstanie do 25 maja 2018 r., a administratorzy nie będą w stanie realizować obowiązku zgłaszania inspektorów. Dlatego stowarzyszenie postuluje, aby wpisać do ustawy alternatywny tryb zgłoszeń – tradycyjny, z użyciem urzędowo określonego formularza.

Zdaniem SABI ustawa powinna jasno określać, czy ewidencja zawiadomień o wyznaczeniu inspektora prowadzona przez organ nadzorczy będzie jawna. W ustawie została ona określona jako „wewnętrzna”, co zdaniem stowarzyszenia może prowadzić do sporów w kwestii udostępniania informacji o inspektorach.

Stowarzyszenie wnosi także, aby ustawa przewidywała, że inspektor ochrony danych, w zakresie wykonywania tej funkcji, nie może być przesłuchiwany przez kontrolującego w charakterze świadka. Zdaniem SABI obecne zapisy kłócą się z zasadą z ogólnego rozporządzenia o ochronie danych (RODO) o współpracy inspektora z organem nadzorczym i pełnienia dla niego funkcji punktu kontaktowego.

SABI: Trzeba zmienić model certyfikacji

Stowarzyszenie Administratorów Bezpieczeństwa Informacji postuluje też, aby Ministerstwo Cyfryzacji ponownie przeanalizowało model certyfikacji w Polsce. Zdaniem SABI przyznanie organowi nadzorczemu kompetencji certyfikacyjnych będzie stało w sprzeczności z jego zadaniami nadzorczymi. Jako podmiot certyfikujący, organ nadzorczy będzie miał wgląd w działalność administratora i informacje uzyskane podczas certyfikacji może wykorzystać do nakładania kar finansowych lub zawiadamiania organów ścigania.

Ważne:

SABI twierdzi, że trzeba doprecyzować przepisy związane ze zgłaszaniem naruszeń ochrony danych osobowych organowi nadzorczemu. Nie wiadomo bowiem, czy zgłoszenia elektroniczne będą jedyną formą, nieznane są także szczegóły techniczne, np. sposób e-identyfikacji zgłaszającego.

Wątpliwości wobec rekomendacji wydawanych przez organ nadzorczy

SABI negatywnie ocenia kompetencję organu nadzorczego do wydawania rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Zdaniem stowarzyszenia może to doprowadzić do bierności administratorów, którzy zamiast samodzielnie szacować ryzyko, będą oczekiwali na rekomendacje organu nadzorczego wskazujące konkretne środki do zastosowania. Nie wiadomo także, jakie konsekwencje prawne będą miały rekomendacje i jaka będzie sytuacja podmiotu, który się do nich nie zastosuje.

SABI: nakaz ograniczenia przetwarzania sparaliżuje działalność administratora

SABI nie podoba się także przepis, który upoważnia organ nadzorczy do zobowiązania administratora do ograniczenia przetwarzania danych osobowych na czas trwania całego postępowania (takie postanowienie będzie można zaskarżyć dopiero po wydaniu decyzji). Zdaniem SABI takie postanowienie może znaleźć się w ustawie, wówczas gdy zostanie wprowadzone prawo do skarżenia tego aktu indywidualnego, a przepisy będą przewidywały skrócone terminy rozpatrzenia skargi przez sąd (np. termin dla sądu do rozstrzygnięcia mógłby wynosić 14 dni od daty otrzymania skargi, a dla organu nadzorczego – 7 dni na przekazanie skargi do sądu wraz z odpowiedzią i aktami sprawy).

Stowarzyszenie krytykuje też zapis, zgodnie z którym postanowienie organu nadzorczego będzie można zaskarżyć tylko, jeśli zostanie ono zakończone wydaniem decyzji. Zdaniem SABI jest to naruszenia konstytucyjnego prawa do sądu.

SABI krytykuje także nadanie decyzjom organu nadzorczego rygoru natychmiastowej wykonalności. Zdaniem stowarzyszenia to rozwiązanie nakłada zbyt daleko idącą dolegliwość na adresata decyzji, w przypadku uwzględnienia przez sąd skargi na decyzję powodującą nieuzasadnioną odpowiedzialność Skarbu Państwa za szkody wyrządzone wykonaniem decyzji. SABI proponuje, aby ustanowić w ustawie stosowne przesłanki nałożenia rygoru natychmiastowej wykonalności albo też zrezygnować z tego przepisu.

Co z nagrywaniem podczas kontroli

Projektowane przepisy dopuszczają możliwość nagrywania obrazu podczas kontroli przez kontrolującego. Rejestracja obrazu ma dotyczyć przebiegu kontroli lub poszczególnych czynności. SABI zwraca uwagę, że rejestracja obrazu może daleko ingerować w sferę dóbr nagrywanych osób fizycznych, a w przypadku przedsiębiorców – w ich tajemnicę przedsiębiorstwa. Dlatego też zdaniem stowarzyszenia należy wprowadzić dodatkowe przepisy gwarancyjne, które tylko za zgodą osób nagrywanych powalałyby rejestrować ich wizerunek i nagrywać inne obrazy wkraczające w sferę prywatności. Natomiast w przypadku obrazu ujawniającego tajemnicę przedsiębiorstwa nagrywanie mogłoby następować tylko w zakresie niezbędnym do celów kontroli.

Ważne:

Stowarzyszenie postuluje także zmianę nazw projektowanych ustaw. Zdaniem SABI mogą one wprowadzać w błąd. Nazwa projektowanej ustawy o ochronie danych osobowych powinna według stowarzyszenia wskazywać, że określa ona jedynie niektóre aspekty ochrony danych. Natomiast nazwa ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych zdaniem SABI powinna wskazywać, że dostosowuje ona polskie prawo do ogólnego rozporządzenia o ochronie danych (RODO).

Źródło:
  • uwagi Stowarzyszenia ABI do projektu ustawy o ochronie danych osobowych oraz projektu ustawy – Przepisy wprowadzające ustawę o ochronie danych osobowych.
Wioleta Szczygielska

Autor: Wioleta Szczygielska

Specjalista z zakresu prawa ochrony danych osobowych. Wieloletni redaktor fachowych publikacji związanych z tematyką ochrony danych osobowych.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel