Mniej obowiązków związanych z ochroną danych
Firmy nie będą musiały rejestrować zbiorów, jeśli powołają specjalną osobę dbającą o ich bezpieczeństwo
To jeden z elementów pakietu deregulacyjnego przedstawionego przez Ministerstwo Gospodarki. Zgodnie z jego założeniami przedsiębiorcy, ale też administracja centralna czy samorządowa, szkoły i inne instytucje przetwarzające dane osobowe byliby zwolnieni z obowiązku ich rejestracji u generalnego inspektora ochrony danych osobowych.
Tylko wrażliwe
- Zmiany te będą promować tych przedsiębiorców, którzy sami potrafią zadbać o ochronę danych. Jeśli powołają specjalną osobę, to zostaną uwolnieni od niektórych obowiązków administracyjnych - wyjaśnia dr Wojciech Wiewiórowski, generalny inspektor ochrony danych osobowych, z którym resort gospodarki konsultował propozycje nowelizacji.
Ta specjalna osoba to administrator bezpieczeństwa informacji. Jeśli spełni określone w przepisach wymogi, to przejmie pewną część czynności zarezerwowanych dzisiaj dla giodo. Przede wszystkim nie będzie musiał rejestrować zbioru (chyba że będzie on zawierał dane wrażliwe).
- W praktyce rejestracja zbioru nie odgrywa dużej roli, jeśli chodzi o bezpieczeństwo samych danych osobowych, a oznacza spore utrudnienia biurokratyczne dla przedsiębiorców. Każda informacja zgłaszana giodo musi być aktualizowana. W praktyce nierzadko wiąże się to z koniecznością zatrudniania dodatkowych osób, które zajmują się wyłącznie kontaktami z giodo - mówi Marcin Lewoszewski, prawnik w kancelarii CMS Cameron McKenna.
Z obowiązku rejestracji zostaną też zwolnieni ci, którzy przetwarzają dane w inny sposób niż z wykorzystaniem systemów informatycznych. Byłaby to duża ulga dla drobnych usługodawców czy sprzedawców, którzy prowadzą niewielkie kartoteki z danymi gromadzonymi np. w związku z reklamacjami zgłaszanymi przez klientów.
Samokontrola
Propozycje resortu gospodarki idą jeszcze dalej.
- Przedsiębiorcy, ale także instytucje administracji publicznej, jeśli powołają administratora bezpieczeństwa informacji, będą mogli dokonywać samokontroli w miejsce dotychczasowych inspekcji GIODO. Zgodnie z zasadą zaufania będziemy zakładać, że administrator jest w stanie sam rzetelnie wypełnić te zadania. Oczywiście jeśli coś wzbudzi nasze poważne wątpliwości, będziemy mogli przeprowadzić dodatkową inspekcję - tłumaczy dr Wiewiórowski.
- Nie wiem, czy jesteśmy już gotowi, by oddać całą kontrolę w ręce samych administratorów bezpieczeństwa informacji. Obawiam się, że może to być o jeden krok za daleko. Giodo powinien jednak pełnić nadzór nad tym, w jaki sposób są przetwarzane dane - ocenia Marcin Lewoszewski.
Jeśli okaże się, że administrator bezpieczeństwa informacji przestanie spełniać określone wymagania, zostanie wykreślony z rejestru. To zaś będzie oznaczać dla firmy, że na nowo podlega obowiązkom związanym z przetwarzaniem danych osobowych (rejestracja zbiorów) i znów musi się liczyć z kontrolą ze strony giodo.
Sławomir Wikariak
Projekt założeń skierowany do konsultacji społecznych
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu