Rozporządzenie stanowi wykonanie upoważnienia ustawowego wprowadzonego do ustawy z 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.); dalej: OchrDanychU nowelizacją, która weszła w życie 1.1.2015 r. Nowelizacja ta reguluje m.in. podstawowe zadania administratorów bezpieczeństwa informacji (ABI), do których należy prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez administratora danych.
Projekt rozporządzenia określa przede wszystkim sposoby prowadzenia rejestrów zbiorów danych.
Projektodawca nie przesądził, co ma decydować o wyborze konkretnej formy prowadzenia rejestru, nie określił również kryteriów, którymi należy się kierować przy podejmowaniu decyzji o wyborze jednej z form.
Wybór w tym względzie został pozostawiony każdorazowo ABI. Podkreślić należy, że projekt rozporządzenia umożliwia prowadzenie rejestru w postaci elektronicznej bez konieczności opatrzenia go bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu.
Rozporządzenie będzie także określać zasady dokonywania wpisów do rejestru zbiorów danych. Przede wszystkim przy dokonywaniu wpisu do rejestru zbiorów danych zawsze należy podać datę dokonania wpisu i datę ostatniej modyfikacji (§ 3 ust. 2 projektu rozporządzenia).
Wpis dokonany przez ABI, powinien być w „powszechnie zrozumiałej formie”
Warto przy tym zauważyć, że projekt rozporządzenia nakłada na ABI dokonujących wpisów obowiązek zamieszczania informacji w „powszechnie zrozumiałej formie”. Niestety, ani w projekcie rozporządzenia, ani w uzasadnieniu do projektu nie zostało zdefiniowane to pojęcie, dlatego należy się spodziewać, że jako zwrot niedookreślony stanie się przedmiotem kontrowersji i licznych orzeczeń.
Jawności rejestrów zbiorów danych
Rozporządzenie wskazuje również sposoby udostępniania takich rejestrów zbiorów danych, prowadzonych przez ABI. Przede wszystkim podkreślenia wymaga fakt, że rozporządzenie wprowadza zasadę jawności rejestrów zbiorów danych.
Jeżeli rejestr jest prowadzony w formie elektronicznej, udostępnienie do publicznej wiadomości następuje przez umieszczenie go na stronie internetowej administratora danych lub zapewnienie dostępu na stanowiskach dostępowych w siedzibie lub miejscu zamieszkania administratora danych (§ 5 ust. 1 pkt 1–2 projektu rozporządzenia).
Jeżeli rejestr jest prowadzony w formie tradycyjnej (papierowej), udostępnia się go do wglądu w siedzibie lub miejscu zamieszkania administratora danych.
Co ważne, projekt rozporządzenia nie zawiera żadnych wymagań odnośnie do legitymowania się interesem faktycznym lub prawnym w celu przeglądania rejestru.
Uwagi do projektu
Warto podkreślić, że podczas zgłaszania uwag do projektu przez zainteresowane podmioty, Ministerstwo Finansów zwróciło uwagę na poważny brak w treści projektu rozporządzenia. Mianowicie na brak jednoznacznego rozstrzygnięcia, czy elektroniczny rejestr jest uważany za „system” (zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania zapewniający przetwarzanie, przechowywanie, a także wysyłanie i odbieranie danych przez sieci telekomunikacyjne) w zakresie zdefiniowanym w przepisach ustawy z 17.2.2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (t.j. Dz.U. z 2014 r. poz. 1114). Z kontekstu i sformułowania przepisów wydaje się, że projektowane rozwiązania spełniają definicję zawartą w art. 3 pkt 3 ustawy o informatyzacji, brak jednak w tym względzie jednoznacznych argumentów.
Być może powyższa nieścisłość zostanie wyjaśniona w toku prac nad projektem rozporządzenia, z uwagi na fakt, że Ministerstwo Administracji i Cyfryzacji skierowało m.in. tę wątpliwość do dalszego wyjaśnienia.
