Trwają prace nad aktami wykonawczymi do znowelizowanej ustawy o ochronie danych osobowych. Określą sposób wypełniania obowiązków przez administratorów bezpieczeństwa informacji (ABI).
Rozporządzenie przedstawione przez ministra administracji i cyfryzacji spotkało się z krytyką przedsiębiorców.
Konfederacja Lewiatan zarzuciła projektowi, że osłabia deregulacyjny charakter ustawy, wprowadzając nadmierny formalizm i nowe obowiązki. Chodzi np. o konieczność przedstawiania planu i programu kontroli przeprowadzanych przez ABI w ciągu roku czy szczegółowego określenia elementów sprawozdań.
Jak jednak wskazuje Grzegorz Sibiga z Instytutu Nauk Prawnych PAN, koncepcja projektu zakłada, że administrator sam określa, jakie czynności podejmie podczas kontroli i jak będzie je dokumentować.
– Rozporządzenie zawiera swoisty narzędziownik, z którego ABI wybiera potrzebne mu elementy. Praktyka działania administratorów była dotychczas zróżnicowana i rozporządzenie ma na celu jej ujednolicenie – wyjaśnia.
Zastrzeżenia do nadmiernego formalizmu spotkały się z odpowiedzią ministerstwa. Na czwartkowej konferencji uzgodnieniowej usunięto z projektu przepisy o konieczności opracowywania programu każdej kontroli. Na skutek uwag Rządowego Centrum Legislacji z rozporządzenia wyłączono przepisy dotyczące administratorów danych osobowych, w sytuacji gdy nie powołali oni ABI. Zostanie to uregulowane w osobnym akcie prawnym.
– Udało się wynegocjować złagodzenie formalizmu, ale niektóre z przepisów muszą zostać – mówi Maciej Byczkowski, prezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji.
Etap legislacyjny: konsultacje społeczne
