Około 18 tys. zbiorów rejestruje co roku Biuro Generalnego Inspektora Ochrony Danych Osobowych. W 2013 r. wpłynęło ich aż 28 tys. Wojciech Wiewiórowski, generalny inspektor danych osobowych, zapowiedział, że są plany zmiany tych przepisów, tak by trzeba było zgłaszać do niego tylko zbiory zawierające dane wrażliwe (np. o religii czy zdrowiu).
Zgłaszanie to zasada
Propozycję zmiany przepisów dotyczących zbiorów przekazał już Sejmowi. Takie rozwiązanie jest także planowane w nowym rozporządzeniu unijnym dotyczącym ochrony danych osobowych, nad którym właśnie trwają prace.
Dziś ustawa o ochronie danych osobowych wprowadza generalny obowiązek rejestracji zbiorów i wyjątki od tej zasady. Nie trzeba m.in. zgłaszać zbiorów przetwarzanych wyłącznie w celu wystawienia faktury czy w związku z zatrudnieniem, nauką, drobnymi bieżącymi sprawami życia codziennego.
– Mam wątpliwości, czy samo zgłaszanie zbiorów zwiększa bezpieczeństwo danych – powiedział Wojciech Wiewiórowski w wywiadzie dla „Rzeczpospolitej" („Chcą zbierać od nas za dużo danych", 4 sierpnia 2014 r.). Chciałby jednak, by nadal rejestrowane były zbiory zawierające tzw. dane wrażliwe.
– Sprawdzamy, czy dany podmiot jest uprawniony do ich zbierania i wykorzystywania, zanim taki zbiór zacznie funkcjonować. Najwięcej wątpliwości mamy zazwyczaj co do informacji o stanie zdrowia czy karalności – mówi GIODO.
Marcin Lewoszewski, radca prawny z kancelarii CMS, podkreśla, że to dobra wiadomość dla przedsiębiorców.
– Obowiązująca ustawa nakłada na nich uciążliwe obowiązki biurokratyczne. Jest zbędnym formalizmem. Z rejestru niewiele bowiem wynika, nie pomaga w ochronie danych. Niemcy zlikwidowali ten obowiązek już kilka lat temu. Dobrze, że takie plany są i u nas – mówi mec. Lewoszewski.
Dodatkowe obowiązki
Radca prawny Agnieszka Rabenda-Ozimek także pozytywnie ocenia ogólną ideę zniesienia obowiązku zgłaszania do GIODO zbiorów niedotyczących danych wrażliwych.
– Jednocześnie jednak proponuje się, żeby przedsiębiorcy sami prowadzili rejestr zbiorów, które posiadają. Mają być w tym zakresie poszerzone uprawnienia administratora bezpieczeństwa informacji. Obawiam się, że zmiana przepisów nie zmniejszy obciążenia przedsiębiorców. Nałoży bowiem na nich obowiązki, które dzisiaj należą do GIODO, w postaci prowadzenia jawnego rejestru zbioru danych przetwarzanych w jednostce organizacyjnej – dodaje mec. Rabenda-Ozimek.
Podkreśla, że jest to o tyle istotne, iż unijne rozporządzenie da GIODO uprawnienie do nakładania na przedsiębiorców wysokich kar za nieprzestrzeganie ustawy.
Prace nad nowym rozporządzeniem w Unii Europejskiej trwają od ponad dwóch lat. Przepisy mają być lepiej przystosowane do wyzwań wynikających z powszechności internetu i nałożyć na przedsiębiorców większą odpowiedzialność za ochronę danych.
masz pytanie, wyślij e-mail do autorki, k.borowska@rp.pl