W przedstawionym przez Ministerstwo Gospodarki projekcie założeń do projektu tzw. trzeciej ustawy deregulacyjna) zaproponowano m.in. wprowadzenie zmian w ustawie o ochronie danych osobowych.
Najważniejszą z nich jest propozycja wyłączenia obowiązku rejestracji zbiorów danych osobowych wobec administratorów danych, którzy powołali w swoich firmach administratora bezpieczeństwa informacji (ABI) i zgłosili go do Generalnego Inspektora Ochrony Danych Osobowych. Ponadto, projekt założeń zapowiada wzmocnienie statusu ABI i upoważnienie go do przeprowadzania kontroli wewnętrznych.
Ze względu na duży stopień ogólności projektu założeń przedstawione przez PKPP Lewiatan uwagi mają charakter wstępny i jedynie wskazują kierunek, w jakim propozycje powinny zmierzać na dalszym etapie prac. Ich odbiór jest w pewniej mierze zdeterminowany trwającą obecnie rewizją unijnych ram prawnych , która z deregulacją ma niewiele wspólnego.

Zdaniem PKPP Lewiatan wyłączenie obowiązku rejestracji wobec administratorów, którzy powołali i zgłosili do Generalnego Inspektora Ochrony Danych Osobowych administratora bezpieczeństwa informacji oraz wobec przetwarzających dane w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych należy ocenić pozytywnie. Gromadzone dotąd w rejestrze prowadzonym przez GIODO informacje na temat zbiorów danych osobowych nie przyczyniały się do zwiększenia bezpieczeństwa danych, nakładając jednocześnie obowiązki związane z rejestracją i jej aktualizacją na przedsiębiorców oraz na biuro Generalnego Inspektora. Zapewnie największym plusem zniesienia tego obowiązku będzie częściowe uwolnienie GIODO z obowiązku prowadzenia tego rejestru, co należy docenić. Trudno jednak zgodzić się ze stwierdzeniem, że proponowana zmiana doprowadzi do znacznego zmniejszenia kosztów przedsiębiorców, gdyż sama rejestracja takich kosztów prawie nie generuje. Dla administratorów danych zdecydowanie większym problemem są nieprzystające do obecnych technologii i do dynamiki ich rozwoju wymagania nałożone przez rozporządzenie w sprawie systemów przetwarzania danych oraz czasochłonny obowiązek prowadzenia dokumentacji upoważnień do przetwarzania danych. Wydaje się także, że niezależnie od zaproponowanego wyłączenia ułatwieniem dla administratorów, u których stanowisko ABI nie występuje, mogłoby być uproszczenie formularza służącego do rejestracji zbiorów.

Projekt założeń zapowiada określenie w przepisach wykonawczych sposobu prowadzenia uproszczonego rejestru zbiorów danych oraz wzoru zgłoszenia administratora bezpieczeństwa informacji do rejestracji Generalnemu Inspektorowi. Od treści tych aktów będzie zależało to, czy proponowane zmiany „zderegulują" przepisy dotyczące ochrony danych osobowych czy jedynie zastąpią obecnie funkcjonujące przepisy nowymi, wymuszającymi zmiany w systemach informatycznych i procedurach operacyjnych administratorów danych wprowadzając związany z tym stan niepewności prawnej. Warto wspomnieć, że zmiany w zarejestrowanych już zbiorach nie są w praktyce dokonywane zbyt często, nie jest to więc kosztowny ani czasochłonny proces. Przykładowo, spółka Nasza klasa, zbiór danych przetwarzanych w portalu nk.pl, w ciągu ostatnich 3 lat aktualizowała w Rejestrze tylko dwa razy. Formułując dalsze przepisy dotyczące zgłoszenia administratora bezpieczeństwa informacji go GIODO należy zapewnić, by katalog przekazywanych informacji nie był nadmierny i nie doprowadził do obowiązku raportowania do GIODO każdej zmiany dotyczącej ABI.

Biorąc pod uwagę deregulacyjny rodowód proponowanych zmian należy zauważyć, że wyłączając obowiązek rejestracji zbiorów wobec administratorów, którzy powołali ABI, w praktyce znosimy ten obowiązek jedynie wobec dużych przedsiębiorstw, w których ABI z reguły funkcjonuje i gdzie rejestracja zbioru z reguły nie rodzi trudności. Nie ułatwiamy jednak prowadzenia działalności MŚP, w których obowiązki wynikające z ustawy o ochronie danych osobowych realizuje zazwyczaj administrator danych, wykonując jednocześnie główny przedmiot swojej działalności. Wydaje się, że wiele małych i mikroprzedsiębiorstw przetwarza dane w systemach informatycznych, więc nie skorzystają one z żadnego z wyłączeń proponowanych w ustawie deregulacyjnej.

Źródło: PKPP Lewiatan