Prowadzenie przez ABI rejestru zbiorów danych osobowych
Jedną z zalet powołania administratora bezpieczeństwa informacji jest brak konieczności zgłaszania prowadzonych zbiorów do rejestru GIODO (jeśli nie zawierają tzw. „danych wrażliwych”), natomiast taki rejestr administrator bezpieczeństwa informacji musi prowadzić wewnętrznie w firmie.
- Rafał Stępniewski
- /
- 9 maja 2016
Jedną z zalet powołania administratora bezpieczeństwa informacji jest brak konieczności zgłaszania prowadzonych zbiorów do rejestru GIODO (jeśli nie zawierają tzw. „danych wrażliwych”), natomiast taki rejestr administrator bezpieczeństwa informacji musi prowadzić wewnętrznie w firmie.
Rejestr może być prowadzony w formie elektronicznej lub papierowej i musi zawierać wykaz wszystkich zbiorów prowadzonych przez administratora danych.
Każdy zbiór w rejestrze musi zawierać następujące informacje:
- nazwa zbioru danych;
- oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
- oznaczenie przedstawiciela administratora danych i adres jego siedziby lub miejsca zamieszkania – w przypadku wyznaczenia takiego podmiotu;
- oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie umowy i adres jego siedziby lub miejsca zamieszkania – w przypadku powierzenia przetwarzania danych temu podmiotowi;
- podstawa prawna upoważniająca do prowadzenia zbioru danych;
- cel przetwarzania danych w zbiorze;
- opis kategorii osób, których dane są przetwarzane w zbiorze;
- zakres danych przetwarzanych w zbiorze;
- sposób zbierania danych do zbioru, w szczególności informacja, czy dane do zbioru są zbierane od osób, których dotyczą, czy z innych źródeł niż osoba, której dane dotyczą;
- sposób udostępniania danych ze zbioru, w szczególności informacja, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnione na podstawie przepisów prawa;
- oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;
- informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego.
Ponadto administrator bezpieczeństwa informacji obowiązany jest podać datę wpisu każdego zbioru danych do rejestru, a także datę ostatniej aktualizacji informacji w każdym ze zbiorów danych. Historia zmian zachodzących w odniesieniu do każdego ze zbiorów musi zawierać co najmniej:
- informację o rodzaju zmiany (nowy wpis, aktualizacja, wykreślenie);
- datę dokonania zmiany;
- informację o zakresie zmiany.
W korelacji do rejestru zbiorów danych osobowych prowadzonego przez GIODO również rejestr prowadzony przez administratora bezpieczeństwa informacji ma charakter jawny. Oznacza to, że rejestr musi być udostępniony do przeglądania w powszechnie zrozumiałej formie dla każdej zainteresowanej osoby. Przepisy przewidują sposoby udostępniania rejestru prowadzonego zarówno w formie elektronicznej, jak również w formie papierowej.
W przypadku rejestru elektronicznego administrator bezpieczeństwa informacji udostępnia go do przeglądania w co najmniej jednej formie spośród następujących:
- na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru,
- na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora,
- przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.
W przypadku rejestru prowadzonego wyłącznie w formie papierowej konieczne jest udostępnienie jego treści do przeglądania w siedzibie lub miejscu zamieszkania administratora danych.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?