Prowadzenie przez ABI rejestru zbiorów danych osobowych

• Rafał Stępniewski
• /
• 9 maja 2016

Jedną z zalet powołania administratora bezpieczeństwa informacji jest brak konieczności zgłaszania prowadzonych zbiorów do rejestru GIODO (jeśli nie zawierają tzw. „danych wrażliwych”), natomiast taki rejestr administrator bezpieczeństwa informacji musi prowadzić wewnętrznie w firmie.

Rejestr może być prowadzony w formie elektronicznej lub papierowej i musi zawierać wykaz wszystkich zbiorów prowadzonych przez administratora danych.

Każdy zbiór w rejestrze musi zawierać następujące informacje:

• nazwa zbioru danych;
• oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
• oznaczenie przedstawiciela administratora danych i adres jego siedziby lub miejsca zamieszkania – w przypadku wyznaczenia takiego podmiotu;
• oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie umowy i adres jego siedziby lub miejsca zamieszkania – w przypadku powierzenia przetwarzania danych temu podmiotowi;
• podstawa prawna upoważniająca do prowadzenia zbioru danych;
• cel przetwarzania danych w zbiorze;
• opis kategorii osób, których dane są przetwarzane w zbiorze;
• zakres danych przetwarzanych w zbiorze;
• sposób zbierania danych do zbioru, w szczególności informacja, czy dane do zbioru są zbierane od osób, których dotyczą, czy z innych źródeł niż osoba, której dane dotyczą;
• sposób udostępniania danych ze zbioru, w szczególności informacja, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnione na podstawie przepisów prawa;
• oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;
• informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego.

Ponadto administrator bezpieczeństwa informacji obowiązany jest podać datę wpisu każdego zbioru danych do rejestru, a także datę ostatniej aktualizacji informacji w każdym ze zbiorów danych. Historia zmian zachodzących w odniesieniu do każdego ze zbiorów musi zawierać co najmniej:

• informację o rodzaju zmiany (nowy wpis, aktualizacja, wykreślenie);
• datę dokonania zmiany;
• informację o zakresie zmiany.

W korelacji do rejestru zbiorów danych osobowych prowadzonego przez GIODO również rejestr prowadzony przez administratora bezpieczeństwa informacji ma charakter jawny. Oznacza to, że rejestr musi być udostępniony do przeglądania w powszechnie zrozumiałej formie dla każdej zainteresowanej osoby. Przepisy przewidują sposoby udostępniania rejestru prowadzonego zarówno w formie elektronicznej, jak również w formie papierowej.

W przypadku rejestru elektronicznego administrator bezpieczeństwa informacji udostępnia go do przeglądania w co najmniej jednej formie spośród następujących:

• na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru,
• na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora,
• przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.

W przypadku rejestru prowadzonego wyłącznie w formie papierowej konieczne jest udostępnienie jego treści do przeglądania w siedzibie lub miejscu zamieszkania administratora danych.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.