Rejestr zbiorów danych osobowych prowadzony przez ABI

Każdy podmiot przetwarzający dane osobowe, w tym przedsiębiorcy, może powołać administratora bezpieczeństwa informacji. Podstawową zaletą powołania ABI i zarejestrowania go w GIODO jest, że wówczas to ABI prowadzi jawny rejestr zbiorów danych osobowych, przetwarzanych u danego podmiotu (czyli u administratora danych). Nie trzeba tych zbiorów rejestrować w GIODO, chyba że zbiór zawiera tzw. dane wrażliwe.

Rejestr zbiorów danych osobowych – powołanie ABI

Powołanie ABI jest prawem, a nie obowiązkiem. Jeśli firma się na to zdecyduje, to ma 3 dni na zgłoszenie ABI do specjalnego rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych. W przypadku ABI powołanych przed 1 stycznia 2015 r. czas na ich zarejestrowanie jest do 30 czerwca 2015 r. Po tym dniu niezarejestrowani ABI przestaną automatycznie pełnić swoje funkcje.

Funkcję ABI można powierzyć osobie, która łącznie spełnia następujące warunki:

• ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
• posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
• nie była karana za umyślne przestępstwo.

ABI – obok innych obowiązków, związanych z zapewnieniem przestrzegania przepisów o ochronie danych – prowadzi rejestr zbiorów danych przetwarzanych przez administratora danych. Dzięki powołaniu ABI nie trzeba już zgłaszać zbiorów danych do rejestracji w GIODO.

Co zawiera rejestr zbiorów danych osobowych?

Rejestr zbiorów danych składa się z wykazu zbiorów danych zawierającego szereg informacji zamieszczanych odrębnie dla każdego ze zbiorów danych wpisanych do tego rejestru. W rejestrze tym nie są zamieszczane dane osobowe tworzące poszczególne zbiory, a jedynie informacje o tym, jakie zbiory danych posiada administrator danych osobowych (np. zbiór danych klientów).

ABI ma następujące obowiązki w związku z prowadzeniem tego rejestru:

• wpisuje zbiór danych do rejestru przed rozpoczęciem przetwarzania w zbiorze danych;
• niezwłocznie aktualizuje informacje dotyczące zbioru danych w rejestrze – w przypadku zmiany informacji objętych wpisem;
• niezwłocznie wykreśla zbiór danych z rejestru – w przypadku zaprzestania przetwarzania w nim danych osobowych;
• udostępnia rejestr do przeglądania.

Jawność rejestru zbioru danych

Rejestr zbiorów danych osobowych jest prowadzony w postaci papierowej lub w postaci elektronicznej. Jest on jawny, co oznacza, że każdy ma prawo się z nim zapoznać. Stosowne rozporządzenie Ministra Administracji i Cyfryzacji precyzuje, w jaki sposób można przeglądać rejestr. W przypadku prowadzenia rejestru w postaci elektronicznej ABI udostępnia rejestr do przeglądania:

• na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru lub
• na stanowisku dostępowym w systemie informatycznym administratora danych, znajdującym się w siedzibie lub miejscu zamieszkania tego administratora lub
• przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.

W razie prowadzenia rejestru w postaci papierowej, ABI udostępnia każdemu zainteresowanemu treść rejestru do przeglądania w siedzibie lub miejscu zamieszkania administratora danych.

Wyjątek zrobiono dla zamieszczanych w rejestrze informacji o tym, że dane zostały powierzone do przetwarzania podmiotowi trzeciemu (np. biuru rachunkowemu). Jeśli rejestr jest prowadzony w formie elektronicznej, to można w postaci elektronicznej udostępnić informację o tym, że dane zostały powierzone do przetwarzania innemu podmiotowi, natomiast nazwę i adres tego podmiotu można udostępniać w siedzibie.

Zmiany w rejestrze danych i wykreślenie

ABI ma obowiązek aktualizować rejestr. Musi więc odnotować w nim historię zmian, zawierającą:

• informację o rodzaju zmiany (nowy wpis, aktualizacja, wykreślenie),
• datę dokonania zmiany,
• informację o zakresie zmiany.

W przypadku wykreślenia zbioru danych z rejestru, w rejestrze pozostawia się nazwę zbioru danych, datę wpisania zbioru danych oraz datę ostatniej aktualizacji informacji dotyczących tego zbioru wraz z adnotacją, że jest to data wykreślenia zbioru z rejestru.

W rejestrze zbiorów danych zamieszcza się następujące informacje dotyczące każdego zbioru:

1. nazwę zbioru danych,
2. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer REGON, jeżeli został mu nadany,
3. w przypadku przetwarzania danych osobowych przez podmioty mające siedzibę albo miejsce zamieszkania w państwie trzecim – oznaczenie przedstawiciela administratora danych i adres jego siedziby lub miejsca zamieszkania – w przypadku wyznaczenia takiego podmiotu,
4. oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy o ochronie danych osobowych, i adres jego siedziby lub miejsca zamieszkania – w przypadku powierzenia przetwarzania danych temu podmiotowi,
5. podstawę prawną upoważniającą do prowadzenia zbioru danych,
6. cel przetwarzania danych w zbiorze,
7. opis kategorii osób, których dane są przetwarzane w zbiorze,
8. zakres danych przetwarzanych w zbiorze,
9. sposób zbierania danych do zbioru, w szczególności informacja, czy dane do zbioru są zbierane od osób, których dotyczą, czy z innych źródeł niż osoba, której dane dotyczą,
10. sposób udostępniania danych ze zbioru, w szczególności informacja, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnione na podstawie przepisów prawa,
11. oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane,
12. informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Ponadto, w rejestrze podaje się datę wpisu każdego zbioru danych do rejestru, a także datę ostatniej aktualizacji informacji dotyczących każdego zbioru danych.