Kto wyręcza GIODO? – czyli o prowadzeniu rejestru zbiorów przez ABI

Administratorzy Bezpieczeństwa Informacji (ABI) w wyniku nowelizacji ustawy o ochronie danych osobowych od 1 stycznia 2015 r. „wzbogacili się” o dodatkowy obowiązek w postaci prowadzenia rejestru zbiorów danych przetwarzanych przez administratora danych osobowych. W jaki sposób powinni ten obowiązek wykonywać dowiedzieli się dopiero w maju z treści rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. (Dz. U. 2015 poz. 719) precyzującego sposób prowadzenia zbiorów danych przez ABI. Przywołane rozporządzenie obowiązuje od 26 maja 2015 r.

W praktyce, mimo wydanych przepisów wykonawczych, nadal pojawiają się wątpliwości co do tego jak należy wypełniać nałożony ustawą obowiązek. Poniżej kilka pytań, z którymi mamy najczęściej do czynienia:

Kogo obowiązuje rozporządzenie?
Rozporządzenie obowiązuje jedynie Administratorów Bezpieczeństwa Informacji w rozumieniu nowych przepisów, a więc osoby, które zostały powołane na to stanowisko i w takim charakterze zostały zgłoszone przez administratorów danych osobowych do rejestru ABI prowadzonego przez GIODO.

Jeśli administrator danych osobowych nie powołał ABI zgodnie z procedurą przewidzianą w znowelizowanej ustawie, a jedynie zlecił określonej osobie wykonywanie części zadań przypisanych w ustawie do ABI, to taka osoba nie stosuje rozporządzenia, bowiem administrator danych osobowych nie korzysta z przywileju zwolnienia zbiorów z rejestracji w Rejestrze GIODO, a osoba nie będąca ABI zgłoszonym do GIODO nie może samodzielnie takiego rejestru prowadzić.
Kto nie jest pewny w jakim charakterze pełni obowiązki służbowe może sprawdzić swój status w wyszukiwarce, przy czym pamiętać należy, że część zgłoszeń dokonanych w ostatnim okresie może nie być jeszcze wpisana.

Jakie zbiory podlegają wpisowi do rejestru prowadzonego przez ABI?
Nie musimy uwzględniać w rejestrze wszystkich zbiorów jakie mamy w naszej firmie. Rejestr prowadzony przez ABI nie obejmuje zbiorów, które do tej pory nie wymagały zgłoszenia do GIODO, a więc np. zbiorów danych pracowniczych. Nie obejmuje również zbiorów, zawierających tzw. dane wrażliwe, bowiem te zbiory nadal podlegają obowiązkowemu zgłoszeniu do GIODO, nawet wówczas, gdy powołany został ABI.

Jakie informacje muszą znaleźć się w Rejestrze zbiorów danych osobowych prowadzonym przez ABI?
Rozporządzenie precyzyjnie określa jakie informacje dotyczące każdego zbioru winny znajdować się w rejestrze oraz ich kolejność, wskazując na:
1) nazwę zbioru danych;
2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
3) oznaczenie przedstawiciela administratora danych, o którym mowa w art. 31a ustawy, i adres jego siedziby lub miejsca zamieszkania – w przypadku wyznaczenia takiego podmiotu;
4) oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy o ochronie danych osobowych, i adres jego siedziby lub miejsca zamieszkania – w przypadku powierzenia przetwarzania danych temu podmiotowi;
5) podstawę prawna upoważniająca do prowadzenia zbioru danych;
6) cel przetwarzania danych w zbiorze;
7) opis kategorii osób, których dane są przetwarzane w zbiorze;
8) zakres danych przetwarzanych w zbiorze;
9) sposób zbierania danych do zbioru, w szczególności informacja, czy dane do zbioru są zbierane od osób, których dotyczą, czy z innych źródeł niż osoba, której dane dotyczą;
10) sposób udostępniania danych ze zbioru, w szczególności informacja, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnione na podstawie przepisów prawa;
11) oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;
12) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Ponadto ABI ma obowiązek odnotowywać historię zmian w rejestrze, datę poszczególnych wpisów, datę ich aktualizacji oraz datę wykreślenia.

Komu i w jaki sposób muszę udostępniać rejestr prowadzony przez ABI?
Prowadzony przez ABI rejestr jest jawny, a więc musi być dostępny do przeglądania dla osób trzecich. Zasady udostępniania określa rozporządzenie i w zależności od tego czy rejestr jest prowadzony w wersji papierowej czy elektronicznej przewiduje różne sposoby udostępnienia rejestru, pozostawiając ich wybór do decyzji administratora danych osobowych lub ABI. Istotne jest że w przypadku prowadzenia zbiorów w wersji elektronicznej – a takich rejestrów jest przeważająca większość udostępnienie rejestru do przeglądania może odbywać się:
1) na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru, lub
2) na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora, lub
3) przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.

Co się dzieje z informacjami o zbiorach zgłoszonych dotychczas do GIODO, gdy powołamy i zgłosimy ABI do rejestru?
Informacje o zbiorach zawarte w rejestrze GIODO będą nadal jawne i dostępne, bowiem administrator danych osobowych nie będzie miał obowiązku wykreślenia ich z dotychczasowego rejestru, ale jednocześnie nie będzie musiał dokonywać ich aktualizacji.

Podsumowując – przedstawione zagadnienia z pewnością nie wyczerpują tematu prowadzenia przez ABI rejestru zbiorów, ale mogą stanowić punkt wyjścia do zaplanowania przez ABI harmonogramu i zakresu działań oraz zaprojektowania własnego rejestru, bowiem forma przedstawienia informacji wymaganych rozporządzeniem nie jest narzucona.

Artykuł autorstwa Marty Kwiatkowskiej-Cylke pierwotnie ukazał się na www.portalodo.pl

Share: Pinterest