iSecure logo
Blog

Rejestr jawny Administratora Bezpieczeństwa Informacji

Michał Sztąberek
Kategorie

Instytucja Administratora Bezpieczeństwa Informacji (dalej: ABI) ma kluczowe znaczenie dla zapewnienia przestrzegania w jednostce organizacyjnej przepisów o ochronie danych osobowych. Zgodnie z obowiązującymi przepisami jego powołanie jest fakultatywne, lecz wysoce wskazane, ponieważ rozwiązanie to niesie ze sobą dla Administratora Danych (dalej: ADO) wiele korzyści. Przejawiają się one między innymi w zwolnieniu z obowiązku rejestracji zbiorów danych osobowych, które w przeciwnym wypadku temu obowiązkowi podlegają. Oczywiście należy mieć na uwadze fakt, że zwolnieniem nie są objęte zbiory danych zawierające dane wrażliwe. Jednym z istotnych atutów prowadzenia rejestru zbiorów przez ABI jest to, że takie rozwiązanie pozwala znacznie usprawnić działanie na danych w porównaniu do tradycyjnej formy zgłaszania danych bezpośrednio do GIODO. Ponadto, biorąc pod uwagę fakt, że prowadzenie zbioru należy do podstawowych zadań ABI, należy spodziewać się, że w przypadku wykrycia przez GIODO ewentualnych uchybień, będzie on ponosił odpowiedzialność bezpośrednią, niezależną od ADO.

Przyczyna zwolnienia z obowiązku rejestracji zbiorów danych
Przyczyną zwolnienia z obowiązku rejestracji zbiorów danych w GIODO jest fakt, że ubiegłoroczną nowelizacją ustawy, nałożono na ABI obowiązek prowadzenia rejestru zbiorów danych przetwarzanych w ramach działalności Administratora.

W jakich przypadkach i kiedy ABI ma obowiązek objęcia zbioru danych swym rejestrem
W tym wypadku prawodawca wprowadził analogiczne zasady, jak w przypadku obowiązku zgłoszenia konkretnego zbioru do rejestru GIODO. A zatem nie ma potrzeby objęcia rejestrem zbiorów zawierających dane przetwarzane np. w zakresie drobnych spraw związanych z codziennym funkcjonowaniem przedsiębiorcy, bądź w celu wystawienia faktury. Zbiór danych powinien zostać zgłoszony do rejestru, przed rozpoczęciem przetwarzania danych zawartych w zbiorze.

Jawność
Aktualnie przepisy pozostawiają ABI dużą swobodę w zakresie formy rejestru. Ponieważ ABI może, wedle uznania, prowadzić swój rejestr w formie papierowej albo elektronicznej, a także w obu postaciach. Przepisy wskazują także, że podobnie jak rejestr prowadzony przez GIODO, rejestr ABI jest jawny. Zasada ta została rozwinięta w Rozporządzeniu Ministra Administracji i Cyfryzacji z 11 maja 2015 r., przejawia się zaś obowiązkiem udostępnienia rejestru do przeglądania. Sposoby wywiązania się z tej powinności zależne są od formy prowadzenia rejestru.
W przypadku prowadzenia rejestru w postaci papierowej ABI musi udostępnić rejestr do przeglądu każdemu zainteresowanemu w siedzibie ADO lub jego miejscu zamieszkania.
Natomiast, gdy rejestr prowadzony jest w formie elektronicznej, udostępnienie rejestru do przeglądania może nastąpić:

  • na stronie internetowej ADO, przy czym na stronie głównej należy umieścić odwołanie umożliwiające bezpośredni dostęp do rejestru,
  •  lub na stanowisku dostępowym w systemie informatycznym ADO znajdującym się w siedzibie lub miejscu zamieszkania tego administratora,
  • lub przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.

W większości sposoby te raczej wydają się być jasne i mało uciążliwe. Pewne wątpliwości może budzić kwestia procedury udzielenia wglądu do rejestru poprzez sporządzenie wydruku np. czy każdy zainteresowany powinien uzyskiwać wydruk nieodpłatnie.
Akt wykonawczy przewidział również możliwość ograniczania udostępniania informacji w formie elektronicznej, w przypadku, gdy rejestr ABI prowadzony jest w obu formach lub jedynie w formie elektronicznej. W takich okolicznościach ADO jest uprawniony do ograniczenia udostępniania informacji dotyczących siedziby lub miejsca zamieszkania podmiotu, któremu powierzono przetwarzanie danych ze zbioru. Zarazem ADO nie może odmówić udostępnienia tych danych w formie papierowej oraz odnotowania w rejestrze elektronicznym samego faktu dokonania powierzenia.

Jakie informacje powinny znaleźć się w rejestrze
W rozporządzeniu ujęto katalog informacji, które powinny zostać zawarte w rejestrze według wskazanej kolejności, wraz z datą dokonania ich wpisu oraz ostatniej aktualizacji. A zatem rejestr obejmuje takie informacje jak:

  • nazwę zbioru danych;
  • oznaczenie ADO – nazwa, adres jego siedziby lub miejsca zamieszkania oraz numer KRS;
  • oznaczenie przedstawiciela ADO w Polsce, o ile został powołany- wskazanie adresu siedziby lub zamieszkania;
  • oznaczenie procesora – również poprzez wskazanie adresu siedziby lub zamieszkania, jeśli dokonano powierzenia przetwarzania danych;
  • wskazanie podstawy prawnej upoważniającej do prowadzenia zbioru danych;
  • cel przetwarzania danych w zbiorze;
  • opis kategorii osób, których dane są przetwarzane w zbiorze;
  • zakreślenie zakresu danych przetwarzanych w zbiorze;
  • określenie sposobu zbierania danych do zbioru – bezpośrednio, czy pośrednio od osób, których dane dotyczą;
  • wskazanie sposobu udostępniania danych ze zbioru, w szczególności, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnione na podstawie przepisów prawa;
  • oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;
  • informacja dotycząca ewentualnego przekazywania danych poza obszar EOG.

Podmiot uprawniony do wglądu
Przepisy nakazują ABI umożliwienie wglądu każdemu zainteresowanemu, mając zatem na uwadze treść obowiązku udzielenia informacji (przewidziany w art. 33 UODO), należy uznać, że uprawnione są nie tylko osoby, których dane zawarte są w zbiorach objętych rejestrem, lecz każda osoba, która wyrazi zainteresowanie.

Forma udostępnionych informacji
Przepisy wykonawcze nakładają na ABI obowiązek udostępnienia informacji w powszechnie zrozumiałej formie. Należy zatem uznać, że spełnienie tego obowiązku może przejawiać się zarówno w formie jak i treści rejestru. Co za tym idzie rejestr powinien być prowadzony w sposób czytelny, a zatem dużą, łatwą do odczytania czcionką. Treść natomiast powinna być spisana, w miarę możliwości, w języku polskim. ABI powinien także unikać stosowania skrótów innych niż powszechnie znane.

Wymóg aktualności
Obowiązki ABI nie kończą się na stworzeniu rejestru, ewentualnie udostępnieniu osobie zainteresowanej danych w nim zawartych, przepisy przewidują bowiem powinność niezwłocznej aktualizacji rejestru w przypadku zmiany danych objętych rejestrem bądź wykreślenia zbioru. Ponadto, w tym ostatnim przypadku, ABI jest zobowiązany do pozostawienia pewnego śladu wykreślonego zbioru – w postaci informacji dotyczących nazwy zbioru, daty wpisania oraz daty wykreślenia.23

Podobne wpisy:

Sponsorzy badań klinicznych a ochrona danych osobowych
Michał Sztąberek

Sponsorzy badań klinicznych a ochrona danych osobowych

Jakiś czas temu pisałem o dokumentach, które musi posiadać każdy administrator danych, by spełniał wszelkie wymogi wskazane w ustawie o ochronie danych osobowych oraz w jej aktach wykonawczych. Tym razem chciałbym opowiedzieć o pewnym przepisie szczególnym, który ma zastosowanie do firm prowadzących badania kliniczne, czyli do tzw. sponsorów badań klinicznych.

O ochronie danych osobowych w Nowoczesnej Firmie
Michał Sztąberek

O ochronie danych osobowych w Nowoczesnej Firmie

Zapewne wiele osób w swoich firmach zastanawia się, czy są u nich przetwarzane dane osobowe. Jako że wbrew pozorom temat ten nie jest tak oczywisty jakby się mogło wydawać, postanowiliśmy napisać o tym parę słów. Na stronach Nowoczesnej Firmy Maria Lothamer opisała kiedy firma przetwarza dane osobowe. Myślę, że tekst ten może okazać się bardzo pomocny by wstępnie oszacować z jakimi zbiorami możemy mieć do czynienia.

Nowelizacja ustawy o ochronie danych osobowych
Michał Sztąberek

Nowelizacja ustawy o ochronie danych osobowych

W połowie września Sejm RP niemal jednogłośnie przyjął projekt nowelizacji ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zanim zmiany wejdą w życie, projekt musi przejść jeszcze przez głosowanie w Senacie, a na koniec swój podpis musi złożyć Prezydent RP. Nowelizacja, o której tu mowa czekała, by ujrzeć światło dzienne od ponad 3 lat. W swym pierwotnym brzmieniu zakładała m.in. możliwość nakładania kar finansowych przez GIODO.