iSecure logo
  • pl
  • en
    • Blog

    Rejestr jawny Administratora Bezpieczeństwa Informacji

    Michał Sztąberek
    Kategorie

    Instytucja Administratora Bezpieczeństwa Informacji (dalej: ABI) ma kluczowe znaczenie dla zapewnienia przestrzegania w jednostce organizacyjnej przepisów o ochronie danych osobowych. Zgodnie z obowiązującymi przepisami jego powołanie jest fakultatywne, lecz wysoce wskazane, ponieważ rozwiązanie to niesie ze sobą dla Administratora Danych (dalej: ADO) wiele korzyści. Przejawiają się one między innymi w zwolnieniu z obowiązku rejestracji zbiorów danych osobowych, które w przeciwnym wypadku temu obowiązkowi podlegają. Oczywiście należy mieć na uwadze fakt, że zwolnieniem nie są objęte zbiory danych zawierające dane wrażliwe. Jednym z istotnych atutów prowadzenia rejestru zbiorów przez ABI jest to, że takie rozwiązanie pozwala znacznie usprawnić działanie na danych w porównaniu do tradycyjnej formy zgłaszania danych bezpośrednio do GIODO. Ponadto, biorąc pod uwagę fakt, że prowadzenie zbioru należy do podstawowych zadań ABI, należy spodziewać się, że w przypadku wykrycia przez GIODO ewentualnych uchybień, będzie on ponosił odpowiedzialność bezpośrednią, niezależną od ADO.

    Przyczyna zwolnienia z obowiązku rejestracji zbiorów danych
    Przyczyną zwolnienia z obowiązku rejestracji zbiorów danych w GIODO jest fakt, że ubiegłoroczną nowelizacją ustawy, nałożono na ABI obowiązek prowadzenia rejestru zbiorów danych przetwarzanych w ramach działalności Administratora.

    W jakich przypadkach i kiedy ABI ma obowiązek objęcia zbioru danych swym rejestrem
    W tym wypadku prawodawca wprowadził analogiczne zasady, jak w przypadku obowiązku zgłoszenia konkretnego zbioru do rejestru GIODO. A zatem nie ma potrzeby objęcia rejestrem zbiorów zawierających dane przetwarzane np. w zakresie drobnych spraw związanych z codziennym funkcjonowaniem przedsiębiorcy, bądź w celu wystawienia faktury. Zbiór danych powinien zostać zgłoszony do rejestru, przed rozpoczęciem przetwarzania danych zawartych w zbiorze.

    Jawność
    Aktualnie przepisy pozostawiają ABI dużą swobodę w zakresie formy rejestru. Ponieważ ABI może, wedle uznania, prowadzić swój rejestr w formie papierowej albo elektronicznej, a także w obu postaciach. Przepisy wskazują także, że podobnie jak rejestr prowadzony przez GIODO, rejestr ABI jest jawny. Zasada ta została rozwinięta w Rozporządzeniu Ministra Administracji i Cyfryzacji z 11 maja 2015 r., przejawia się zaś obowiązkiem udostępnienia rejestru do przeglądania. Sposoby wywiązania się z tej powinności zależne są od formy prowadzenia rejestru.
    W przypadku prowadzenia rejestru w postaci papierowej ABI musi udostępnić rejestr do przeglądu każdemu zainteresowanemu w siedzibie ADO lub jego miejscu zamieszkania.
    Natomiast, gdy rejestr prowadzony jest w formie elektronicznej, udostępnienie rejestru do przeglądania może nastąpić:

    • na stronie internetowej ADO, przy czym na stronie głównej należy umieścić odwołanie umożliwiające bezpośredni dostęp do rejestru,
    •  lub na stanowisku dostępowym w systemie informatycznym ADO znajdującym się w siedzibie lub miejscu zamieszkania tego administratora,
    • lub przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.

    W większości sposoby te raczej wydają się być jasne i mało uciążliwe. Pewne wątpliwości może budzić kwestia procedury udzielenia wglądu do rejestru poprzez sporządzenie wydruku np. czy każdy zainteresowany powinien uzyskiwać wydruk nieodpłatnie.
    Akt wykonawczy przewidział również możliwość ograniczania udostępniania informacji w formie elektronicznej, w przypadku, gdy rejestr ABI prowadzony jest w obu formach lub jedynie w formie elektronicznej. W takich okolicznościach ADO jest uprawniony do ograniczenia udostępniania informacji dotyczących siedziby lub miejsca zamieszkania podmiotu, któremu powierzono przetwarzanie danych ze zbioru. Zarazem ADO nie może odmówić udostępnienia tych danych w formie papierowej oraz odnotowania w rejestrze elektronicznym samego faktu dokonania powierzenia.

    Jakie informacje powinny znaleźć się w rejestrze
    W rozporządzeniu ujęto katalog informacji, które powinny zostać zawarte w rejestrze według wskazanej kolejności, wraz z datą dokonania ich wpisu oraz ostatniej aktualizacji. A zatem rejestr obejmuje takie informacje jak:

    • nazwę zbioru danych;
    • oznaczenie ADO – nazwa, adres jego siedziby lub miejsca zamieszkania oraz numer KRS;
    • oznaczenie przedstawiciela ADO w Polsce, o ile został powołany- wskazanie adresu siedziby lub zamieszkania;
    • oznaczenie procesora – również poprzez wskazanie adresu siedziby lub zamieszkania, jeśli dokonano powierzenia przetwarzania danych;
    • wskazanie podstawy prawnej upoważniającej do prowadzenia zbioru danych;
    • cel przetwarzania danych w zbiorze;
    • opis kategorii osób, których dane są przetwarzane w zbiorze;
    • zakreślenie zakresu danych przetwarzanych w zbiorze;
    • określenie sposobu zbierania danych do zbioru – bezpośrednio, czy pośrednio od osób, których dane dotyczą;
    • wskazanie sposobu udostępniania danych ze zbioru, w szczególności, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnione na podstawie przepisów prawa;
    • oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;
    • informacja dotycząca ewentualnego przekazywania danych poza obszar EOG.

    Podmiot uprawniony do wglądu
    Przepisy nakazują ABI umożliwienie wglądu każdemu zainteresowanemu, mając zatem na uwadze treść obowiązku udzielenia informacji (przewidziany w art. 33 UODO), należy uznać, że uprawnione są nie tylko osoby, których dane zawarte są w zbiorach objętych rejestrem, lecz każda osoba, która wyrazi zainteresowanie.

    Forma udostępnionych informacji
    Przepisy wykonawcze nakładają na ABI obowiązek udostępnienia informacji w powszechnie zrozumiałej formie. Należy zatem uznać, że spełnienie tego obowiązku może przejawiać się zarówno w formie jak i treści rejestru. Co za tym idzie rejestr powinien być prowadzony w sposób czytelny, a zatem dużą, łatwą do odczytania czcionką. Treść natomiast powinna być spisana, w miarę możliwości, w języku polskim. ABI powinien także unikać stosowania skrótów innych niż powszechnie znane.

    Wymóg aktualności
    Obowiązki ABI nie kończą się na stworzeniu rejestru, ewentualnie udostępnieniu osobie zainteresowanej danych w nim zawartych, przepisy przewidują bowiem powinność niezwłocznej aktualizacji rejestru w przypadku zmiany danych objętych rejestrem bądź wykreślenia zbioru. Ponadto, w tym ostatnim przypadku, ABI jest zobowiązany do pozostawienia pewnego śladu wykreślonego zbioru – w postaci informacji dotyczących nazwy zbioru, daty wpisania oraz daty wykreślenia.23

    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Awaria serwera
    Michał Sztąberek

    Awaria serwera

    Co tu dużo pisać – od środy strona iSecure nie była widoczna w Internecie, ponieważ serwer na którym była postawiona, miał awarię. Do tego nakładał się na to wszystko nasz wyjazd na Spodek 2.0 (bardzo fajna impreza!) i w zasadzie dopiero w czwartek mogliśmy coś zacząć działać, by reaktywować stronę. Na tę chwilę wszystko powinno już dobrze działać, a pierwsza awaria w historii iSecure stała się… historią.

    Czytaj więcej
    Przydatne aplikacje
    Michał Sztąberek

    Przydatne aplikacje

    W dzisiejszym wpisie chciałbym przedstawić Czytelnikom naszego bloga cztery niezwykle przydatne aplikacje z punktu widzenia bezpieczeństwa danych przechowywanych na komputerach. Dlaczego przydatnych?

    Czytaj więcej
    Mamy prawo do kontroli swoich danych
    Michał Sztąberek

    Mamy prawo do kontroli swoich danych

    Każdy człowiek ma prawo do kontrolowania własnych danych osobowych. Obecnie są one jednymi z najbardziej pożądanych informacji, dlatego przy zawieraniu umów, robieniu jakichkolwiek zakupów w internecie i w wielu innych przypadkach możemy natknąć się na możliwość udzielenia zgody na przetwarzanie naszych danych chociażby w celach marketingowych.

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki