Rejestr zbiorów danych – nowe rozporządzenie już obowiązuje

Nowe rozporządzenie w sprawie rejestru zbiorów danych już obowiązuje! W dniu 26 maja 2015 r. weszło w życie wyczekiwane od stycznia tego roku rozporządzenie w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych. Rejestr zbiorów danych w pewnym sensie rekompensuje fakt ograniczenia obowiązku rejestracji zbiorów danych osobowych.

rejestr-zbiorówW § 1 określony jest zakres przedmiotowy rozporządzenia. Formułuje ono sposób prowadzenia rejestru zbiorów danych, o którym mowa w art. 36a ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Zakres obowiązków ABI możemy podzielić na dwie grupy. Po pierwsze są to czynności związane z zapewnieniem przestrzegania przepisów o ochronie danych osobowych oraz drugie odnoszące się z rejestracją zbiorów danych osobowych. Te drugie obowiązki szczegółowo opisane są w rozporządzeniu. Poniżej prezentujemy najważniejsze założenia tego rozporządzenia.

W § 3 rozporządzenia odnajdujemy zakres informacji jakie powinny być zidentyfikowane w przypadku każdego zbioru danych. Brak jest w nim różnic w odniesieniu do projektu z dnia 13 marca 2015 r. Zakres informacji jakie powinny znaleźć się w rejestrze zbiorów opisany został w artykule: Nowe projekty rozporządzeń wykonawczych marzec 2015.

W § 4 rozporządzenia wskazany jest katalog uprawnień przysługujący ABI, który:

  1. wpisuje zbiór danych do rejestru przed rozpoczęciem przetwarzania w zbiorze danych;
  2. aktualizuje informacje dotyczące zbioru danych w rejestrze – w przypadku zmiany informacji objętych wpisem;
  3. wykreśla zbiór danych z rejestru – w przypadku zaprzestania przetwarzania w nim danych osobowych;
  4. udostępnia rejestr do przeglądania

Warto również wspomnieć, iż ABI odnotowuje każdorazową zmianę w historii rejestru (wskazuje on na informacje o zmianie, jej dacie oraz zakresie). Uprawnienia, zatem w tym zakresie możemy określić jako funkcje kontrolną, uzupełniającą oraz informującą.

Szeroki wachlarz uprawnień wynika również z kolejnych postanowień, w myśl których kiedy mamy do czynienia z prowadzeniem rejestru w postaci elektronicznej administrator bezpieczeństwa informacji udostępnia rejestr do przeglądania:

  1. na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru, lub
  2. na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora, lub
  3. przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.

Ponadto, w przypadku prowadzenia rejestru w postaci papierowej administrator bezpieczeństwa informacji udostępnia każdemu zainteresowanemu treść rejestru do przeglądania w siedzibie lub miejscu zamieszkania administratora danych

Pewne rozszerzenie w porównaniu do rozporządzenia z 13 marca 2015 r. odnajdujemy w § 5 ust. 3. Nowe rozporządzenie dot. rejestru zbiorów danych określa, iż w przypadku prowadzenia rejestru wyłącznie w postaci elektronicznej albo w postaci papierowej i postaci elektronicznej administrator bezpieczeństwa informacji może zdecydować, że w odniesieniu do informacji, o których mowa w § 3 ust. 1 pkt 4 (oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy o ochronie danych osobowych i adres jego siedziby lub miejsca zamieszkania – w przypadku powierzenia przetwarzania danych temu podmiotowi) w postaci elektronicznej udostępnia się do przeglądania wyłącznie informacje o powierzeniu przetwarzania danych innemu podmiotowi, a jego oznaczenie i adres siedziby lub miejsca zamieszkania są udostępniane do przeglądania jedynie w przypadku prowadzenia rejestru w postaci papierowej. Wtedy to administrator bezpieczeństwa informacji udostępnia każdemu zainteresowanemu treść rejestru do przeglądania w siedzibie lub miejscu zamieszkania administratora danych. Wynika z tego, że rejestr zbiorów danych pełni funkcję informacyjną wpisując się w nowe trendy w zakresie przepisów o ochronie danych osobowych.

Jak prowadzić rejestr zbiorów danych osobowych

rejestr-zbiorówJedną z kluczowych zmian wynikających z nowelizacji ustawy o ochronie danych osobowych jest obowiązek prowadzenia rejestru zbiorów danych osobowych.
O konieczności prowadzenia ww. rejestru stanowi art. 36 ust. 2 pkt 2 ustawy o ochronie danych osobowych. Należy podkreślić, iż sporządzenie i prowadzenie rejestru zbiorów należy do nowych obowiązków Administratora Bezpieczeństwa Informacji.
Rejestr zbiorów danych osobowych ma być prowadzony w formie jawnej. Wymóg posiadania rejestru jest związany z brakiem rejestracji zbiorów w GIODO. Tak jak pisaliśmy we wcześniejszych artykułach, administrator danych, który wyznaczy ABI będzie mógł liczyć na pewne „udogodnienia”. Jednym z takich ułatwień jest brak obowiązku rejestracji zbiorów zawierających dane zwykłe w GIODO. Jednakże w zamiana za zwolnienie z rejestracji i aktualizacji ustawodawca przewidział konieczność prowadzenia przez ABI, wewnętrznego, jawnego rejestru zbiorów. Jeżeli administrator danych nie powołał ABI, to należy uznać, iż nie ma obowiązku prowadzenia rejestru zbiorów danych osobowych.

W rejestrze mają być uwzględnione wszystkie zbiory za wyjątkiem tych, zwolnionych z obowiązku rejestracji na podstawie art. 43 ust. 1 ustawy o ochronie danych osobowych. Szczegółowy tryb związany z prowadzeniem zbioru danych ma zostać określony w Rozporządzeniu Ministra Administracji i Cyfryzacji  w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych (obecnie na etapie projektu).

Zgodnie z ww. rozporządzeniem, rejestr zbiorów danych osobowych może być prowadzony zarówno w formie papierowej jak i elektronicznej.

W odniesieniu do każdego ze zbiorów (za wyjątkiem tych zwolnionych z rejestracji na podstawie art. 43 ust.1 ustawy o ochronie danych osobowych) w rejestrze powinny znaleźć się następujące informacje:

1) nazwa zbioru danych;

2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;

3) jeżeli został wyznaczony, oznaczenie przedstawiciela administratora danych, o którym mowa w art. 3la ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwanej dalej „ustawą”, i adres jego siedziby lub miejsca zamieszkania;

4) w przypadku powierzenia przetwarzania danych, oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy i adres jego siedziby lub miejsca zamieszkania;

5) podstawa prawna upoważniająca do prowadzenia zbioru danych;

6) cel przetwarzania danych w zbiorze;

7) opis kategorii osób, których dane są przetwarzane w zbiorze;

8) zakres danych przetwarzanych w zbiorze;

9) sposób zbierania danych do zbioru;

10) sposób udostępniania danych ze zbioru;

11) oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;

12) informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego w rozumieniu art. 7 pkt 7 ustawy.

W rejestrze należy również podać datę aktualizacji oraz wykreślenia zbioru. Zmian należy dokonywać niezwłocznie po ich powstaniu w zbiorze. Warto pamiętać, że rozporządzenie wymaga, aby wszystkie wymagane informacje były podane w powszechnie zrozumiałej formie.

Widać więc, że wymagane informacje jakie mają się znaleźć w rejestrze zbiorów są zgodne z tymi, które są wymagane podczas uzupełniania zgłoszenia zbioru do rejestracji w GIODO. Nie musimy się więc obawiać, iż w razie wyznaczenia ABI będziemy mieli obowiązek udostępnić jakieś dodatkowe informacje na temat przetwarzanych danych osobowych.

Rejestr prowadzony w formie elektronicznej ma być jawny poprzez:

1) udostępnienie rejestru na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru,

lub

2) udostępnienie każdemu zainteresowanemu rejestru na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora.

W sytuacji prowadzenie rejestru w formie papierowej, rozporządzenie mówi o konieczności udostępnia treści rejestru przez administratora bezpieczeństwa informacji każdemu zainteresowanemu w siedzibie lub miejscu zamieszkania administratora danych.