Rozporządzenie o ochronie danych – wybrane zagadnienia

W związku z planowanymi zmianami w zakresie ochrony danych osobowych chciałabym omówić podstawowe zmiany jakie przyniesie ogólne rozporządzenie o ochronie danych osobowych. Wskaże dodatkowo na różnice i podobieństwa jakie będzie można zaobserwować w kontekście obecnych przepisów związanych z ochroną danych osobowych, a planowanym i zmianami w tym zakresie.

Nowe rozporządzenie unijne zastąpi Dyrektywę 95/46/WE[1] ,która zostaje uchylona z dniem określonym w przepisach ww. rozporządzenia. Jak czytamy dalej z chwilą wejścia w życie rozporządzenia dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002r. w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej powinna zostać poddana gruntownemu przeglądowi.

Bazując na tekście rozporządzenia wskaże na podstawowe zmiany. Na wstępie warto jednak zaznaczyć, że nie sposób opisać wszystkich nowości w dzisiejszym wpisie dlatego też postaram się w najbliższym czasie sukcesywnie omawiać kolejne instytucje, które ulegną zmianie w związku z nowymi przepisami.

Poniżej lista zagadnień, które po krótce omówię:

  1. Cechy charakterystyczne zgody
  2. Status i kompetencje inspektora ochrony danych
  3. Współadministratorzy- kiedy można ich powołać?
  4. Rejestr przetwarzania danych osobowych
  5. Problem przetwarzania fotografii
  6. Europejska Rada Ochrony Danych
  7. Ogólne warunki nakładania grzywien administracyjnych- procedura nakładania grzywien administracyjnych, wysokość, podmiot upoważniony do ich nakładania

Jak pisałam już wcześniej w artykule „Reforma ochrony danych osobowych – najważniejsze zagadnienia” rozporządzenie precyzuje warunki jakimi powinna charakteryzować się zgoda jako jedna z przesłanek przetwarzania danych osobowych. Precyzując. Do najważniejszych cech zgody zgodnie z przedmiotowym rozporządzeniem należy zakwalifikować:

  • zgoda powinna być udzielona za pomocą klarownej, potwierdzającej czynności, która wyraża dobrowolne, konkretne, świadome i jednoznaczne przyzwolenie podmiotu danych na przetwarzanie dotyczących go danych osobowych i która ma np. formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia
  • jeśli chodzi o milczenie (dorozumianą zgodę) czy też okienka domyślnie zaznaczone lub niepodjęcie czy też zaniechanie działania nie powinny oznaczać zgody
  • zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele
  • jeżeli natomiast podmiot danych ma udzielić zgody w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

Kolejne zagadnienie, które chciałabym omówić to status i kompetencje inspektora ochrony danych. Będzie on odpowiednikiem dotychczas funkcjonującego Administratora Bezpieczeństwa Informacji.

Obok pojęcia inspektora ochrony danych rozporządzenie wskazuje na definicję legalną podmiotu przetwarzającego (odpowiednika procesora z art. 31 ustawy o ochronie danych).

„Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, administrator korzysta z usług wyłącznie takich podmiotów przetwarzających, które dają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia i chroniło prawa podmiotów danych”

I tak jak wskazano w dalszych przepisach rozporządzenia administrator oraz podmiot przetwarzający dopilnują by inspektor był właściwie i terminowo angażowany we wszystkie sprawy z zakresu ochrony danych osobowych. Warto dodać, że inspektor danych nie może otrzymywać żadnych instrukcji od pracodawcy co do wykonywania tych zadań. Nie może on być odwołany ani też penalizowany przez administratora danych lub podmiot przetwarzający za wypełnianie swoich zadań. Ograniczenie to nie dotyczy natomiast sytuacji kiedy inspektor ochrony danych naruszy przepisy rozporządzenie. Co więcej jak wskazano w przedmiotowym rozporządzeniu inspektor ochrony danych zobowiązany jest to zachowania danych w tajemnicy i poufności co do zakresu wykonywania swoich zadań.

Zadania inspektora ochrony danych

Do zadań inspektora należy w szczególności:

  • informowanie pracowników o zasadach przetwarzania danych osobowych
  • przeprowadzanie szkoleń personelu uczestniczącego w przetwarzaniu danych osobowych
  • prowadzenie konsultacji w sprawach związanych z przetwarzaniem danych osobowych
  • monitorowanie przestrzegania przepisów rozporządzenia
  • współpraca z organem nadzorczym, a także udzielanie porad na żądanie co do oceny skutków pod kątem ochrony danych osobowych.

Obowiązek wyznaczenia inspektora ochrony danych

Kolejne zagadnienie wymagające dłuższej refleksji dotyczy obowiązku wyznaczenia inspektora ochrony danych. I tak jak na gruncie ustawy o ochronie danych osobowych wyznaczenie administratora bezpieczeństwa informacji jest dobrowolne tak i rozporządzenie unijne nie nakłada obowiązku powołania takiej osoby. Niemniej rozporządzenie wskazuje na przypadki, w których powołanie inspektora ochrony danych jest obligatoryjne.

 

  • Pierwsza sytuacja dotyczy przetwarzania dokonywanego przez organ lub podmiot publiczny, z wyjątkiem sądów w ramach sprawowania przez nie wymiaru sprawiedliwości
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych na dużą skalę. W grę wchodzą tu takie podmioty jak banki, instytucje finansowe, zakłady ubezpieczeń, firmy marketingowe.
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii oraz danych o wyrokach skazujących za przestępstwa. Dobrym przykładem będą tu szpitale czy służby takie jak policja.

 

Z uwagi na liczne pytania jakie trafiają do redakcji naszego bloga warto zauważyć, że rozporządzenie precyzuje również kwestie związane z przetwarzaniem fotografii. Jak wskazano przetwarzanie fotografii nie będzie zawsze newralgiczne, gdyż fotografie będą podlegać definicji „danych biometrycznych” i tylko wtedy, gdy będą przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Poniżej przedstawię definicję legalną danych biometrycznej przyjętą na gruncie rozporządzenia:

Dane biometryczne oznaczają wszelkie dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych, lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikacją tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”

Pewnym novum na gruncie ogólnego rozporządzenia jest instytucja współadministratorów. Jak czytamy w pierwszych słowach rozporządzenia za współadministratorów uważa się tych administratorów danych, którzy wspólnie ustalają cele i sposoby przetwarzania danych osobowych. W drodze wspólnych uzgodnień w przejrzysty sposób określają podział zadań w zakresie wypełniania obowiązków wynikających z niniejszego rozporządzenia. Muszę przyznać, że nie do końca jestem przekonana co do tego rozwiązania. W praktyce mogą pojawić się problemy np. do kogo osoba, której dane dotyczą, ma zwrócić się w związku z prawem do skorzystania z szeroko rozumianym prawem do informacji.

Jeśli jesteśmy już przy omawianiu zmian w kontekście administratorów danych to warto zauważyć, że za jakiś czas każdy administrator danych będzie zobowiązany do prowadzenia rejestru przetwarzania danych osobowych. W rejestrze tym znajdować się będą takie informacje jak: imię, nazwisko, nazwa, dane kontaktowe administratora oraz wszystkich współadministratorów, cele przetwarzania, opis kategorii podmiotów danych oraz kategorii danych osobowych, kategorię odbiorców w stosownym przypadku informacji o przekazaniu danych do państwa trzeciego lub organizacji międzynarodowej, w miarę możliwości planowane terminu usunięcia poszczególnych kategorii danych, w miarę możliwości ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. Jak widać pewne tożsame elementy możemy znaleźć w jawnym rejestrze zbiorów danych osobowych prowadzonym przez ABI.

Po pierwsze rejestr przetwarzania danych osobowych zobowiązane będą prowadzić podmioty zatrudniające więcej niż 250 osób. Bez względu na liczbę zatrudnionych podmiot przetwarzający dane zobowiązany będzie do prowadzenia rejestru kiedy może to nieść zagrożenia dla praw i wolności podmiotu danych, przetwarzanie nie ma charakteru sporadycznego i nie obejmuje przetwarzania danych szczególnych kategorii. Dodatkowo na wniosek organu nadzorczego administrator lub podmiot przetwarzający zobowiązani są udostępnić mu taki rejestr. Co warto dodać rejestr taki będzie mógł być prowadzony zarówno w wersji papierowej jak i elektronicznej.

Skupmy się teraz na nowym organie jakim będzie Europejska Rada Ochrony Danych. Zgodnie z przepisami rozporządzenia podmiot ten posiadać będzie osobowość prawną. Powinien być także niezależnym organem Unii. Do głównych zadań Europejskiej Rady Ochrony Danych należeć będzie w szczególności zapewnienie spójnego stosowania rozporządzenia poprzez szereg działań określonych w art. 66 rozporządzenia (doradztwo Komisji w sprawach związanych z ochroną danych osobowych, opracowywanie wytycznych, zaleceń, opinii co do tego jak z ogólnodostępnych usług łączności usuwać łącza do danych osobowych, opracowuje kryteria profilowania czy wskazuje na wytyczne w kontekście wymierzania grzywien administracyjnych). Europejską Radę Ochrony Danych powinien reprezentować jej przewodniczący. Zastąpi ona  Grupę Roboczą ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, powołaną na mocy dyrektywy 95/46/WE. W jej skład powinni wchodzić szefowie organów nadzorczych wszystkich państw członkowskich oraz Europejski Inspektor Ochrony Danych lub ich przedstawiciele. W jej działaniach Komisja powinna uczestniczyć bez prawa głosu, a Europejski Inspektor Ochrony Danych – bez prawa głosu w niektórych sprawach. Co warto zauważyć, Europejska Rada Ochrony Danych sporządzać będzie roczne sprawozdania na temat ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Unii , w jeśli zajdzie taka potrzeba również w przypadku państw trzecich czy też organizacji międzynarodowych.

Rozdział VII zatytułowany „Środki ochrony prawnej, odpowiedzialność prawna i sankcje” wskazuje, że grzywny administracyjne stosowane przez organy nadzorcze muszą spełniać kilka warunków. Po pierwsze muszą być skuteczne, proporcjonalne i odstraszające. Rozporządzenie wskazuje inne kwoty dla przedsiębiorstw, a także inne z uwagi na charakter popełnionego czynu. I tak:

Za naruszenie:

  • obowiązku administratora i podmiotu przetwarzającego w kwestii praw osób, których dane dotyczą, przetwarzania danych wrażliwych, rejestrowania czynności przetwarzania danych osobowych- grozi grzywna administracyjna sięgająca 10 000 000 EURO, a w przypadku przedsiębiorstw- sięgającej 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego

Za naruszenie:

  • podstawowych zasad przetwarzania danych osobowych w tym warunków zgody
  • nieprzestrzeganie nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych
  • przekazywanie danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowe

– grozi grzywna administracyjna sięgająca 20 000 000 EURO, a w przypadku przedsiębiorstwa- sięgającej 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego

 

Należy podkreślić, że grzywny administracyjne zastąpią odpowiedzialność karną. Jak widać kary administracyjne są bardzo wysokie i z pewnością zmobilizują podmioty przetwarzające dane osobowe do większej dyscypliny w zakresie ochrony danych osobowych. Jak wskazano kary administracyjne będą nakładane oprócz lub zamiast środków szczegółowo określonych w przepisach rozporządzenia. Kary te będą nakładane za wykryte w kontrolowanym podmiocie uchybienia, a nie jak dotychczas jedynie w celu zapewnienia wykonania decyzji administracyjnej (grzywna w celu przymuszenia).

 

Jak widać rozporządzenie ogólne w sprawie ochrony danych przyniesie dużo istotnych zmian. Wskazałam tylko część z nich. Co prawda data wejścia w życie rozporządzenia jest jeszcze odległa, ale skala zmian jakie pojawią się w przyszłości już wywołuje lawinę pytań i wątpliwości nie tylko wśród firm specjalizujących się w ochronie danych osobowych. Do ożywionej dyskusji włączyli się nie tylko praktycy, ale również teoretycy prawa. Organizacje pozarządowe również nie pozostają obojętne na proponowaną treść rozporządzenia. Główne wątpliwości odnoszą się do zagrożeń prywatności.

[1] Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, Dziennik Urzędowy L 281 , 23/11/1995 P. 0031 – 0050

Reforma ochrony danych osobowych – najważniejsze zagadnienia

Reforma ochrony danych osobowych staje się coraz bardziej aktualnym tematem. W dniu 18 września bieżącego roku odbyła się konferencja pod patronatem Generalnego Inspektora Ochrony Danych Osobowych „Nowe ramy ochrony danych w UE. Wyzwania dla Polski”. Podczas spotkania debatowano nad wpływem nowego unijnego rozporządzenia na porządek prawny funkcjonujący w Polsce. Wiele czynników wpłynęło na konieczność stworzenia nowej regulacji w zakresie ochrony danych osobowych. Przed szereg wysuwa się postulat dostosowania przepisów do obecnych sposobów przetwarzania danych, a w szczególności nowych technologii i ujednolicenia norm prawnych w krajach członkowskich Unii Europejskiej.

Przedsiębiorcy, przedstawiciele nauki, instytucji publicznych zastanawiali się czy Polska jest gotowa na przyjęcie tak istotnych zmian. Jakie działania musi podjąć aby reforma ochrony danych osobowych została wprowadzona. Kluczowe zagadnienia jakie poruszono podczas debaty to:

  1. Możliwość nakładania kar finansowych przez organy ds. ochrony danych osobowych
  2. Kompetencje nowego organu jakim będzie Europejska Rada Ochrony Danych
  3. Koncepcja zgody na gruncie nowego rozporządzenia :
  • Zgoda w dalszym ciągu będzie równorzędną przesłanką przetwarzania danych w odniesieniu do innych podstaw przetwarzania,
  • Zgoda na gruncie nowego rozporządzenia dla swojej ważności powinna być wyrażona w sposób swobodny, świadomy i wyraźny
  • Nie jest jednoznaczne czy zgoda będzie mogła obejmować wiele celów
  • Zgoda w każdej chwili może być odwołana
  • Zgoda nie może być uznana za swobodnie wyrażoną, jeśli pomiędzy stronami istniała znacząca nierównowaga
  1. Mechanizm one-stop-shop. Procedura one-stop-shop stosowana przez państwa członkowskie wskazywana była i jest jako możliwość przedstawiania wniosków/skarg do lokalnych organów ds. ochrony danych osobowych przez obywateli w ojczystym języku.
  2. Kwestia profilowania. Z profilowaniem wiąże się poważne zagrożenie – ryzyko związane z marginesem błędu tzn. przygotowany profil określonej osoby w oparciu o pozyskane informacje może być niezgodny ze stanem faktycznym. Jako przykład takiej sytuacji można wskazać sytuacje kiedy zamieścimy w Internecie zdjęcie z papierosem to może powstać już profil naszej osoby jako palacza, co oczywiście nie zawsze będzie zgodne z prawdą. Próbą zdefiniowania pojęcia profilowania zajął się Parlament Europejski. Wskazał on, że profilowanie to automatyczny proces, który ma na celu ochronę, analizę lub przewidzenie zachowania lub cechy danej osoby.
  3. Rola Inspektora Ochrony Danych – odpowiednik Administratora Bezpieczeństwa Informacji, zwany także oficerem ochrony danych. W pewnych okolicznościach organizacja będzie miało obowiązek wyznaczenia takiej osoby np. w sytuacji jeżeli będzie zatrudniała określoną ilość osób. Dodatkowo, rozporządzenie zakłada między innymi niezależność takiej osoby oraz kadencyjność.
  4. Pozycja GIODO w świetle nowego rozporządzenia – GIODO powinien mieć zapewnioną możliwość selekcji skarg. Powinien efektywnie kontrolować stosowanie nowych przepisów w zakresie ochrony danych osobowych. Nie jest jednak jednoznaczne czy rozporządzenie wprowadzi kadencyjność inspektora ochrony danych. Obecnie są jeszcze negocjowane inne obowiązki inspektora ochrony danych np. możliwość wykonywania dodatkowych obowiązków, takich jak aktywnie uczestniczenie w dokonywaniu Privacy Impact Assesment (ocena skutków przedsięwzięcia dla prywatności).
  5. Risk Based Approach – to zasada przetwarzania danych związana dokonaniem samooceny w zakresie ochrony danych osobowych. Administrator danych dokonuje każdorazowo samodzielnie oceny, jakie dane przetwarza. Klasyfikacje są różne. Podstawowa klasyfikacja odnosi się do tego czy przetwarzane są dane zwykłe czy wrażliwe. Art. 33 projektu rozporządzenia dookreśla, jakiego rodzaju przetwarzanie danych może nieść duże zagrożenie (np. dyskryminacja, kradzież tożsamości). Administrator danych powinien każdorazowo ocenić, jak duże jest zagrożenie przy przetwarzaniu danych.
  6. Kwestia egzekwowania prawa opiera się na trzech kluczowych elementach:
  • Możliwości nakładania kar finansowych
  • Wzmożonej współpracy między organami kontrolnymi
  • Zwiększenia odpowiedzialności administratorów danych

Fundacje i organizacje pozarządowe również przedstawiły swoje opinie w kontekście nowego unijnego rozporządzenia. Fundacja Panoptykon we współpracy z European Digital Rights, Access Now i Privacy International przygotowała zestawienie najważniejszych zagadnień, które powinny znaleźć się w nowym europejskim prawie.

W pierwszych słowach czytamy, że ochrona danych osobowych jest fundamentalną zasadą, która powinna być respektowana przez każdego. Co więcej, każda osoba ma prawo do ochrony danych osobowych oraz powinna mieć zapewnioną możliwość uzyskania informacji kto zbiera dane osobowe, gdzie są gromadzone, dla jakich celów i w jakim czasie. W grę wchodzi zatem rekomendacja obszernego obowiązku informacyjnego.

Fundacja skupiła się także nad problemem profilowania. Istniejąca w polskim prawie regulacja profilowania (w tym zakresie można wskazać art. 26a ustawy o ochronie danych osobowych dotyczący „ostatecznego rozstrzygnięcia indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym”) ogranicza się do ostatniego etapu, zakazując w pełni automatycznego podejmowania decyzji w oparciu o analizę danych. Projekt Komisji opiera się na podobnej logice – reguluje jedynie „środki oparte o profilowanie”, czyli ostatni etap podejmowania decyzji. Ważne jest to, że ludzka interwencja nie jest wymagana jeśli profilowanie jest oparte o przepis prawa. Fundacja wskazała, że z procesem profilowania wiąże się nieubłaganie problem dyskryminacji. W jednym z wystąpień Rzecznik Praw Obywatelskich stwierdził, iż profilowanie jednostki w oparciu o dane jej dotyczące jest obecnie uznane za proces, który może wpływać na pojawianie się zjawiska segregacji społecznej i przez to ograniczać prawa niektórych podmiotów biorących udział w życiu społecznym[1].

Fundacja rekomenduje poddanie ponownemu przeglądowi postanowień rozporządzenia odnoszących się do transferu danych w związku z wydaniem wyroku unieważniającego program Safe Harbour. Przed szereg wysunęła postulat zapewniania skutecznej ochrony danych osobowych. Państwa członkowskie Unii Europejskiej muszą na nowo określić warunki współpracy. W grę wchodzą wiec inne sposoby legalizacji transferu danych. Na podstawie polskiej ustawy o ochronie danych osobowych mogą to być standardowe klauzule umowne czy wiążące reguły korporacyjne.

Jak widać reforma ochrony danych wywołuje ogromne zainteresowanie nie tylko wśród środowisk prawniczych. Jest to ważki problem, który w pełni zasługuje na przemyślenia i dogłębną analizę. Nowa, kompleksowa regulacja w zakresie ochrony danych osobowych ma w mojej ocenie dwa główne cele. Po pierwsze w sposób odpowiedni powinna zabezpieczać dane osobowe, nakładając na podmioty przetwarzające dane osobowe niezbędne obowiązki. Po drugie powinna podjąć próbę „nadążenia” nad postępem technologicznym w zakresie przetwarzania danych. Dodatkowo, organy ochrony danych osobowych powinny mieć możliwość skutecznego nadzoru nad podmiotami przetwarzającymi dane osobowe i mieć narzędzia, aby przymusić do stosowania przyjętych regulacji. Z drugiej zaś strony przepisy powinny dać się stosować nie utrudniając nadmiernie biznesowego wykorzystania danych osobowych. Dopiero po spełnieniu powyższych założeń będziemy mogli mówić o stworzeniu skutecznego akty prawnego regulującego przetwarzanie danych osobowych.

[1] Wystąpienie prof. Ireny Lipowicz do Ministra Pracy i Polityki Społecznej w sprawie ochrony danych osobowych podczas profilowania pomocy dla bezrobotnych z dnia 23 marca 2015 r.

Jak prowadzić rejestr zbiorów danych osobowych

rejestr-zbiorówJedną z kluczowych zmian wynikających z nowelizacji ustawy o ochronie danych osobowych jest obowiązek prowadzenia rejestru zbiorów danych osobowych.
O konieczności prowadzenia ww. rejestru stanowi art. 36 ust. 2 pkt 2 ustawy o ochronie danych osobowych. Należy podkreślić, iż sporządzenie i prowadzenie rejestru zbiorów należy do nowych obowiązków Administratora Bezpieczeństwa Informacji.
Rejestr zbiorów danych osobowych ma być prowadzony w formie jawnej. Wymóg posiadania rejestru jest związany z brakiem rejestracji zbiorów w GIODO. Tak jak pisaliśmy we wcześniejszych artykułach, administrator danych, który wyznaczy ABI będzie mógł liczyć na pewne „udogodnienia”. Jednym z takich ułatwień jest brak obowiązku rejestracji zbiorów zawierających dane zwykłe w GIODO. Jednakże w zamiana za zwolnienie z rejestracji i aktualizacji ustawodawca przewidział konieczność prowadzenia przez ABI, wewnętrznego, jawnego rejestru zbiorów. Jeżeli administrator danych nie powołał ABI, to należy uznać, iż nie ma obowiązku prowadzenia rejestru zbiorów danych osobowych.

W rejestrze mają być uwzględnione wszystkie zbiory za wyjątkiem tych, zwolnionych z obowiązku rejestracji na podstawie art. 43 ust. 1 ustawy o ochronie danych osobowych. Szczegółowy tryb związany z prowadzeniem zbioru danych ma zostać określony w Rozporządzeniu Ministra Administracji i Cyfryzacji  w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych (obecnie na etapie projektu).

Zgodnie z ww. rozporządzeniem, rejestr zbiorów danych osobowych może być prowadzony zarówno w formie papierowej jak i elektronicznej.

W odniesieniu do każdego ze zbiorów (za wyjątkiem tych zwolnionych z rejestracji na podstawie art. 43 ust.1 ustawy o ochronie danych osobowych) w rejestrze powinny znaleźć się następujące informacje:

1) nazwa zbioru danych;

2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;

3) jeżeli został wyznaczony, oznaczenie przedstawiciela administratora danych, o którym mowa w art. 3la ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwanej dalej „ustawą”, i adres jego siedziby lub miejsca zamieszkania;

4) w przypadku powierzenia przetwarzania danych, oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy i adres jego siedziby lub miejsca zamieszkania;

5) podstawa prawna upoważniająca do prowadzenia zbioru danych;

6) cel przetwarzania danych w zbiorze;

7) opis kategorii osób, których dane są przetwarzane w zbiorze;

8) zakres danych przetwarzanych w zbiorze;

9) sposób zbierania danych do zbioru;

10) sposób udostępniania danych ze zbioru;

11) oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;

12) informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego w rozumieniu art. 7 pkt 7 ustawy.

W rejestrze należy również podać datę aktualizacji oraz wykreślenia zbioru. Zmian należy dokonywać niezwłocznie po ich powstaniu w zbiorze. Warto pamiętać, że rozporządzenie wymaga, aby wszystkie wymagane informacje były podane w powszechnie zrozumiałej formie.

Widać więc, że wymagane informacje jakie mają się znaleźć w rejestrze zbiorów są zgodne z tymi, które są wymagane podczas uzupełniania zgłoszenia zbioru do rejestracji w GIODO. Nie musimy się więc obawiać, iż w razie wyznaczenia ABI będziemy mieli obowiązek udostępnić jakieś dodatkowe informacje na temat przetwarzanych danych osobowych.

Rejestr prowadzony w formie elektronicznej ma być jawny poprzez:

1) udostępnienie rejestru na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru,

lub

2) udostępnienie każdemu zainteresowanemu rejestru na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora.

W sytuacji prowadzenie rejestru w formie papierowej, rozporządzenie mówi o konieczności udostępnia treści rejestru przez administratora bezpieczeństwa informacji każdemu zainteresowanemu w siedzibie lub miejscu zamieszkania administratora danych.