Rejestr zbiorów danych – nowe rozporządzenie już obowiązuje

Nowe rozporządzenie w sprawie rejestru zbiorów danych już obowiązuje! W dniu 26 maja 2015 r. weszło w życie wyczekiwane od stycznia tego roku rozporządzenie w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych. Rejestr zbiorów danych w pewnym sensie rekompensuje fakt ograniczenia obowiązku rejestracji zbiorów danych osobowych.

rejestr-zbiorówW § 1 określony jest zakres przedmiotowy rozporządzenia. Formułuje ono sposób prowadzenia rejestru zbiorów danych, o którym mowa w art. 36a ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Zakres obowiązków ABI możemy podzielić na dwie grupy. Po pierwsze są to czynności związane z zapewnieniem przestrzegania przepisów o ochronie danych osobowych oraz drugie odnoszące się z rejestracją zbiorów danych osobowych. Te drugie obowiązki szczegółowo opisane są w rozporządzeniu. Poniżej prezentujemy najważniejsze założenia tego rozporządzenia.

W § 3 rozporządzenia odnajdujemy zakres informacji jakie powinny być zidentyfikowane w przypadku każdego zbioru danych. Brak jest w nim różnic w odniesieniu do projektu z dnia 13 marca 2015 r. Zakres informacji jakie powinny znaleźć się w rejestrze zbiorów opisany został w artykule: Nowe projekty rozporządzeń wykonawczych marzec 2015.

W § 4 rozporządzenia wskazany jest katalog uprawnień przysługujący ABI, który:

  1. wpisuje zbiór danych do rejestru przed rozpoczęciem przetwarzania w zbiorze danych;
  2. aktualizuje informacje dotyczące zbioru danych w rejestrze – w przypadku zmiany informacji objętych wpisem;
  3. wykreśla zbiór danych z rejestru – w przypadku zaprzestania przetwarzania w nim danych osobowych;
  4. udostępnia rejestr do przeglądania

Warto również wspomnieć, iż ABI odnotowuje każdorazową zmianę w historii rejestru (wskazuje on na informacje o zmianie, jej dacie oraz zakresie). Uprawnienia, zatem w tym zakresie możemy określić jako funkcje kontrolną, uzupełniającą oraz informującą.

Szeroki wachlarz uprawnień wynika również z kolejnych postanowień, w myśl których kiedy mamy do czynienia z prowadzeniem rejestru w postaci elektronicznej administrator bezpieczeństwa informacji udostępnia rejestr do przeglądania:

  1. na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru, lub
  2. na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora, lub
  3. przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.

Ponadto, w przypadku prowadzenia rejestru w postaci papierowej administrator bezpieczeństwa informacji udostępnia każdemu zainteresowanemu treść rejestru do przeglądania w siedzibie lub miejscu zamieszkania administratora danych

Pewne rozszerzenie w porównaniu do rozporządzenia z 13 marca 2015 r. odnajdujemy w § 5 ust. 3. Nowe rozporządzenie dot. rejestru zbiorów danych określa, iż w przypadku prowadzenia rejestru wyłącznie w postaci elektronicznej albo w postaci papierowej i postaci elektronicznej administrator bezpieczeństwa informacji może zdecydować, że w odniesieniu do informacji, o których mowa w § 3 ust. 1 pkt 4 (oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy o ochronie danych osobowych i adres jego siedziby lub miejsca zamieszkania – w przypadku powierzenia przetwarzania danych temu podmiotowi) w postaci elektronicznej udostępnia się do przeglądania wyłącznie informacje o powierzeniu przetwarzania danych innemu podmiotowi, a jego oznaczenie i adres siedziby lub miejsca zamieszkania są udostępniane do przeglądania jedynie w przypadku prowadzenia rejestru w postaci papierowej. Wtedy to administrator bezpieczeństwa informacji udostępnia każdemu zainteresowanemu treść rejestru do przeglądania w siedzibie lub miejscu zamieszkania administratora danych. Wynika z tego, że rejestr zbiorów danych pełni funkcję informacyjną wpisując się w nowe trendy w zakresie przepisów o ochronie danych osobowych.