Jesteś ABI? Musisz prowadzić rejestr zbiorów danych osobowych

Jednym z obowiązków administratora bezpieczeństwa informacji jest prowadzenie wewnętrznego rejestru zbiorów danych osobowych (jeśli ABI zostanie powołany). Administrator danych może, ale nie musi powołać ABI. Jeżeli zdecyduje się na jego powołanie, to musi liczyć się z wieloma nie tylko udogodnieniami, ale również obowiązkami po swojej i ABI stronie. Jedną z zalet powołania ABI i zgłoszenia go do GIODO jest brak obowiązku rejestracji zbiorów danych osobowych. Obowiązek ten niejako przejmuje ABI, który prowadzi własny wewnętrzny rejestr zbiorów danych przetwarzanych przez administratora danych.

Jednak nawet jeśli w danej organizacji ABI został powołany, to zbiory danych zawierające dane wrażliwe (dane o nałogach, stanie zdrowia itp.) wciąż należy zgłaszać do rejestracji, chyba że takie zbiory są przetwarzane poza systemem informatycznym, wyłącznie w formie papierowej.

Rozporządzenie ministra administracji i cyfryzacji w sprawie sposobu prowadzenia przez administratorów bezpieczeństwa informacji rejestru zbiorów danych osobowych precyzyjnie wskazuje elementy, jakie musi on zawierać. Powinien składać się z:

1) nazwy zbioru danych,

2) oznaczenia administratora danych i adresu jego siedziby lub miejsca zamieszkania oraz numeru identyfikacyjnego rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany,

3) oznaczenia przedstawiciela administratora danych, o którym mowa w art. 31a ustawy, i adresie jego siedziby lub miejsca zamieszkania – jeśli ADO wyznaczył taki podmiot,

4) oznaczenia podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy, i adresu jego siedziby lub miejsca zamieszkania – jeśli ADO powierzył przetwarzanie danych takiemu podmiotowi,

5) podstawy prawnej upoważniającej do prowadzenia zbioru danych,

6) celu przetwarzania danych w zbiorze,

7) opisu kategorii osób, których dane są przetwarzane w zbiorze,

8) zakresu danych przetwarzanych w zbiorze,

9) sposobu zbierania danych do zbioru, w szczególności informacji, czy dane do zbioru są zbierane od osób, których dotyczą, czy z innych źródeł niż osoba, której dane dotyczą,

10) sposobu udostępniania danych ze zbioru, w szczególności informacji, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnione na podstawie przepisów prawa,

11) oznaczenia odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane,

12) informacji o ewentualnym przekazywaniu danych do państwa trzeciego. 

Wybór formy, w jakiej jest prowadzony rejestr, należy będzie do ABI. Może prowadzić go w postaci papierowej bądź elektronicznej. Analogicznie do rejestru prowadzonego przez GIODO – rejestr jest jawny i każdy ma prawo go przeglądać. Jeśli rejestr jest prowadzony w formie papierowej, musi być dostępny dla każdego w siedzibie firmy bądź w miejscu zamieszkania ADO. W przypadku wyboru formy elektronicznej najwłaściwszą formą wydaje się być udostępnienie go na stronie internetowej.