iSecure logo
Blog

Rejestr jawny Administratora Bezpieczeństwa Informacji

Kategorie

Instytucja Administratora Bezpieczeństwa Informacji (dalej: ABI) ma kluczowe znaczenie dla zapewnienia przestrzegania w jednostce organizacyjnej przepisów o ochronie danych osobowych. Zgodnie z obowiązującymi przepisami jego powołanie jest fakultatywne, lecz wysoce wskazane, ponieważ rozwiązanie to niesie ze sobą dla Administratora Danych (dalej: ADO) wiele korzyści. Przejawiają się one między innymi w zwolnieniu z obowiązku rejestracji zbiorów danych osobowych, które w przeciwnym wypadku temu obowiązkowi podlegają. Oczywiście należy mieć na uwadze fakt, że zwolnieniem nie są objęte zbiory danych zawierające dane wrażliwe. Jednym z istotnych atutów prowadzenia rejestru zbiorów przez ABI jest to, że takie rozwiązanie pozwala znacznie usprawnić działanie na danych w porównaniu do tradycyjnej formy zgłaszania danych bezpośrednio do GIODO. Ponadto, biorąc pod uwagę fakt, że prowadzenie zbioru należy do podstawowych zadań ABI, należy spodziewać się, że w przypadku wykrycia przez GIODO ewentualnych uchybień, będzie on ponosił odpowiedzialność bezpośrednią, niezależną od ADO.

Przyczyna zwolnienia z obowiązku rejestracji zbiorów danych
Przyczyną zwolnienia z obowiązku rejestracji zbiorów danych w GIODO jest fakt, że ubiegłoroczną nowelizacją ustawy, nałożono na ABI obowiązek prowadzenia rejestru zbiorów danych przetwarzanych w ramach działalności Administratora.

W jakich przypadkach i kiedy ABI ma obowiązek objęcia zbioru danych swym rejestrem
W tym wypadku prawodawca wprowadził analogiczne zasady, jak w przypadku obowiązku zgłoszenia konkretnego zbioru do rejestru GIODO. A zatem nie ma potrzeby objęcia rejestrem zbiorów zawierających dane przetwarzane np. w zakresie drobnych spraw związanych z codziennym funkcjonowaniem przedsiębiorcy, bądź w celu wystawienia faktury. Zbiór danych powinien zostać zgłoszony do rejestru, przed rozpoczęciem przetwarzania danych zawartych w zbiorze.

Jawność
Aktualnie przepisy pozostawiają ABI dużą swobodę w zakresie formy rejestru. Ponieważ ABI może, wedle uznania, prowadzić swój rejestr w formie papierowej albo elektronicznej, a także w obu postaciach. Przepisy wskazują także, że podobnie jak rejestr prowadzony przez GIODO, rejestr ABI jest jawny. Zasada ta została rozwinięta w Rozporządzeniu Ministra Administracji i Cyfryzacji z 11 maja 2015 r., przejawia się zaś obowiązkiem udostępnienia rejestru do przeglądania. Sposoby wywiązania się z tej powinności zależne są od formy prowadzenia rejestru.
W przypadku prowadzenia rejestru w postaci papierowej ABI musi udostępnić rejestr do przeglądu każdemu zainteresowanemu w siedzibie ADO lub jego miejscu zamieszkania.
Natomiast, gdy rejestr prowadzony jest w formie elektronicznej, udostępnienie rejestru do przeglądania może nastąpić:

  • na stronie internetowej ADO, przy czym na stronie głównej należy umieścić odwołanie umożliwiające bezpośredni dostęp do rejestru,
  •  lub na stanowisku dostępowym w systemie informatycznym ADO znajdującym się w siedzibie lub miejscu zamieszkania tego administratora,
  • lub przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.

W większości sposoby te raczej wydają się być jasne i mało uciążliwe. Pewne wątpliwości może budzić kwestia procedury udzielenia wglądu do rejestru poprzez sporządzenie wydruku np. czy każdy zainteresowany powinien uzyskiwać wydruk nieodpłatnie.
Akt wykonawczy przewidział również możliwość ograniczania udostępniania informacji w formie elektronicznej, w przypadku, gdy rejestr ABI prowadzony jest w obu formach lub jedynie w formie elektronicznej. W takich okolicznościach ADO jest uprawniony do ograniczenia udostępniania informacji dotyczących siedziby lub miejsca zamieszkania podmiotu, któremu powierzono przetwarzanie danych ze zbioru. Zarazem ADO nie może odmówić udostępnienia tych danych w formie papierowej oraz odnotowania w rejestrze elektronicznym samego faktu dokonania powierzenia.

Jakie informacje powinny znaleźć się w rejestrze
W rozporządzeniu ujęto katalog informacji, które powinny zostać zawarte w rejestrze według wskazanej kolejności, wraz z datą dokonania ich wpisu oraz ostatniej aktualizacji. A zatem rejestr obejmuje takie informacje jak:

  • nazwę zbioru danych;
  • oznaczenie ADO – nazwa, adres jego siedziby lub miejsca zamieszkania oraz numer KRS;
  • oznaczenie przedstawiciela ADO w Polsce, o ile został powołany- wskazanie adresu siedziby lub zamieszkania;
  • oznaczenie procesora – również poprzez wskazanie adresu siedziby lub zamieszkania, jeśli dokonano powierzenia przetwarzania danych;
  • wskazanie podstawy prawnej upoważniającej do prowadzenia zbioru danych;
  • cel przetwarzania danych w zbiorze;
  • opis kategorii osób, których dane są przetwarzane w zbiorze;
  • zakreślenie zakresu danych przetwarzanych w zbiorze;
  • określenie sposobu zbierania danych do zbioru – bezpośrednio, czy pośrednio od osób, których dane dotyczą;
  • wskazanie sposobu udostępniania danych ze zbioru, w szczególności, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnione na podstawie przepisów prawa;
  • oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;
  • informacja dotycząca ewentualnego przekazywania danych poza obszar EOG.

Podmiot uprawniony do wglądu
Przepisy nakazują ABI umożliwienie wglądu każdemu zainteresowanemu, mając zatem na uwadze treść obowiązku udzielenia informacji (przewidziany w art. 33 UODO), należy uznać, że uprawnione są nie tylko osoby, których dane zawarte są w zbiorach objętych rejestrem, lecz każda osoba, która wyrazi zainteresowanie.

Forma udostępnionych informacji
Przepisy wykonawcze nakładają na ABI obowiązek udostępnienia informacji w powszechnie zrozumiałej formie. Należy zatem uznać, że spełnienie tego obowiązku może przejawiać się zarówno w formie jak i treści rejestru. Co za tym idzie rejestr powinien być prowadzony w sposób czytelny, a zatem dużą, łatwą do odczytania czcionką. Treść natomiast powinna być spisana, w miarę możliwości, w języku polskim. ABI powinien także unikać stosowania skrótów innych niż powszechnie znane.

Wymóg aktualności
Obowiązki ABI nie kończą się na stworzeniu rejestru, ewentualnie udostępnieniu osobie zainteresowanej danych w nim zawartych, przepisy przewidują bowiem powinność niezwłocznej aktualizacji rejestru w przypadku zmiany danych objętych rejestrem bądź wykreślenia zbioru. Ponadto, w tym ostatnim przypadku, ABI jest zobowiązany do pozostawienia pewnego śladu wykreślonego zbioru – w postaci informacji dotyczących nazwy zbioru, daty wpisania oraz daty wykreślenia.23

Podobne wpisy:

Umowa powierzenia przetwarzania danych

Umowa powierzenia przetwarzania danych

Zapraszam serdecznie do obejrzenia wywiadu z Michałem, podczas którego opowiada o tym jak powinna wyglądać umowa powierzenia przetwarzania danych. Rozmowa została przeprowadzona w trakcie Konferencji “E-mail marketing 2010″, której organizatorem była firma SARE we współpracy z agencją Bluerank.

Odpowiedzialność karna pracownika przy przetwarzaniu danych osobowych

Odpowiedzialność karna pracownika przy przetwarzaniu danych osobowych

Przyjęło się, że odpowiedzialność karną w związku z naruszeniem przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej UODO) przypisuje się wyłącznie zarządowi (w przypadku spółek) albo właścicielowi firmy (w przypadku jednoosobowej działalności gospodarczej). Tego typu stanowisko często głoszą sami pracownicy na szkoleniach, które mam okazję od czasu do czasu prowadzić i niestety zawsze w takiej sytuacji muszę wyprowadzić słuchaczy z błędu.

Marketingowi mówimy tak, ale…

Marketingowi mówimy tak, ale…

Dzisiaj będzie krótko o przetwarzaniu danych w celach marketingowych. Stare porzekadło mówi, że „reklama dźwignią handlu” i trudno się z tym nie zgodzić, jednak należy pamiętać, że reklama musi być zgodna z prawem. Zwłaszcza chodzi mi tu o aspekt związany z możliwością wykorzystania czyichś danych osobowych w celach marketingowych.

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki