My już wiemy jak prowadzić jawny rejestr zbiorów danych osobowych! [wzór Rejestru]

Zacznę od krótkiego przypomnienia. Ustawę o ochronie danych osobowych, znowelizowano w ramach tzw. IV pakietu deregulacyjnego. Nowelizacja weszła w życie z dniem 1 stycznia 2015 roku. Z perspektywy każdego Administratora Danych, najbardziej istotne były rozporządzenia wykonawcze do ustawy,
a konkretnie:

Podstawa prawna

  • Rozporządzenie umożliwiające zgłaszanie Administratorów Bezpieczeństwa Informacji (ABI) do GIODO (podpisane przez Ministra w dniu 10 grudnia 2015 roku),
  • Rozporządzenie w sprawie sposobu prowadzenia przez Administratora Bezpieczeństwa Informacji rejestru zbiorów danych – zostało podpisane przez Ministra Administracji i Cyfryzacji w dniu 25 maja 2015 roku,
  • Rozporządzenie w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez Administratora Bezpieczeństwa Informacji – wciąż brak podpisu Ministra.

Podsumowując powyższe – wiemy już, jakie warunki musi spełniać osoba powoływana na stanowisko ABI (zostało to uregulowane w samej ustawie).

Możemy również zgłaszać powołanych ABIch do centralnego rejestru prowadzonego przez GIODO. GIODO dodał już na swojej stronie egiodo.giodo.gov.pl, stosowne funkcjonalności.

Od 26 maja, każdy ABI wie już, czego ustawodawca oczekuje od niego, jeśli chodzi o prowadzenie jawnego rejestru zbiorów danych osobowych.

Szkoda, że tak długo musieliśmy czekać na to proste rozporządzenie wykonawcze. W ten sposób na wprowadzenie zmian każdy ABI ma dość mało czasu (ile? o tym poniżej).

Warto również pamiętać o tym, że rozporządzenie regulujące nowe obowiązki ABI, takie jak np. prowadzenie sprawdzeń zgodności przetwarzania danych osobowych z obowiązującymi przepisami, wciąż czeka na podpis Ministra.

Co jest do zrobienia?

Warto zastanowić się nad tym, czy nowelizacja przepisów, wiąże się z dużą ilością dodatkowej pracy. Idea jest taka, że każdy Administrator Danych, który zgłosi swojego ABIego do centralnego rejestru GIODO, nie musi już zgłaszać do GIODO bazy danych. Pracy jest więc mniej. Niemniej jednak, zamiast zgłoszenia zbiorów do GIODO, należy prowadzić ich jawny rejestr. Jak to zrobić? O tym za chwilę.

Jeśli natomiast Administrator Danych Osobowych, nie powoła lub nie zgłosi powołanego ABIego, to do GIODO nadal muszą być zgłaszane bazy danych osobowych.

I jeszcze jedna ważna sprawa. Nawet, jeśli ABI został zgłoszony – jawny rejestr nie wystarczy do przetwarzania danych wrażliwych. Tutaj nadal konieczne jest zgłoszenie bazy do GIODO.

Innymi słowy, jawnym rejestrem zainteresowani powinni być jedynie Administratorzy Bezpieczeństwa Informacji zgłaszani do GIODO.

Nie zmienia to faktu, że Administratorzy Danych, którzy nie powołają ABIego, mają dość podobną pracę do wykonania.

Zgodnie z paragrafem 6 Rozporządzenia z dnia 29 sierpnia 2004 roku w sprawie dokumentacji ochrony danych osobowych, polityka bezpieczeństwa danych osobowych, powinna zawierać wykaz zbiorów danych osobowych oraz opis ich struktury. Tyle, że wykaz ten nie jest jawny i nie podlega przepisom nowego rozporządzenia.

Wygląda więc na to, że ustawodawca dał kolejny sygnał, zachęcający do zgłaszania ABIch do centralnego rejestru.

10-03-2015 ABI a rejestracja zbiorów

Infografika – „ABI a rejestracja zbiorów”

W jaki sposób prowadzić jawny rejestr?

Zacznijmy od tego, jakie informacje dotyczące każdego zbioru danych, powinny znaleźć się w jawnym rejestrze. Są to:

Co powinien zawierać Jawny Rejestr Zbiorów:

  • nazwa zbioru danych;
  • oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
  •  oznaczenie przedstawiciela administratora danych, o którym mowa w art. 31a ustawy, i adres jego siedziby lub miejsca zamieszkania – w przypadku wyznaczenia takiego podmiotu;
  • oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy, i adres jego siedziby lub miejsca zamieszkania – w przypadku powierzenia przetwarzania danych temu podmiotowi;
  • podstawa prawna upoważniająca do prowadzenia zbioru danych;
  • cel przetwarzania danych w zbiorze;
  • opis kategorii osób, których dane są przetwarzane w zbiorze;
  • zakres danych przetwarzanych w zbiorze;
  • sposób zbierania danych do zbioru, w szczególności informacja, czy dane do zbioru są zbierane od osób, których dotyczą, czy z innych źródeł niż osoba, której dane dotyczą;
  • sposób udostępniania danych ze zbioru, w szczególności informacja, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnione na podstawie przepisów prawa;
  • oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;
  • informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego.

Wygląda znajomo? Jeżeli zgłaszali już Państwo bazy danych do GIODO, to powyższy katalog nie jest niczym nowym. Jeśli wykonywali Państwo wcześniej audyt danych osobowych w organizacji – to wszystkie wyżej wymienione informacje powinny być proste do skompletowania. Zachęcamy Państwa do skorzystania edytowalnego wzoru Jawnego Rejestru Zbiorów ABI, który specjalnie dla Państwa przygotowaliśmy.

Pobierz szablon Jawnego Rejestru Zbiorów ABI

Pobierz

Albo...

...Przygotuj się do nowego prawa ochrony danych osobowych - RODO. Pójdź na skróty i skorzystaj z jednego kompleksowych pakietów wdrożeniowych, których autorami są eksperci Lex Artist – lidera na rynku ochrony danych osobowych w Polsce. Więcej informacji znajdziesz na poniższym porównaniu:

 

 Poniżej rozwiązanie dla tych który chcą samodzielnie wdrożyć RODO w swojej organizacji:

Na czym polega jawność rejestru?

Ustawodawca przewidział kilka możliwości zapewnienia jawności rejestru zbiorów danych osobowych. Wszystko zależy od tego, czy zdecydujemy się na prowadzenie rejestru w wersji papierowej czy elektronicznej.

Jeśli rejestr prowadzimy w wersji papierowej – co zapewne będzie rzadkością, powinien on być udostępniany do zapoznania się w siedzibie Administratora Danych Osobowych.

Jeśli decydujemy się na wersję elektroniczną, mamy kilka możliwości:

1) Link na stronie internetowej Administratora Danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru,

2) Stanowisko dostępowe w systemie informatycznym Administratora Danych, znajdujące się w siedzibie lub miejscu zamieszkania tego Administratora,

3) Sporządzenie wydruku rejestru z systemu informatycznego Administratora Danych.

Zalecam zastanowienie się nad dwiema możliwościami prowadzenia jawnego rejestru.

Dla wszystkich Administratorów Danych Osobowych, którzy operują na dużych bazach danych, zamieszczenie rejestru na stronie internetowej może być skutecznym zabiegiem. W ten sposób pokazujemy naszym klientom, że nie mamy nic do ukrycia i przestrzegamy przepisów dotyczących ochrony danych osobowych. A przy okazji realizujemy wymóg ustawowy.

Jeśli przetwarzamy niewielką ilość danych osobowych, spokojnie możemy odpuścić modyfikacje na stronie internetowej i prowadzić rejestr w formie tabeli czy pliku tekstowego. Będzie prościej i wygodniej.

O czym jeszcze powinniśmy pamiętać?

Na pewno o aktualizacji jawnego rejestru.  W rejestrze podaje się datę wpisu każdego zbioru danych do rejestru, a także datę ostatniej aktualizacji informacji dotyczących każdego zbioru danych.

W przypadku wykreślenia zbioru danych z rejestru, w rejestrze pozostawia się nazwę zbioru danych, datę wpisania zbioru danych oraz datę ostatniej aktualizacji informacji dotyczących tego zbioru wraz z adnotacją, że jest to data wykreślenia zbioru z rejestru.

Zgodnie z postanowieniami rozporządzenia, odnotowania wymaga również historia zmian w rejestrze. Ma ona zawierać informację o rodzaju zmiany (nowy wpis, aktualizacja, wykreślenie), datę  dokonania zmiany oraz informację o jej zakresie.

Warto również od razu wyjaśnić kwestię tego, które zbiory danych podlegają wpisowi do jawnego rejestru. Oczywiście wszystkie te, które normalnie byłyby zgłaszane do GIODO (nie zostały zwolnione z obowiązku rejestracji na mocy art. 43 ustawy o ochronie danych osobowych).

Co natomiast ze zbiorami zwolnionymi z obowiązku rejestracji? Na przykład ze zbiorem kadrowym? Odpowiedź została zawarta w art. 36a ust. 2 pkt 2 ustawy o ochronie danych osobowych. Zgodnie z nim, wszystkie zbiory wymienione w art. 43 ust. 1 ustawy, a więc również zbiory kadrowe, zostały wyłączone z ich opisania w jawnym rejestrze zbiorów danych.

Na kiedy jawny rejestr powinien być gotowy?

Odpowiedź na to pytanie, znajdziemy w tzw. IV pakiecie deregulacyjnym, czyli ustawie z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej.

Art. 35. Administrator bezpieczeństwa informacji wyznaczony na podstawie art. 36 ust. 3 ustawy zmienianej w art. 9, w brzmieniu dotychczasowym, pełni funkcję administratora bezpieczeństwa informacji w rozumieniu art. 36a ust. 1 ustawy zmienianej w art. 9, w brzmieniu nadanym niniejszą ustawą, do czasu zgłoszenia go do rejestru, o którym mowa w art. 46c ustawy zmienianej w art. 9, w brzmieniu nadanym niniejszą ustawą, nie dłużej jednak niż do dnia 30 czerwca 2015 r.

Przekładając powyższe na bardziej przystępny język. Każdy ABI, powołany przed Administratora Danych przed 1 stycznia 2015 r., powinien przygotować jawny rejestr zbiorów danych, najpóźniej do czasu zgłoszenia go do rejestru ABIch. Zgłoszenie nastąpić powinno nie później niż do dnia 30 czerwca 2015 roku.

W przypadku ABIch powołanych po dacie 1 stycznia 2015 r., sprawa wygląda trochę inaczej. Zgodnie z ustawą, ich zgłoszenie do rejestru GIODO powinno nastąpić w terminie 30 dni od daty powołania. Swoje obowiązki, od początku realizują oni na podstawie znowelizowanych przepisów. Tym samym, obowiązek prowadzenia jawnego rejestru zbiorów danych osobowych, ciąży na nich od momentu wejścia w życie omawianego rozrządzenia – zatem od 26 maja 2015 roku.

Profesjonalne wsparcie

Mamy nadzieję, że artykuł był dla Ciebie pomocny. Jeśli dopiero zaczynasz swoją przygodę ze stanowiskiem ABI i potrzebujesz wsparcia, zapraszamy do skorzystania z naszej pomocy.
Więcej

Podsumowanie

Wprowadzenie jawnego rejestru to kolejny pomysł ustawodawcy na sprawienie, by procesy przetwarzania danych osobowych były bardziej transparentne. Z pozoru to nowy obowiązek dla ABIego. Jednak w praktyce jest to obowiązek dość prosty w realizacji. I na pewno wymagający mniej nakładów czasu, niż zgłaszanie klasycznego wniosku rejestracyjnego do GIODO.

Dużym plusem jest również możliwość natychmiastowej aktualizacji rejestru przez ABIego i brak konieczności zgłaszania oficjalnych wniosków aktualizacyjnych do GIODO. Oczywiście sprawa ma się podobnie, jeśli chodzi o wykreślanie zbiorów danych osobowych z rejestru.

To z całą pewnością krok w dobrym kierunku.

29 Odpowiedzi

  1. KAT

    czy może ktoś udzielić mi odpowiedzi na pytanie – jeżeli rejestr prowadzony jest w formie elektronicznej, nie jest udostępniany na stronie internetowej – czy każda osoba wyrażająca chęć sprawdzenia prowadzonych zbiorów powinna mieć do nich dostęp? czy działa tu taka sama zasad, jak przy zapytaniu o przetwarzane dane osobowe?

    1. Kancelaria Lex Artist

      Rozdzielmy tutaj dwie kwestie. Pierwsza sprawa to sam dostęp do zbiorów danych (zasobów) i konkretnych danych osobowych.
      Zupełnie czym innym jest dostęp do jawnego rejestru, gdzie wskazane są jedynie ogólne ramy przetwarzania danych w zbiorze – bez konkretnych rekordów danych.
      Oczywiście jeśli mówimy o jawnym rejestrze to niezależnie od tego czy prowadzony jest w formie papierowej czy elektronicznej – każdy ma prawo się z nim zapoznać.
      Tak jak każdy może sprawdzić rejestr zbiorów danych prowadzonych przez GIODO.

    2. Lena

      Dzień dobry. Ponieważ im więcej czytam tym więcej pojawia się w mej głowie wątpliwości, bardzo proszę o informację czy w rejestrze jawnym prowadzonym przez ABI należy uwzględniać zbiory danych prowadzone poza systemem informatycznym, wyłącznie w wersji papierowej, np. książka korespondencyjna.

      1. Kancelaria Lex Artist

        Zasada jest następująca, jeżeli mamy zbiór, który zwalniamy z obowiązku rejestracji w rejestrze GIODO na podstawie art 43 ust. 1 pkt 1-12 uodo, to takiego zbioru nie ujawniamy w rejestrze ABI. W rejestrze ABI ujawniamy tylko zbiory, które zwalniamy z obowiązku rejestracji w rejestrze GIODO na podstawie art. 43 ust. 1a uodo (czyli w zw. z powołaniem ABI) oraz zbiory, które do rejestracji GIODO zgłosiliśmy (bo nie ma żadnej podstawy do ich zwolnienia).
        Odnosząc się zatem do zbiorów przetwarzanych w formie papierowej – korzystają one ze zwolnienia z obowiązku rejestracji w rejestrze GIODO na podstawie art. 43 ust. 1 pkt 12 uodo (pod warunkiem, że nie zawierają danych wrażliwych, jak np. wspomniana książka korespondencji). Oznacza to, że nie ujawniamy ich w rejestrze ABI.

        To wszystko obrazuje infografika załączona do artykułu 🙂

  2. ABI

    To ja mam takie pytanie – co ze zbiorami które zgłosiliśmy do GIODO ? one też mają być ujęte w rejestrze ? Czy tylko nowe zbiory danych osobowych?

    1. Kancelaria Lex Artist

      Zgodnie z aktualnym stanem prawnym, jawny rejestr zbiorów danych prowadzony przez ABI obejmuje wszystkie zbiory danych niezwolnione z rejestracji na podstawie art. 43 ust. 1 ustawy o ochronie danych osobowych i zastępuje katalog dotychczasowych zbiorów danych zgłoszonych do GIODO. W praktyce oznacza to, że zbiory danych dotychczas ujawnione w rejestrze GIODO należy ująć w nowym jawnym rejestrze prowadzonym przez ABI (aktualny rejestr), natomiast do GIODO nie przekazuje Pan już żadnej informacji dotyczącej aktualizacji czy choćby wykreślenia tych zbiorów z prowadzonego przez GIODO rejestru (rejestr ma tak na prawdę charakter archiwalny). Ideą przyświecającą przyjęciu takiego rozwiązania przez ustawodawcę było bowiem przejście na ABI-ego obowiązku prowadzenia rejestru zbiorów danych. Wyjątek dotyczy zbiorów, które zawierają tzw. dane wrażliwe (wskazane w art. 27 ust. 1 ustawy o ochronie danych osobowych), a które w dalszym ciągu podlegają obowiązkowi zgłaszania do rejestracji GIODO (jak i aktualizacji). W tym przypadku, zbiory danych należy powielić w jawnym rejestrze zbiorów prowadzonym przez ABI (takie zbiory danych będą więc ujawnione w dwóch rejestrach).

    2. Lena

      Teraz już wszystko dla mnie jasne – bardzo dziękuję za odpowiedź. Zatem uprzejmie proszę o informację jak postąpić w następującej sytuacji. Przejęłam obowiązki ABI od koleżanki która przebywa na dłuższym L-4. Koleżanka stworzyła i prowadziła wprawdzie rejestr, ale nie doczytała o zwolnieniach z obowiązku rejestracji, tak więc znajdują się w rejestrze wszelkie zbiory, łącznie z tymi, które korzystają ze zwolnienia.
      I teraz pytanie czy powinnam stworzyć na nowo Jawny Rejestr, czy też zaktualizować go podając przy zbiorach zwolnionych z obowiązku rejestracji, informację o wykreśleniu zbioru z rejestru, mimo, że zbiory te w rejestrze nie powinny się znaleźć.

      1. Kancelaria Lex Artist

        Co do zasady jeśli rejestr obejmuje dodatkowe zbiory, to stopień transparentności procesów jest większy.
        Przeważnie sytuacja jest zupełnie odwrotna – w rejestrze nie figurują zbiory, które powinny się tam znaleźć. Z drugiej strony np. dla Inspektorów GIODO taki „poszerzony” rejestr może być pewnym zaskoczeniem… więc może faktycznie prosta aktualizacja rejestru będzie najlepszym i najprostszym rozwiązaniem.

  3. jędrek

    Mam wątpliwości jeśli idzie o wykreślenie zbioru z rejestru prowadzonego przez GIODO. Czy wykreślenie zbioru z rejestru na podstawie art 44a pkt. 1 (zaprzestanie przetwarzania danych w zarejestrowanym już zbiorze danych) objęte jest zwolnieniem zawartym w art. 41 ust. 4 ?, a zatem czy ABI nie powinien wnioskować o wykreślenie zbioru danych, jeśli faktycznie zaprzestano przetwarzania danych w zbiorze. Przyjęcie interpretacji, że zaprzestanie przetwarzania też jest zmianą i nie trzeba tego zgłaszać moim zdaniem może prowadzić do powstania niebezpiecznej sytuacji dla ADO – bo jeśli ABI wykreśli zbiór danych, po czym ADO odwoła ABIego, to ADO będzie musiał dokonać zgłoszenia do GIODO wszystkich nowych zbiorów i wszystkich zmian jakie zaszły od momentu rejestracji, w tym wykreśleń – oczywiście mowa o zbiorach nie zawierających danych wymienionych w art. 27. O ile w przypadku całkowitego zaprzestania przetwarzania danych w zbiorze będzie to wykonalne, to w przypadku gdy ABI wykreśli zbiór danych w wyniku przyjęcia innej interpretacji zbioru (np. scalenie dwóch zbiorów w jeden – czyli wykreślenie dwóch, a wpisanie jednego lub na odwrót) to w takim przypadku ADO będzie miał poważny kłopot aby doprowadzić rejestr prowadzony przez GIODO do stanu zgodnego z prawem.

    1. Kancelaria Lex Artist

      Jeśli faktycznie zaprzestano przetwarzania danych w zbiorze nie ma konieczności wnioskowania do GIODO o wykreślenie tego zbioru danych. Zbiór pozostaje w inspektoracie jako archiwalny.

      Jeśli ADO odwoła ABIego, to owszem będzie musiał dokonać zgłoszenia nowych zbiorów, jakie pojawiły się w jawnym rejestrze ABIego, a nie były zarejestrowane przed jego powołaniem, (o ile oczywiście nie podlegają zwolnieniu wynikającemu z art. 43 § 1). Opisana przez Pana sytuacja, dotyczyłaby więc tylko zbiorów, które pojawiły się po powołaniu ABIego – czyli kiedy już nie było obowiązku zgłaszania zbioru do GIODO i których zaprzestano przetwarzać przed jego powołaniem. Zbiór przetwarzany tylko w tych ramach czasowych, w których działał ABI, obecnie już nieużywany jest zbiorem archiwalnym i nie ma potrzeby zgłaszania go do GIODO przez ADO.

  4. Ania

    Mam pytanie czy jawnemu rejestrowi podlegają wszystkie zbiory danych, które w przypadku niepowołania ABIego zagaszane byłyby do GIODO, czy tylko te które przetwarzane są w wersji elektronicznej podaję przykład: Osoby odbierające dziecko z punktu przedszkolnego nie będące rodzicem/opiekunem prawnym – wersja papierowa.

    1. Kancelaria Lex Artist

      Art. 36a ust. 2 pkt 2 mówi o prowadzeniu przez ABIego jawnego rejestru WSZYSTKICH zbiorów przetwarzanych przez administratora danych. Spod obowiązku wyłączone są tylko zbiory o których mowa w art. 43 ust. 1. Analogicznie jawnemu rejestrowi ABIego podlegają te zbiory, które gdyby ABI nie został powołany, zgłosilibyśmy do GIODO. Forma przechowywania zbioru – elektroniczna, czy papierowa, nie ma w tym przypadku żadnego znaczenia. Podany w przykładzie zbiór jak najbardziej będzie podlegał jawnemu rejestrowi ABIego.

  5. jędrek

    Odnośnie komentarza 6.
    Nie przekonało mnie wyjaśnienie zawarte w komentarzu 7 – moim zdaniem rejestr prowadzony przez GIODO powinien zawierać aktualne dane, a nie „dane archiwalne” jeśli powołano ABIego. Dlatego, jako powołany ABI przygotowałem wniosek o wykreślenie zbioru, ADO podpisał, a co zrobił GIODO? – wydał decyzję o wykreśleniu.

    1. Kancelaria Lex Artist

      Panie Jędrku, odsyłamy do komentarza nr 4. W przypadku, gdy ADO powołał ABIego, to na ABIm spoczywa obowiązek aktualizowania jawnego rejestru zbiorów. I w tej sytuacji rejestr ABIego jest jedynym właściwym rejestrem podmiotu, który go powołał. W GIODO mogą w tym czasie znajdować się niezaktualizowane informacje, ponieważ w czasie, gdy jest powołany ABI rejestr danego podmiotu w GIODO ma charakter archiwalny. (Zasadzie tej nie podlegają tylko zbiory zawierające dane wrażliwe, które ABI ma obowiązek zgłosić.) Oczywiście, jeśli zgłosił Pan jako ABI wniosek o wykreślenie zbioru, wykazując się większą niż wymagana skrupulatnością, GIODO nie mógł odmówić wykreślenia informacji niezgodnej ze stanem faktycznym.
      Zgodnie z §4 pkt. 3 rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych ABI wykreśla zbiór danych z rejestru – w przypadku zaprzestania przetwarzania w nim danych osobowych. W rozporządzeniu, które powinno stanowić wytyczne dla działalności ABIego, brak jest informacji o konieczności wnioskowania do GIODO o wykreślenie zbioru, który faktycznie został zlikwidowany.

  6. jk

    przecież w art. 43 jest informacja, ze nie trzeba rejestrować 12) przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1.
    w związku z tym taki zbiór nie podlegałby zgłoszeniu do GIODO a co za tym idzie nie wpisujemy go do rejestru

  7. Paweł

    czy jawny rejestr powinien być częścią polityki bezpieczeństwa tzn. jednym z jej załączników czy to jest odrębny „dokument”??

    1. Kancelaria Lex Artist

      Rejestr jawny stanowi odrębny dokument, który nie wchodzi w skład Polityki bezpieczeństwa. Sposób prowadzenia przez ABI jawnego rejestru zbiorów danych został określony w Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r.

  8. marcin

    odnośnie pytania w komentarzu nr 11, dotyczącego art 43 ust. 1 pkt.12, rozumiem konieczność zgłaszania zbiorów danych wrażliwych, ale prosze mi wyjaśnić, co ustawodawca miał na myśli pisząc o zbiorach nieprowadzonych w syst. informat ? przecież to nadal zbiór danych, tylko w formie np. papierowej.

    1. Kancelaria Lex Artist

      Zwolnienie z art. 43 ust. 1 pkt 12 u.o.d.o. dotyczy tzw. zbiorów tradycyjnych, prowadzonych bez wykorzystania systemów informatycznych (czyli zazwyczaj prowadzonych w formie papierowej). Oczywiście nadal będzie to zbiór danych osobowych, w odniesieniu do którego stosuje się przepisy u.o.d.o. W sytuacji jednak, jeżeli w zbiorze tym nie będziemy przetwarzać danych wrażliwych, zbiór ten nie będzie podlegał rejestracji w rejestrze zbiorów danych osobowych prowadzonym przez GIODO (a w przypadku powołania ABI, nie będzie również ujawniany w jawnym rejestrze prowadzonym przez ABIego).
      Przykładem takich zbiorów mogą być np. rejestry korespondencji, księgi wejść i wyjść, etc. Celem takiego zwolnienia, podobnie jak w przypadkach pozostałych zwolnień, jest przede wszystkim ułatwienie działalności małym podmiotom.

  9. sylwia

    Witam, mam pytanie dot. rejestru jawnego: otóż Abi jestem powołana 30 kwietnia 2015 r. – rejestr jawny od kiedy powinien być prowadzony?

    1. Kancelaria Lex Artist

      Jeżeli została Pani powołana do wykonywania funkcji ABI w dniu 30 kwietnia 2015 roku, to rejestr jawny powinien być prowadzony od 26 maja 2015 roku. Nowelizacja ustawy o ochronie danych osobowych z 1 stycznia 2015 r. wprowadziła obowiązek prowadzenia jawnego rejestru przez ABI-ego, który wynika z art. 36a ust. 2 pkt. 2. Rejestr jawny tworzony jest na podstawie aktu wykonawczego do ustawy – Rozporządzenia Ministra Administracji i Cyfryzacji z 11 maja 2015 roku w sprawie sposobu prowadzenia przez Administratora Bezpieczeństwa Informacji rejestru zbiorów danych. Wyżej wskazany akt prawny wszedł w życie 26 maja 2015 roku. W związku z tym od tej daty Administrator Bezpieczeństwa Informacji jest zobowiązany do prowadzenia jawnego rejestru.

  10. Kamila

    Witam, mam pytanie odnośnie jawnego zbioru danych. Otóż wg ustawy firma zwolniona jest z obowiązku rejestracji zbiorów w GIODO. W takim przypadku te zbiory trzeba zarejestrować w wewnętrznym rejestrze?

    1. Kancelaria Lex Artist

      Jeżeli w firmie został powołany oraz zgłoszony do rejestru GIODO Administrator Bezpieczeństwa Informacji to:
      – Administrator Danych co do zasady jest zwolniony z obowiązku rejestracji zbiorów danych w rejestrze prowadzonym przez GIODO (poza pewnymi nielicznymi wyjątkami, dotyczącymi bardzo wąskiego kręgu podmiotów);
      – Administrator Bezpieczeństwa Informacji jest zobowiązany do ujawnienia w rejestrze jawnym wszystkich zbiorów, które Administrator Danych musiałby zgłosić do rejestracji GIODO.

    1. Kancelaria Lex Artist

      Zakładam, że mówimy o organie administracji publicznej, wydającym decyzje administracyjne.
      Sama decyzja administracyjna stanowi formę orzeczenia wydanego w postępowania administracyjnym, a więc w myśl art. 27 ustawy o ochronie danych osobowych, są to dane wrażliwe.
      W rejestrze GIODO widnieją zbiory o takich nazwach jak KPA czy decyzje administracyjne, czyli w praktyce takie zbiory są zgłaszane i rejestrowane przez GIODO.
      Ale z rejestru wynika, że nie wszystkie organy administracji publicznej rejestrują taki zbiór w GIODO.
      Kwestia tego jak nazwiemy zbiór: KPA, decyzje administracyjne czy jeszcze inaczej, to już kwestia raczej „kosmetyczna”.
      Podsumowując, precyzyjna odpowiedź na to pytanie wymagałaby poznania szczegółów sytuacji. Na przykład tego o jaki organ chodzi, jakie zbiory wyróżniono, czego dotyczą decyzje administracyjne etc. To już bardziej temat na krótką konsultację.
      I na koniec jeszcze jedna ważna uwag w myśl przepisów Rozporządzenia Ochrony Danych Osobowych, obowiązek zgłaszania baz danych do GIODO zostanie zlikwidowany do 25 maja 2018 roku.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO