Mamy ponad 10 tys. ABI wpisanych do rejestru GIODO. Oznacza to, że powstanie tyle samo rejestrów zbiorów danych osobowych. Warto zastanowić się, jak je tworzyć i udostępniać we właściwy sposób, tak aby spełniały wymagania ustawowe i były przydatne zarówno dla ABI, jak i dla osób, które będą je przeglądać.
Tworzenie rejestrów zbiorów danych osobowych
Kategoria: Ochrona danych osobowych
Data: 05-10-2015 r.
W ramach realizacji nowych zadań każdy ABI ma obowiązek tworzenia i prowadzenia rejestru zbiorów danych osobowych. Należy jednak tworzyć je we właściwy sposób, tak aby spełniały wymagania i były przydatne.
Obowiązek prowadzenia przez ABI rejestru zbiorów danych przetwarzanych przez ADO wynika z art. 36a ust. 2 pkt 2 uodo.
Rejestr ma być jawny (art. 36a ust. 3) i każdy ma prawo go przeglądać (art. 42 ust. 2 stosuje się tu odpowiednio). Natomiast rozporządzenie MAiC z 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych (Dz.U. z 2015 r. poz. 719) określa szczegółowo zasady prowadzenia i udostępniania takiego rejestru do przeglądania.
Po co tworzymy rejestry?
Obowiązek prowadzenia rejestru zbiorów przez ABI jest konsekwencją deregulacji w zakresie obowiązku zgłoszenia zbioru danych do rejestracji GIODO (zmiana art. 40 uodo). Jeżeli ADO powoła ABI i zgłosi go do GIODO, jest zwolniony z obowiązku zgłaszania zbiorów do rejestracji, z wyjątkiem zbiorów zawierających dane wrażliwe określone w art. 27 ust. 1 uodo.
Można powiedzieć, że zamiast do GIODO, takie zbiory „zgłasza się teraz do ABI”. Zadanie związane z prowadzeniem rejestru zbiorów jest zbliżone do prowadzenia wykazu zbiorów danych zgodnie z rozporządzeniem wykonawczym do uodo, nie powinno być zatem trudne dla ABI, który prowadzi już takie wykazy.
Praktyczne wskazówki:
-
nie kopiujemy do rejestru naszego wykazu zbiorów danych osobowych,
-
do rejestru wprowadzamy wszystkie zbiory, które nie podlegają wyłączeniu z art. 43 ust. 1 uodo – nie trzeba wprowadzać np. zbiorów kadrowych itp.,
-
do rejestru wprowadzamy zbiory danych, które wcześniej zgłosiliśmy do GIODO – pomimo że są w jego rejestrze, ale nie będą już tam aktualizowane,
-
do rejestru nie wpisujemy zbiorów prowadzonych w postaci papierowej – nowe wyłączenie z art. 43 ust. 1 pkt 12 uodo,
-
jeżeli zgłaszamy nowy zbiór danych wrażliwych do rejestracji GIODO, po jego zarejestrowaniu również musimy go wpisać do naszego rejestru,
-
w rejestrze dla każdego zbioru wpisujemy dokładnie te informacje, które są wymagane w § 3 ust. 1–3 rozporządzenia wykonawczego w sprawie prowadzenia rejestru,
-
rejestr prowadzimy w postaci elektronicznej (np. plik Word lub Excel na naszym komputerze) lub w postaci papierowej (dla tradycjonalistów tabelka w zeszycie).
Jaki wariant wybrać?
ABI może wybrać wariant udostępnienia rejestru do przeglądania. Pamiętajmy, że nie trzeba:
-
umieszczać go na stronie WWW,
-
tworzyć aplikacji do prowadzenia rejestru,
-
kopiować rejestru z platformy E-GIODO,
-
tworzyć stanowiska dostępowego w siedzibie urzędu czy firmy,
-
możemy przygotować plik pdf z rejestru i zamieścić go na stronie lub wydrukować.
Wybierzmy optymalny sposób udostępnienia:
-
nie mamy dużo podmiotów, którym powierzamy przetwarzanie danych i możemy mieć wpływ na szybkie zamieszczanie informacji na stronie – wybierzmy ten wariant;
-
mamy utrudniony dostęp do strony www, mamy dużo procesorów czy dużo zbiorów – wybierzmy wariant udostępniania rejestru w postaci wydruku na recepcji lub wybranej komórce organizacyjnej;
-
mamy w punktach obsługi klienta/interesanta stanowiska komputerowe z informacjami o realizacji usług czy obsługi – udostępnijmy tam też rejestr;
-
zamieszczajmy informacje w rejestrze w sposób czytelny i uporządkowany;
-
nie ujawniajmy historii zmian – ta informacja jest dla nas i tych, którzy będą nas kontrolować.
Wybierajmy optymalne warianty prowadzenia i udostępniania rejestrów, nie twórzmy nieczytelnych dokumentów.
Zobacz także:
Tagi: dane osobowe, abi, giodo
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
