Zgodnie ze znowelizowaną ustawą o ochronie danych osobowych Administrator bezpieczeństwa informacji jest zobowiązany
do prowadzenia jawnego rejestru zbiorów danych osobowych.
Sporządzenie i prowadzenie rejestru zbiorów należy do nowych obowiązków Administratora Bezpieczeństwa Informacji.
O konieczności prowadzenia ww. rejestru stanowi art. 36 ust. 2 pkt 2 ustawy o ochronie danych osobowych. Wymógł ten związany jest z brakiem rejestru zbiorów danych u Generalnego Inspektora Danych Osobowych.
W rejestrze powinny znaleźć się następujące informacje dotyczące każdego zbioru danych:
- nazwa zbioru danych;
- oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru
podmiotów gospodarki narodowej, jeżeli został mu nadany; - oznaczenie przedstawiciela administratora danych, o którym mowa w art. 31a ustawy, i adres jego siedziby
lub miejsca zamieszkania – w przypadku wyznaczenia takiego podmiotu; - oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy, i adres jego siedziby lub miejsca zamieszkania – w przypadku powierzenia przetwarzania danych temu podmiotowi;
- podstawa prawna upoważniająca do prowadzenia zbioru danych;
- cel przetwarzania danych w zbiorze;
- opis kategorii osób, których dane są przetwarzane w zbiorze;
- zakres danych przetwarzanych w zbiorze;
- sposób zbierania danych do zbioru, w szczególności informacja, czy dane do zbioru są zbierane od osób, których dotyczą,
czy z innych źródeł niż osoba, której dane dotyczą; - sposób udostępniania danych ze zbioru, w szczególności informacja, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnione na podstawie przepisów prawa;
- oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;
- informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego.
W rejestrze podaje się datę wpisu każdego zbioru danych do rejestru, a także datę ostatniej aktualizacji informacji dotyczących
każdego zbioru danych.
W przypadku wykreślenia zbioru danych z rejestru w rejestrze pozostawia się nazwę zbioru danych, datę wpisania zbioru danych oraz datę ostatniej aktualizacji informacji dotyczących tego zbioru wraz z adnotacją, że jest to data wykreślenia zbioru z rejestru.
źródło: Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r.