LinkedIn
YouTube
Platforma szkoleń online
Zaloguj się
+48 508 541 914

Prowadzenie rejestru zbiorów danych.

Patrycja Powroziewicz-Wrona
ABI / IOD, Bezpieczeństwo informacji, Zbiory danych

Zgodnie ze znowelizowaną ustawą o ochronie danych osobowych Administrator bezpieczeństwa informacji jest zobowiązany
do prowadzenia jawnego rejestru zbiorów danych osobowych.

Sporządzenie i prowadzenie rejestru zbiorów należy do nowych obowiązków Administratora Bezpieczeństwa Informacji.

O konieczności prowadzenia ww. rejestru stanowi art. 36 ust. 2 pkt 2 ustawy o ochronie danych osobowych. Wymógł ten związany jest z brakiem rejestru zbiorów danych u Generalnego Inspektora Danych Osobowych.

W rejestrze powinny znaleźć się następujące informacje dotyczące każdego zbioru danych:

  1. nazwa zbioru danych;
  2. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru
    podmiotów gospodarki narodowej, jeżeli został mu nadany;
  3. oznaczenie przedstawiciela administratora danych, o którym mowa w art. 31a ustawy, i adres jego siedziby
    lub miejsca zamieszkania – w przypadku wyznaczenia takiego podmiotu;
  4. oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy, i adres jego siedziby lub miejsca zamieszkania – w przypadku powierzenia przetwarzania danych temu podmiotowi;
  5. podstawa prawna upoważniająca do prowadzenia zbioru danych;
  6. cel przetwarzania danych w zbiorze;
  7. opis kategorii osób, których dane są przetwarzane w zbiorze;
  8. zakres danych przetwarzanych w zbiorze;
  9. sposób zbierania danych do zbioru, w szczególności informacja, czy dane do zbioru są zbierane od osób, których dotyczą,
    czy z innych źródeł niż osoba, której dane dotyczą;
  10. sposób udostępniania danych ze zbioru, w szczególności informacja, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnione na podstawie przepisów prawa;
  11. oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;
  12. informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego.

W rejestrze podaje się datę wpisu każdego zbioru danych do rejestru, a także datę ostatniej aktualizacji informacji dotyczących
każdego zbioru danych.
W przypadku wykreślenia zbioru danych z rejestru w rejestrze pozostawia się nazwę zbioru danych, datę wpisania zbioru danych oraz datę ostatniej aktualizacji informacji dotyczących tego zbioru wraz z adnotacją, że jest to data wykreślenia zbioru z rejestru.

źródło: Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r.

Patrycja Powroziewicz-Wrona
Certyfikowany Audytor Wewnętrzny Normy ISO 27001. Tematyką ochrony danych osobowych zajmuje się od kilku lat. Prowadzi szkolenia, przygotowuje dokumentację oraz pełni funkcję IOD w firmach publicznych i prywatnych.

Podobne wpisy

Najnowsze wpisy

Platforma szkoleniowa online

Menu

Sprawdź czy Twoja firma powinna mieć wdrożony System ochrony danych osobowych.

Odpowiedź na kilka krótkich pytań, dowiesz się czy musisz spełnić wymagania wynikające z zapisów Ustawy o ochronie danych osobowych.