Rejestr zbiorów danych osobowych prowadzony przez ABI

Powołanie ABI

Powołanie ABI jest prawem, a nie obowiązkiem. Jeśli firma się na to zdecyduje, to ma 3 dni na zgłoszenie ABI do specjalnego rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych. W przypadku ABI powołanych przed 1 stycznia 2015 r. czas na ich zarejestrowanie jest do 30 czerwca 2015 r. Po tym dniu niezarejestrowani ABI przestaną automatycznie pełnić swoje funkcje.

Funkcję ABI można powierzyć osobie, która łącznie spełnia następujące warunki:

1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,

2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,

3) nie była karana za umyślne przestępstwo.

ABI - obok innych obowiązków związanych z zapewnieniem przestrzegania przepisów o ochronie danych - prowadzi rejestr zbiorów danych przetwarzanych przez administratora danych. Dzięki powołaniu ABI nie trzeba już zgłaszać zbiorów danych do rejestracji w GIODO.

Co zawiera rejestr?

Rejestr zbiorów danych składa się z wykazu zbiorów danych zawierającego szereg informacji zamieszczanych odrębnie dla każdego ze zbiorów danych wpisanych do tego rejestru (patrz ramka). W rejestrze tym nie są zamieszczane dane osobowe tworzące poszczególne zbiory, a jedynie informacje o tym, jakie zbiory danych posiada administrator danych osobowych (np. zbiór danych klientów).

ABI ma następujące obowiązki w związku z prowadzeniem tego rejestru:

1) wpisuje zbiór danych do rejestru przed rozpoczęciem przetwarzania w zbiorze danych,

2) niezwłocznie aktualizuje informacje dotyczące zbioru danych w rejestrze - w przypadku zmiany informacji objętych wpisem,

3) niezwłocznie wykreśla zbiór danych z rejestru - w przypadku zaprzestania przetwarzania w nim danych osobowych,

4) udostępnia rejestr do przeglądania.

Jawność rejestru

Rejestr jest prowadzony w postaci papierowej lub w postaci elektronicznej. Jest on jawny, co oznacza, że każdy ma prawo się z nim zapoznać. Stosowne rozporządzenie Ministra Administracji i Cyfryzacji precyzuje, w jaki sposób można przeglądać rejestr. W przypadku prowadzenia rejestru w postaci elektronicznej ABI udostępnia rejestr do przeglądania:

1) na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru, lub

2) na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora, lub

3) przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.

W razie prowadzenia rejestru w postaci papierowej, ABI udostępnia każdemu zainteresowanemu treść rejestru do przeglądania w siedzibie lub miejscu zamieszkania administratora danych.

Wyjątek zrobiono dla zamieszczanych w rejestrze informacji o tym, że dane zostały powierzone do przetwarzania podmiotowi trzeciemu (np. biuru rachunkowemu). Jeśli rejestr jest prowadzony w formie elektronicznej, to można w postaci elektronicznej udostępnić informację o tym, że dane zostały powierzone do przetwarzania innemu podmiotowi, natomiast nazwę i adres tego podmiotu można udostępniać w siedzibie.

Zmiany i wykreślenie

ABI ma obowiązek aktualizować rejestr. Musi więc odnotować w nim historię zmian, zawierającą:

1) informację o rodzaju zmiany (nowy wpis, aktualizacja, wykreślenie),

2) datę dokonania zmiany,

3) informację o zakresie zmiany.

W przypadku wykreślenia zbioru danych z rejestru, w rejestrze pozostawia się nazwę zbioru danych, datę wpisania zbioru danych oraz datę ostatniej aktualizacji informacji dotyczących tego zbioru wraz z adnotacją, że jest to data wykreślenia zbioru z rejestru.