Prowadzenie rejestru zbiorów danych osobowych przez ABI

Jednym z nowych obowiązków ABI jest prowadzenie wewnętrznego rejestru zbiorów danych osobowych (jeśli zostanie powołany).

Projekt rozporządzenia ministra administracji i cyfryzacji w sprawie sposobu prowadzenia przez administratorów bezpieczeństwa informacji rejestru zbiorów danych osobowych precyzyjnie wskazuje elementy, jakie księga rejestrowa musi zawierać.

Składać się ona ma z 17 rubryk obejmujących m.in. takie dane, jak:

• nazwa zbioru danych,

• nazwa administratora i adres jego siedziby albo jego nazwisko, imię i adres miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej,

• podstawa prawna upoważniająca do prowadzenia zbioru danych osobowych,

• cel przetwarzania danych w zbiorze, opis kategorii osób, których dane dotyczą,

• informacja o przetwarzaniu danych wrażliwych i podstawa prawna przetwarzania tych danych.

Wybór formy, w jakiej będzie prowadzony rejestr, należeć będzie do ABI. Może prowadzić go w postaci papierowej bądź elektronicznej. Analogicznie do rejestru prowadzonego przez GIODO – rejestr będzie jawny i każdy będzie miał prawo do jego przeglądania.

Sprawdzanie zgodności przetwarzania danych osobowych z obowiązującymi przepisami oraz opracowywania w tym zakresie sprawozdań oraz nadzorowanie i aktualizowanie niezbędnej dokumentacji przez ABI mają mieć charakter ciągły i bezpośrednio wpływać na zmieniającą się sytuację w firmie.

Dlatego też prawodawca kilkakrotnie używa pojęć „niezwłocznie” i „na bieżąco”, jeśli reguluje kwestię zmian w prowadzonych rejestrach zbiorów, wydruków kolejnych wersji ksiąg itp. W tym zakresie zobowiązuje także ABI do każdorazowej autoryzacji swojego postępowania.

Powołanie administratora bezpieczeństwa informacji nie zwalnia z obowiązku prowadzenia dokumentacji przetwarzania danych.