Rejestr zbiorów danych



REJESTR ZBIORÓW DANYCH
- zobacz

 



podstawy prawne prowadzenia rejestru :

Wyciąg z Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. z 2014 r. poz. 1182) pdf


Art. 36a. 1. (...)
2. Do zadań administratora bezpieczeństwa informacji należy:

prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2–4a i 7.

Art. 43. 1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

1) zawierających informacje niejawne;
1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności;
2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym;
2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej;
2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;
2c) przetwarzanych przez właściwe organy na podstawie przepisów o wymianie  informacji z organami ścigania państw członkowskich Unii Europejskiej;
3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji   prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego;
4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na  podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;
5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;
6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;
7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia  wolności;
8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub  prowadzenia sprawozdawczości finansowej;
9) powszechnie dostępnych;
10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;
11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego;
12) przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych,
z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1.(dane wrażliwe)

1a. Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ust. 2.



Wyciąg z Rozporządzenia Ministra Administracji I Cyfryzacji  z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych  pdf

1. Rejestr zbiorów danych, o którym mowa w art. 36a ust. 2 pkt 2 ustawy, zwany dalej "rejestrem", składa się z wykazu zbiorów danych zawierającego informacje określone w § 3 odrębnie dla każdego zbioru danych.

2. Rejestr jest prowadzony w postaci papierowej lub w postaci elektronicznej.

§ 3. 1. W rejestrze znajdują się następujące informacje dotyczące każdego zbioru danych:
1) nazwa zbioru danych;
2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
3) oznaczenie przedstawiciela administratora danych, o którym mowa w art. 31a ustawy, i adres jego siedziby lub miejsca zamieszkania – w przypadku wyznaczenia takiego podmiotu;
4) oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy,
i adres jego siedziby lub miejsca zamieszkania – w przypadku powierzenia przetwarzania danych temu podmiotowi;
5) podstawa prawna upoważniająca do prowadzenia zbioru danych;
6) cel przetwarzania danych w zbiorze;
7) opis kategorii osób, których dane są przetwarzane w zbiorze;
8) zakres danych przetwarzanych w zbiorze;
9) sposób zbierania danych do zbioru, w szczególności informacja, czy dane do zbioru są zbierane od osób, których dotyczą, czy z innych źródeł niż osoba, której dane dotyczą;
10) sposób udostępniania danych ze zbioru, w szczególności informacja, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnione na podstawie przepisów prawa;
11) oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;
12) informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego.

2. W rejestrze podaje się datę wpisu każdego zbioru danych do rejestru, a także datę ostatniej aktualizacji Informacji  dotyczących każdego zbioru danych.
3. W przypadku wykreślenia zbioru danych z rejestru w rejestrze pozostawia się nazwę zbioru danych, datę wpisania zbioru danych oraz datę ostatniej aktualizacji informacji dotyczących tego zbioru wraz z adnotacją, że jest to data wykreślenia zbioru z rejestru.
4. Informacje, o których mowa w ust. 1, są udostępniane w rejestrze do przeglądania w powszechnie zrozumiałej formie, według kolejności określonej w ust. 1.

§ 4. 1. Administrator bezpieczeństwa informacji w ramach prowadzenia rejestru:

1) wpisuje zbiór danych do rejestru przed rozpoczęciem przetwarzania w zbiorze danych;
2) aktualizuje informacje dotyczące zbioru danych w rejestrze – w przypadku zmiany informacji objętych wpisem;
3) wykreśla zbiór danych z rejestru – w przypadku zaprzestania przetwarzania w nim danych osobowych;
4) udostępnia rejestr do przeglądania.

§ 5. 1. W przypadku prowadzenia rejestru w postaci elektronicznej administrator bezpieczeństwa informacji udostępnia rejestr do przeglądania:

1) na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru, lub

2) na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora, lub

3) przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.