Zadania ABI

Czy administrator danych osobowych może udzielić ABI upoważnienia do nadawania upoważnień do przetwarzania danych osobowych?

Zgodnie z art. 37 u.o.d.o., upoważnienie do przetwarzania danych osobowych powinno zostać  nadane przez administratora danych osobowych.  Ustawa nie zakazuje administratorowi danych upoważniania innych osób do nadawania upoważnień do przetwarzania danych w jego imieniu. Trzeba jednak zaznaczyć, że administrator danych, upoważniając konkretną osobę do udzielania w jego imieniu upoważnień do przetwarzania danych, powinien zrobić to w sposób wyraźny np. w drodze uchwały zarządu, zarządzenia, pełnomocnictwa. Upoważnienia do nadawania upoważnień do przetwarzania danych osobowych nie można wywodzić z samego faktu pełnienia przez daną osobę wskazanej funkcji. 

Biorąc pod uwagę, że rolą ABI jest kontrolowanie działalności administratora danych pod kątem zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (art. 36a ust. 2 pkt 1 lit. a u.o.d.o.), ABI nie powinien być osobą, którą administrator danych upoważnia do wydawania upoważnień w swoim imieniu. Zgodnie z przepisem art. 36a ust. 2 pkt 1b u.o.d.o., do zadań ABI należy m.in. nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2 u.o.d.o. oraz przestrzegania zasad w niej określonych. Jak wskazuje art. 36a ust. 4 u.o.d.o., podejmując decyzję w zakresie nakładania na ABI jakichkolwiek innych obowiązków niż wskazane w art. 36a ust. 2 u.o.d.o., należy starannie rozważyć, czy nie naruszy to prawidłowego wykonywania jego zadań, o których mowa w tym przepisie. ABI musi mieć bowiem zapewnione takie warunki funkcjonowania, które pozwolą mu na rzeczywiste, niezależne i prawidłowe realizowanie obowiązków wynikających z przepisów prawa.

Ponadto trzeba zauważyć, że art. 38 ustawy nakłada na administratora danych obowiązek zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru oraz komu są przekazywane. Wydawanie upoważnień osobiście przez administratora danych (kierownika podmiotu będącego administratorem danych) niewątpliwie przyczynia się do wypełnienia przez niego tego obowiązku, ponieważ to administrator danych powinien najlepiej znać organizację pracy w swojej jednostce i dzięki temu w sposób najwłaściwszy określić, komu oraz w jakim zakresie powinno być nadane stosowne upoważnienie. Zatem dla zapewnienia właściwego systemu ochrony danych w jednostce najkorzystniejszym rozwiązaniem byłoby nadawanie upoważnienia do przetwarzania danych przez samego administratora danych lub - w zależności od wielkości podmiotu i jego struktury - przez np. kierownika działu kadr lub kierowników innych komórek organizacyjnych. Osoby te bowiem mogą najbardziej precyzyjnie określać, komu oraz w jakim zakresie upoważnienie powinno zostać nadane, i na bieżąco je aktualizować. Natomiast sama procedura nadawania upoważnień oraz treść upoważnienia może być skonsultowana z powołanym administratorem bezpieczeństwa informacji, który jako specjalista z zakresu ochrony danych osobowych, powinien również i w tym zakresie doradzić administratorowi danych, a następnie weryfikować efektywność przyjętych rozwiązań i ich zgodność z przepisami o ochronie danych osobowych.

Czy administrator danych powinien nadawać upoważnienia do przetwarzania danych osobowych osobom, których uprawnienia do przetwarzania danych wynikają z ustawy lub innych aktów prawnych (np. prokuratorom) lub osobom, którym zleca wydanie opinii czy wykonanie innych czynności (np. biegłym, inkasentom)?

Zgodnie z art. 37 u.o.d.o., do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Ustawa o ochronie danych osobowych nie przewiduje wyjątków od tej zasady. Wskazany przepis dotyczy jednego
z kluczowych obowiązków administratora danych, którym jest odpowiednie zabezpieczenie danych osobowych m.in. przed ich udostępnieniem osobom nieupoważnionym oraz sprawowanie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane art. (38 u.o.d.o. ). Zgodnie z art. 36 ust. 1 ustawy, administrator danych obowiązany jest do stosowania środków technicznych i organizacyjnych zapewniających ochronę danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Wydawanie upoważnień jest jednym z takich środków organizacyjnych, który ma zapewnić odpowiednią ochronę danych i kontrolę nad procesem ich przetwarzania. Na podstawie wydanych przez administratora danych upoważnień w systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do danych. Dlatego upoważnienia, powinny być nadawane wszystkim zatrudnionym osobom mającym dostęp do danych osobowych, a zatem również np. prokuratorom i sędziom, niezależnie od tego, że uprawnienie tych osób do dostępu do wszelkich danych osobowych niezbędnych dla potrzeb prowadzonych postępowań sądowych i przygotowawczych gwarantują im właściwe ustawy.

Upoważnieniem do przetwarzania danych powinny się wykazywać nie tylko osoby na stałe  zatrudnione u administratora danych, ale także osoby, którym administrator zlecił określone prace i które z tego powodu mają mieć dostęp do danych osobowych, np. praktykanci, stażyści, inkasenci, biegli. Wyjątkiem jest sytuacja, w której określone zadania na rzecz i zlecenie administratora danych wykonuje osoba, która jest podmiotem przetwarzającym (określonym w art. 31 u.o.d.o.) lub jej pracownikiem. W takich sytuacjach to podmiot przetwarzający nadaje upoważnienie do przetwarzania danych i zobowiązuje podległe sobie osoby do zachowania tajemnicy (art. 31 ust. 3 u.o.d.o.).

Warto dodać, że RODO w art. 29 stanowi, że podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Ponadto art. 32 ust. 4 RODO zobowiązuje administratora oraz podmiot przetwarzający do podejmowania działań „w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego”. Działania te mogą być realizowane poprzez wydawanie upoważnień do przetwarzania danych zarówno przez administratora, jak i podmiot przetwarzający. Natomiast wskazany w tym przepisie wyjątek od związania poleceniem administratora (wynikający z przepisów prawa Unii lub prawa państwa członkowskiego) dotyczy przypadków zobowiązania do przetwarzania płynącego z przepisów unijnych lub krajowych, nie zaś upoważnienia z nich wynikającego,  np. udzielenia określonej informacji na żądanie sądu w ramach prowadzonego postępowania sądowego czy organom nadzoru w ramach postępowań kontrolnych.  

Wskazać również trzeba na przepisy dyrektywy 2016/680, która wraz z RODO składa się na pakiet zmian prawa Unii Europejskiej w zakresie ochrony danych osobowych i która zawiera szczególne regulacje dotyczące ochrony danych dla sektora odpowiedzialnego za egzekwowanie prawa, w tym między innymi organów ścigania. Dyrektywa wskazuje na konieczność zapewnienia przez państwa członkowskie, by podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzała je wyłącznie zgodnie z poleceniami administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego (art. 23 dyrektywy). Zgodnie z art. 29 dyrektywy państwa członkowskie powinny zobowiązać administratorów danych i podmioty przetwarzające, by po ocenie ryzyka wdrożyli odpowiednie środki techniczne i organizacyjne służące zagwarantowaniu poziomu bezpieczeństwa odpowiadającego zagrożeniu, zwłaszcza jeżeli chodzi o przetwarzanie szczególnych kategorii danych osobowych.

Przyjmowane środki powinny służyć m.in. zapobieganiu nieuprawnionemu wprowadzaniu danych osobowych oraz nieuprawnionemu oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych (kontrola przechowywania) oraz zapewnieniu, że osoby uprawnione do korzystania z systemu zautomatyzowanego przetwarzania będą mieć dostęp wyłącznie do danych osobowych objętych posiadanym przez siebie uprawnieniem (kontrola dostępu do danych) - art. 29 ust. 2 lit. c oraz e dyrektywy 2016/680. Implementacja dyrektywy do porządków krajowych powinna nastąpić do 6 maja 2018 r.

Czy GIODO stworzy „listę spraw”, które administrator bezpieczeństwa informacji powinien zweryfikować podczas sprawdzenia?

Zgodnie z art. 36a ust. 2 pkt 1 lit. a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, do zadań administratora bezpieczeństwa informacji należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych.
Sposób realizacji zadań określony został w rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji. Zgodnie z ww. rozporządzeniem, ABI przeprowadza sprawdzenie w trzech trybach. Jednym z nich jest sprawdzenie planowe, prowadzone według opracowanego przez ABI planu sprawdzeń, który określa przedmiot, zakres oraz termin przeprowadzenia poszczególnych sprawdzeń oraz sposób i zakres ich dokumentowania (§ 3 ust. 3 wskazanego rozporządzenia). Można zatem przyjąć, że plan taki obejmuje listę spraw, działań, jakie ABI powinien podjąć podczas dokonywania sprawdzeń.
Rzetelne opracowanie planu sprawdzeń jest ważną czynnością przygotowawczą umożliwiającą właściwe wypełnienie obowiązku przeprowadzenia sprawdzeń. Podstawowym przedmiotem sprawdzenia są zbiory danych osobowych i systemy informatyczne służące do przetwarzania danych osobowych, i związane z nimi przestrzeganie obowiązków określonych w ustawie o ochronie danych osobowych oraz przepisach wykonawczych do niej. Planem sprawdzeń można objąć też inne uzasadnione w konkretnym przypadku zagadnienia związane z przetwarzaniem danych osobowych. Ważne, aby pamiętać, że sprawdzenia muszą być tak zaplanowane, aby każdy zbiór danych i system informatyczny zostały sprawdzone przynajmniej raz na pięć lat (§ 3 ust. 6 wskazanego rozporządzenia).
Z powyższego wynika, że każdy plan sprawdzeń musi być dostosowany do przetwarzania danych prowadzonych przez konkretnego administratora danych i nie jest możliwe opracowanie uniwersalnego szablonu takiego planu przez GIODO. Wyjątek stanowi sprawdzenie dokonywane na zlecenie GIODO, o którym mowa w art. 19b u.o.d.o. W takim przypadku GIODO wskazuje ABI termin i zakres sprawdzenia. Przykładowe wystąpienia kierowane na podstawie art. 19b u.o.d.o. dostępne są w ABI- Informatorze (https://abi.giodo.gov.pl/sprawdzenia-dla-giodo/abc-sprawdzenia/wystapienie-giodo), natomiast wyniki sektorowych sprawdzeń dla GIODO w zakładce Kontrole (http://www.giodo.gov.pl/pl/1520291).

Warto również zauważyć, że przygotowywanie planów i przeprowadzanie sprawdzeń przez ABI przyczynia się do rozwijania ich samodzielności i proaktywnej postawy w zakresie zapewnienia ochrony danych osobowych. Doświadczenia te mogą okazać się bardzo przydatne po wejściu do stosowania ogólnego rozporządzenia o ochronie danych. Zgodnie z zasadą rozliczalności, administrator oraz podmiot przetwarzający na każdym etapie procesu przetwarzania danych będą musieli postępować zgodnie z przepisami o ochronie danych osobowych oraz być gotowi tę zgodność wykazać. Realizacja wskazanych zasad będzie wymagała zatem wdrożenia odpowiednich środków technicznych i organizacyjnych, o doborze których będzie decydował zawsze samodzielnie administrator danych oraz podmiot przetwarzający, przy aktywnym wsparciu inspektora ochrony danych (DPO), w przypadku jego wyznaczenia.

Kto jest uprawniony do dokonywania oceny zgodności dokumentacji przetwarzania danych osobowych z przepisami o ochronie danych osobowych - administrator bezpieczeństwa informacji czy wyłącznie inspektorzy Generalnego Inspektora Ochrony Danych Osobowych?

Zarówno ustawa o ochronie danych osobowych, jak i rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów  o ochronie danych osobowych przez administratora bezpieczeństwa informacji nie pozostawiają wątpliwości co do tego, iż sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, w tym w zakresie dokumentacji przetwarzania danych, jest obowiązkiem ABI. Wyraźnie wskazane to zostało w § 7 ust. 1 pkt 1 ww. rozporządzenia.
Natomiast GIODO jako organ publiczny jest uprawniony do przeprowadzania kontroli zgodności przetwarzania danych osobowych z przepisami prawa, do czego wprost zobowiązuje go art. 12 pkt 1 ustawy o ochronie danych osobowych. Zakresem kontroli GIODO mogą być oczywiście objęte również kwestie opracowania i kompletności dokumentacji przetwarzania danych osobowych. Zarówno weryfikacja zgodności przetwarzania danych osobowych dokonywana przez ABI, jak i kontrole przeprowadzane przez inspektorów GIODO mają ten sam cel: zapewnienie zgodności przetwarzania danych z obowiązującymi przepisami. Działania te nie wykluczają się, a wręcz przeciwnie - w konsekwencji mają prowadzić do zapewnienia skutecznej ochrony danych osobowych i przestrzegania obowiązującego w tym zakresie prawa (zobacz też: „Dokonywanie oceny zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych”, http://www.giodo.gov.pl/pl/560/9292).

Na czym polega sprawdzenie dokonywane przez ABI na wniosek Generalnego Inspektora?

Zgodnie z art. 19b ust. 1 u.o.d.o., Generalny Inspektor może zwrócić się do ABI wpisanego do rejestru o dokonanie sprawdzenia, o którym mowa w art. 36a ust. 2 pkt 1 lit. a  , u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia. Po dokonaniu sprawdzenia ABI, za pośrednictwem administratora danych, przedstawia Generalnemu Inspektorowi sprawozdanie z przeprowadzonego sprawdzenia. Więcej informacji na temat sprawdzenia dokonywanego przez ABI na wniosek GIODO dostępne tutaj.

Czym jest plan sprawdzeń?

Zgodnie z Rozporządzeniem Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015, poz. 745) plan sprawdzeń jest dokumentem określającym przedmiot, zakres oraz termin przeprowadzania poszczególnych sprawdzeń oraz sposób i zakres ich dokumentowania. Plan sprawdzeń powinien obejmować co najmniej jedno sprawdzenie i zostać przygotowany przez ABI na okres nie krótszy niż kwartał i nie dłuższy niż rok, jak również powinien być przedstawiony administratorowi danych nie później niż na dwa tygodnie przed dniem rozpoczęcia okresu objętego planem. Plan sprawdzeń dotyczy wyłącznie sprawdzeń dokonywanych dla administratora danych.

Jakie elementy powinno zawierać sprawozdanie?

Stosownie do treści art. 36a ust. 2 pkt 1 lit. a u.o.d.o., ABI ma obowiązek sprawdzania zgodności przetwarzania danych osobowych z przepisami prawa i opracowywania w tym zakresie sprawozdań dla administratora danych. Sprawozdanie powinno zawierać (art. 36c u.o.d.o.):

  1. oznaczenie administratora danych, jego adres lub miejsce zamieszkania;
  2. imię i nazwisko ABI;
  3. wykaz czynności podjętych przez ABI w toku sprawdzania oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;
  4. datę rozpoczęcia i zakończenia sprawdzenia;
  5. określenie przedmiotu i zakresu sprawdzenia;
  6. opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami;
  7. stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem;
  8. wyszczególnienie załączników stanowiących składową część sprawozdania;
  9. podpis ABI, dodatkowo parafy na każdej stronie sprawozdania w formie papierowej;
  10. datę i miejsce podpisania sprawozdania przez ABI.

Czy ABI może zlecić wykonanie sprawdzenia audytorowi wewnętrznemu w firmie lub zewnętrznemu (firma konsultingowa), czy ma obowiązek wykonywania tego zadania osobiście?

Zgodnie z treścią art. 36a ust. 2 pkt 1 lit. a u.o.d.o. oraz art. 36c pkt 3 u.o.d.o. sprawdzanie zgodności przetwarzania danych osobowych z przepisami powinno być wykonywane osobiście przez ABI. Możliwe jest natomiast korzystanie z pomocy osób posiadających wiedzę specjalistyczną, np. informatyków w niezbędnym zakresie.

Na czym polega obowiązek ABI nadzorowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych?

Sprawując nadzór, ABI dokonuje weryfikacji:

  1. opracowania i kompletności dokumentacji przetwarzania danych;
  2. zgodności dokumentacji przetwarzania danych z obowiązującymi przepisami prawa;
  3. stanu faktycznego w zakresie przetwarzania danych osobowych;
  4. zgodności ze stanem faktycznym przewidzianych w dokumentacji środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych;
  5. przestrzegania zasad i obowiązków określonych w dokumentacji przetwarzania danych.

Weryfikacja może być dokonywana w sprawdzeniach, albo na podstawie zgłoszenia osoby wykonującej obowiązki określone w dokumentacji przetwarzania danych, bądź na podstawie zgłoszenia osoby trzeciej.

W jaki sposób ABI powinien prowadzić rejestr zbiorów danych przetwarzanych przez administratora danych?

Sposób prowadzenia i zakres tego rejestru wskazany jest w rozporządzeniu Ministra Administracji i Cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015, poz. 719). Z rozporządzenia tego wynika, iż rejestr taki powinien być prowadzony w formie papierowej lub elektronicznej, a znajdować się w nim powinny następujące informacje dotyczące każdego zbioru danych:

  1. nazwa zbioru danych;
  2. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
  3. oznaczenie przedstawiciela administratora danych, o którym mowa w art. 31a u.o.d.o. i adres jego siedziby lub miejsca zamieszkania, w przypadku wyznaczenia takiego podmiotu;
  4. podstawa prawna upoważniająca do prowadzenia zbioru danych;
  5. cel przetwarzania danych w zbiorze;
  6. opis kategorii osób, których dane są przetwarzane w zbiorze;
  7. zakres danych przetwarzanych w zbiorze;
  8. sposób zbierania danych do zbioru, w szczególności informacja, czy dane do zbioru zbierane są od osób, których dotyczą, czy z innych źródeł;
  9. sposób udostępniania danych ze zbioru, w szczególności informacja, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnionym na podstawie przepisów prawa;
  10. oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;
  11. informacje dotyczące ewentualnego przekazywania danych do państw trzecich.

W rejestrze należy podawać datę każdego wpisu, jak również datę każdej aktualizacji informacji dotyczącej zbioru danych. W przypadku wykreślenia zbioru danych z rejestru, w rejestrze należy pozostawić nazwę zbioru danych, datę wpisania zbioru danych oraz datę ostatniej aktualizacji, wraz z adnotacją, że jest to data wykreślenia zbioru z rejestru.

W jakiej formie ABI może prowadzić rejestr zbiorów danych przetwarzanych przez administratora?

Rejestr zbiorów danych może być prowadzony w formie papierowej lub w postaci elektronicznej. W przypadku prowadzenia rejestru w postaci papierowej administrator bezpieczeństwa informacji udostępnia każdemu zainteresowanemu treść rejestru do przeglądania w siedzibie lub miejscu zamieszkania administratora danych. W przypadku prowadzenia rejestru w postaci elektronicznej ABI udostępnia rejestr do przeglądania:

  1. Na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru lub
  2. Na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora, lub
  3. Przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.

Czy dokumentacja dotycząca ochrony danych osobowych (np. upoważnienia do przetwarzania danych osobowych udzielone pracownikom) powinna być przechowywana przez ABI w miejscu wykonywania przez niego obowiązków, czy też w dziale kadr w aktach osobowych upoważnionych pracowników?

Zgodnie z art. 36 ust. 2 u.o.d.o., administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki zapewniające ich ochronę. W ustawie nie wskazano, kto ma przechowywać dokumentację. Powinna być ona dostępna w siedzibie administratora i miejscach, w których dochodzi do przetwarzania danych, tak by mogli się z nią zapoznawać upoważnieni do przetwarzania pracownicy, administrator bezpieczeństwa informacji oraz inspektorzy GIODO.

Czy ABI jest zobowiązany wykonywać swoje zadania również na rzecz zakładowej organizacji związkowej działającej u danego administratora danych?

Zakładowa organizacja związkowa jest w zakresie swoich kompetencji określonych w prawie pracy i ustawie o związkach zawodowych odrębnym administratorem danych, niezależnym od pracodawcy, u którego działa. W związku z tym ABI nie jest zobowiązany do wykonywania czynności określonych w art. 36a ust. 2 pkt 1 lit. a-c u.o.d.o., na rzecz innych ADO, w tym np. komisji zakładowej jako odrębnego administratora danych.

Czy po zgłoszeniu powołania ABI należy zgłaszać zbiory danych do rejestracji GIODO?

Administrator danych osobowych, który powołał i zgłosił administratora bezpieczeństwa informacji do rejestracji w GIODO, ma obowiązek zgłosić wyłącznie zbiory zawierające dane szczególnie chronione, o których mowa w art. 27 ust. 1 u.o.d.o.

Gdzie poszukiwać aktualnych informacji o zbiorach prowadzonych przez administratora danych, który zgłosił ABI do rejestracji GIODO?

Informacji o zarejestrowanych zbiorach należy poszukiwać przede wszystkim w jawnym rejestrze zbiorów danych prowadzonym przez właściwego ABI. Od 1 stycznia 2015 r. informacje umieszczone w jawnym rejestrze zbiorów prowadzonym przez ABI nie muszą być aktualizowane w rejestrze GIODO, z wyjątkiem zbiorów zawierających tzw. dane wrażliwe.

Informacji o zbiorach danych wrażliwych należy poszukiwać w rejestrze GIODO, który nadal zachowuje prawo do oceny legalności prowadzenia tych zbiorów przez administratora danych oraz w rejestrze ABI, w którym zbiory te są ujmowane.

W przypadku, gdy administrator danych nie powołał ABI, informacje o zbiorach danych zgłoszonych   przez administratora danych powinny być dostępne w ogólnokrajowym, jawnym rejestrze GIODO, do którego zbiory takie powinny zostać zgłoszone, o ile nie zachodzi żadna z przesłanek zwalniających administratora danych z dopełnienia tego obowiązku w art. 43 ust. 1 u.o.d.o.

Jakie przepisy będą miały zastosowanie do rozpatrywania zgłoszeń zbiorów danych osobowych, które wpłynęły do GIODO przed 1 stycznia 2015 r.?

Zgodnie z art. 36 ustawy z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, do postępowań rejestracyjnych prowadzonych przez Generalnego Inspektora Ochrony Danych Osobowych na podstawie zgłoszeń zbiorów danych do rejestracji, które wpłynęły do Biura GIODO przed 1 stycznia 2015 r., wszczętych i niezakończonych przed dniem wejścia w życie wyżej wskazanej ustawy, stosuje się przepisy dotychczasowe.

Jakie zbiory danych osobowych powinien ująć administrator bezpieczeństwa informacji w prowadzonym przez siebie rejestrze zbiorów?

Zgodnie z art. 36a ust. 2 pkt 2 u.o.d.o. ABI prowadzi rejestr zbiorów danych osobowych przetwarzanych przez administratora danych. Rejestr jest prowadzony przez ABI u administratora danych i obejmuje wszystkie zbiory danych prowadzone przez tego administratora danych, z wyjątkiem zbiorów danych wyłączonych dotychczas z obowiązku zgłoszenia do rejestracji GIODO na podstawie w art. 43 ust. 1 u.o.d.o. ABI powinien zatem ująć w swoim rejestrze również zbiory uprzednio (przed 1 stycznia 2015 r.) zgłoszone do GIODO (w tym zbiory zawierające dane wrażliwe).