26 Lis

Jak zrobić rejestr zbiorów ABI

Bardzo długo nie poruszałam tego tematu, bo wydawało mi się, że to oczywista oczywistość, jednak liczne wiadomości od Was pełne wątpliwości jak stworzyć i prowadzić rejestr ABI, uświadomiły mi, że taki wpis jest Wam potrzebny. Wobec tego oddaję Wam instrukcję, jak stworzyć i prowadzić rejestr zbiorów danych osobowych ABI.

Po pierwsze rejestr zbiorów ABI to nie jest to samo co wykaz zbiorów danych osobowych, tworzony na potrzeby polityki. Dokładnie tłumaczyłam to tutaj. Wykaz zbiorów obejmuje wszystkie zbiory, a rejestr tylko te, które nie zostały zwolnione z obowiązku wpisania do rejestru. Oznacza to, że w niektórych podmiotach rejestr ABI może być pusty. Po drugie do rejestru ABI wpisuje się tylko zbiory danych zwykłych, zbiory danych wrażliwych w dalszym ciągu należy zgłaszać do GIODO. Zasady prowadzenia rejestru ABI określa ustawa o ochronie danych osobowych oraz Rozporządzenie w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych.

Tyle tytułem wstępu. Metodyka stworzenia rejestru ABI jest następująca:

  • inwentaryzacja zbiorów danych osobowych
  • wykreślenie z listy zinwentaryzowanych zbiorów, tych które są zwolnione z obowiązku wpisania do rejestru
  • podział zbiorów, które pozostały, na zbiory danych zwykłych i wrażliwych
  • zgłoszenie zbiorów danych wrażliwych do rejestru GIODO
  • wpisanie pozostałych zbiorów danych zwykłych (o ile są) do rejestru ABI.

Inwentaryzację zbiorów polecam dokonać w oparciu o metodę, którą opisałam w tym artykule.

Przykładowa lista zbiorów przetwarzanych w firmie X:

  1. Dane pracowników
  2. Dane osób świadczących usługi na podstawie umów cywilno-prawnych
  3. Kandydaci do pracy
  4. Dane przetwarzane w związku z Zakładowym Funduszem Świadczeń Socjalnych
  5. Klienci
  6. Kontrahenci i dostawcy usług
  7. Baza kontaktów
  8. Uczestnicy przetargów
  9. Osoby, których wizerunek utrwalono monitoringiem wizyjnym
  10. Odbiorcy newslettera

Te zbiory należy skonfrontować z art. 43 ustawy o ochronie danych osobowych. W tym artykule zostały wymienione kategorie danych zwolnionych z obowiązku zgłoszenia do rejestru. Z wymienionych przeze mnie zbiorów nie kwalifikują się do zwolnienia zbiory:

  • Uczestnicy przetargów
  • Osoby, których wizerunek utrwalono monitoringiem wizyjnym
  • Odbiorcy newslettera

Teraz sprawdzamy, które z tych zbiorów są zbiorami danych zwykłych. W przypadku firmy X od uczestników przetargów zbiera się zaświadczenia o niekaralności, wobec tego jest to zbiór danych wrażliwych. Ten zbiór należy zgłosić do GIODO (ABI wypełnia wniosek, ADO go podpisuje i przekazuje GIODO).

Pozostałe dwa zbiory zawierają dane zwykłe, więc należy wpisać je do rejestru ABI. Dla każdego z nich należy podać informacje:

  1. Nazwa zbioru danych;
  2. Oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
  3. Oznaczenie przedstawiciela administratora danych, o którym mowa w art. 3la ustawy i adres jego siedziby lub miejsca zamieszkania – w przypadku wyznaczenia takiego podmiotu;
  4. Oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy i adres jego siedziby lub miejsca zamieszkania w przypadku powierzenia przetwarzania danych temu podmiotowi;
  5. Podstawa prawna upoważniająca do prowadzenia zbioru danych;
  6. Cel przetwarzania danych w zbiorze;
  7. Opis kategorii osób, których dane są przetwarzane w zbiorze;
  8. Zakres danych przetwarzanych w zbiorze;
  9. Sposób zbierania danych do zbioru w szczególności informacja czy dane do zbioru są zbierane od osób, których dotyczą, czy z innych źródeł niż osoba, której dane dotyczą;
  10. Sposób udostępniania danych ze zbioru, w szczególności informacja czy dane ze zbioru są udostępniane podmiotom innym niż upoważnione na podstawie przepisów prawa;
  11. Oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;
  12. Informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego w rozumieniu art. 7 pkt 7 ustawy.
  13. Data wpisania zbioru do rejestru;
  14. Data dokonania ostatniej aktualizacji;

Najprościej zrobić to w formie tabelki. Przykład dobrze zrobionego rejestru ABI jest tutaj.

Czy rejestr musi być udostępniony na stronie internetowej firmy X? Niekoniecznie. Przepisy określają 3 dozwolone formy prowadzenia rejestru:

  1. Papierową
  2. Elektroniczną, ale z zastrzeżeniem, że jest udostępniana na miejscu w siedzibie podmiotu
  3. Elektroniczna, udostępniona publicznie

Rejestr jest informacją publiczną, administrator danych nie może odmówić jego udostępnienia.


miniSpodobał Ci się ten wpis?

Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie