Kilka słów o zbiorach zawierających dane wrażliwe w rejestrze prowadzonym przez ABI

Zgodnie z treścią znowelizowanej ustawy o ochronie danych osobowych, (dalej zwanej „Ustawą”), wyznaczony i zgłoszony do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych (dalej „GIODO”) administrator bezpieczeństwa informacji (dalej „ABI”) zobowiązany jest prowadzić rejestr zbiorów danych osobowych (36a ust. 2 pkt 2 Ustawy). Zgodnie z powołanym artykułem, ABI nie uwzględnia w rejestrze tylko tych zbiorów, które podlegają zwolnieniu z obowiązku rejestracji na podstawie art. 43 ust. 1 Ustawy. Przykładem zbioru z katalogu wymienionego w tym artykule jest zbiór danych przetwarzanych w związku z zatrudnieniem u Administratora, świadczeniem mu usług na podstawie umów cywilnoprawnych, a także dotyczących osób u Administratora zrzeszonych lub uczących się. W konsekwencji oznacza to, iż taki zbiór nie będzie ujawniony w rejestrze prowadzonym przez ABI, bowiem jest zwolniony z obowiązku rejestracji w rejestrze zbiorów danych prowadzonym przez GIODO.

W tym miejscu należy wskazać, iż pozostałe zbiory, niewymienione w art. 43 ust. 1 Ustawy, podlegają rejestracji w rejestrze prowadzonym przez ABI, nawet jeśli zawierają dane wrażliwe i w związku z tym podlegają również obowiązkowej rejestracji w rejestrze prowadzonym przez GIODO (art. 43 ust. 1a Ustawy). Oznacza to, że sam fakt, iż zbiory danych osobowych, wrażliwych podlegają zgłoszeniu do GIODO, nie stanowi jeszcze o tym, że ten zbiór nie powinien znaleźć się w rejestrze prowadzonym przez ABI.

Jeżeli więc zbiór danych osobowych zawierający dane wrażliwe nie mieści się w katalogu zbiorów zwolnionych z rejestracji, powinien on zostać ujawniony w rejestrze prowadzonym przez ABI oraz w rejestrze prowadzonym przez GIODO Przykładem takiego zbioru jest zbiór utworzony dla celów związanych z prowadzaniem badań przez podmioty inne niż świadczące usługi medyczne, do których to badań będą wykorzystywane, na przykład, dane osobowe wrażliwe o stanie zdrowia. Taki zbiór będzie podlegał rejestracji zarówno w rejestrze zbiorów danych osobowych prowadzanym przez GIODO –nie mieści się bowiem w katalogu zbiorów wyłączonych z tego obowiązku, a zawiera dane osobowe wrażliwe – jak i w rejestrze prowadzonym przez ABI.

Reasumując, konieczność rejestracji zbioru danych, w ramach którego przetwarzane są dane wrażliwe w rejestrze GIODO nie zwalnia ABI z obowiązku umieszczenia zbioru we własnym rejestrze, o ile oczywiście nie mieści się on w katalogu zbiorów, co do których obowiązek rejestracji jest z góry wyłączony (art. 43 ust. 1).

Niemniej trzeba zaznaczyć, iż wszystkie poczynione powyżej uwagi pozostają aktualne jedynie w przypadku, gdy ABI został wyznaczony i zgłoszony do rejestru prowadzonego przez GIODO.

-
Najpopularniejsze

Najnowsze


Adw. Aleksandra Piotrowska
29 lipca 2015
Biuletyn
informacyjny
Biuletyn ODO 24

Raz w miesiącu wysyłamy subiektywny przegląd najważniejszych informacji i wydarzeń oraz naszych promocji i nowości. Wystarczy poniżej podać swój adres e-mail.

Zobacz poprzednie wydanie.