Rejestr prowadzony przez GIODO, przez ABI i wykaz zbiorów danych osobowych.
By właściwie zrozumieć istotę rejestru prowadzonego przez ABI (pobierz wzór rejestru) należy go przede wszystkim odróżnić od dwóch pozostałych, prowadzonych równolegle, rejestrów zbiorów. Po pierwsze, zgodnie z rozporządzeniem z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych […], każdy administrator danych osobowych musi przygotować i wdrożyć dokumentację ochrony danych osobowych. Jednym z elementów wymaganej dokumentacji, zgodnie z § 4 pkt 2 ww. rozporządzenia, jest wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych. Wykaz ten jest elementem składowym dokumentacji ochrony danych osobowych w związku z czym opisuje wszystkie zbiory danych osobowych, których administratorem jest nasz podmiot. Dotyczy to zarówno danych, które podlegają ujawnieniu w rejestrze GIODO lub ABI, jak i tych, które są zwolnione z tego obowiązku.
Z drugiej strony mamy rejestr prowadzony przez GIODO na podstawie art. 12 pkt 4 ustawy o ochronie danych osobowych. GIODO prowadzi rejestr zbiorów danych, a także udziela informacji o zarejestrowanych zbiorach danych. Jest to kolejny rejestr zbiorów, który nie jest już kompletny jak ww. wykaz zbiorów, gdyż istnieje szeroki katalog wyłączeń spod obowiązku rejestracji zbiorów w rejestrze prowadzonym przez GIODO (art. 43 ustawy o ochronie danych osobowych). Dodatkowo warto wspomnieć o nowym wyłączeniu spod obowiązku rejestracji, które się pojawiło w pkt. 12 ww. artykułu:
Art. 43.
1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
[…]
12) przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1
Na mocy powyższego wyłączenia, obowiązkowi rejestracji w rejestrze prowadzonym przez GIODO nie podlegają zbiory danych tzw. zwykłych, prowadzone jedynie poza systemem informatycznym.
Trzecim rejestrem, który się pojawił wraz z wejściem w życie znowelizowanych przepisów ustawy o ochronie danych osobowych (art. 36 a ust. 2) jest rejestr prowadzony przez ABI. Rejestr ten, podobnie jak rejestr GIODO, jest rejestrem jawnym (każdy może go przeglądać) oraz zawiera informacje analogiczne do tych, które znajdują się w rejestrze prowadzonym przez GIODO.
Po co kolejny rejestr zbiorów?
W związku z wyłączeniem z obowiązku rejestracji w rejestrze prowadzonym przez GIODO (na mocy art. 43 ust 1a ustawy o ochronie danych osobowych) zbiorów zwykłych danych osobowych, pojawił się element braku transparentności informacji o zbiorach prowadzonych przez tych administratorów danych, którzy wyznaczyli i zgłosili ABI do rejestru GIODO. By zniwelować powyższe uchybienie ustawodawca nałożył obowiązek prowadzenia rejestru na samego ABI. Co do zasady jest to jedyny powód prowadzenia tego rejestru. Dodatkowo, ustawodawca wprowadził szereg możliwości udostępniania rejestru przez ABI.
Trzy formy udostępniania rejestru prowadzonego przez ABI
Po pierwsze, rejestr może być udostępniony na stronie internetowej administratora danych, przy czym na stronie głównej musi zostać umieszczone odwołanie, umożliwiające bezpośredni dostęp do rejestru. Po drugie, rejestr może zostać udostępniony w lokalu administratora danych na stanowisku dostępowym (np. przy komputerze) – będzie wyświetlany na monitorze ekranowym. Po trzecie, rejestr może zostać wydrukowany z systemu informatycznego i udostępniony w wersji papierowej każdej osobie zainteresowanej lub w przypadku prowadzenia rejestru jedynie w formie papierowej (bez użycia systemu informatycznego) poprzez udostępnienie rejestru do przeglądania. Warto dodać, że w przypadku udostępniania rejestru na stronie internetowej można nie umieszczać informacji o tzw. procesorach danych osobowych, czyli podmiotach zewnętrznych, które przetwarzają dane osobowe na nasze zlecenie. Jednak w takim przypadku należy zagwarantować dostępność tych informacji w siedzibie administratora danych.
Które zbiory umieszcza się w rejestrze prowadzonym przez ABI?
W rejestrze prowadzonym przez ABI umieszcza się jedynie te zbiory danych osobowych, które nie zostały wyłączone spod obowiązku rejestracji w rejestrze prowadzonym przez GIODO (zwolnienia z art. 43 ust 1). A więc w rejestrze prowadzonym przez ABI nie umieszcza się np. zbioru danych osobowych pracowników, gdyż zbiór ten jest wyłączony spod obowiązku rejestracji w rejestrze prowadzonym przez GIODO.
W rejestrze zbiorów prowadzonym przez ABI znajdują się tak naprawdę jedynie zbiory danych osobowych, które podlegałyby rejestracji, gdyby administrator danych nie powołał i nie zgłosił do rejestru GIODO swojego ABI.
Podsumowanie
Prowadzenie dodatkowego rejestru jest obowiązkiem ABI, nie można więc zarzucić ustawodawcy, że nałożył dodatkowy obowiązek na administratora danych. Z drugiej jednak strony coraz trudniej będzie udowodnić administratorowi danych, że jego ABI, który jest najczęściej równolegle pracownikiem, posiada organizacyjną odrębność, niezbędną do należytego wykonywania przez niego zadań, która została określona w art. 36 a ust. 8 ustawy o ochronie danych osobowych.