Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych

11 maja 2015 r.

(Dz. U. z 2015, poz. 719)

29/10/2015


 

Na podstawie art. 36a ust. 9 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 i 1662) zarządza się, co następuje:

 

§ 1. Rozporządzenie  określa  sposób  prowadzenia  rejestru  zbiorów  danych,  o którym  mowa  w art. 36a  ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwanej dalej „ustawą”.

 

§ 2. 1. Rejestr zbiorów danych, o którym  mowa  w art. 36a ust. 2 pkt 2 ustawy, zwany dalej „rejestrem”, składa się  z wykazu zbiorów danych zawierającego informacje określone w § 3 odrębnie dla każdego zbioru danych.

 

2. Rejestr jest prowadzony w postaci papierowej lub w postaci elektronicznej.

 

§ 3. 1. W rejestrze znajdują się następujące informacje dotyczące każdego zbioru danych:

 

1)  nazwa zbioru danych;

 

2)  oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;

 

3)  oznaczenie przedstawiciela administratora danych, o którym mowa w art. 31a ustawy, i adres jego siedziby lub miejsca zamieszkania – w przypadku wyznaczenia takiego podmiotu;

 

4)  oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy, i adres jego siedziby lub miejsca zamieszkania – w przypadku powierzenia przetwarzania danych temu podmiotowi;

 

5)  podstawa prawna upoważniająca do prowadzenia zbioru danych;

 

6)  cel przetwarzania danych w zbiorze;

 

7)  opis kategorii osób, których dane są przetwarzane w zbiorze;

 

8)  zakres danych przetwarzanych w zbiorze;

 

9)  sposób zbierania danych do zbioru,  w szczególności informacja, czy dane do zbioru są zbierane od osób, których dotyczą, czy z innych źródeł niż osoba, której dane dotyczą;

 

10)  sposób udostępniania danych ze zbioru, w szczególności informacja, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnione na podstawie przepisów prawa;

 

11)  oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;

 

12)  informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego.                                                                  

 

2. W rejestrze podaje się datę wpisu każdego zbioru danych do rejestru, a także datę ostatniej aktualizacji informacji dotyczących każdego zbioru danych.

 

3. W przypadku wykreślenia zbioru danych z rejestru w rejestrze pozostawia się nazwę zbioru danych, datę wpisania zbioru danych oraz datę ostatniej aktualizacji informacji dotyczących tego zbioru wraz z adnotacją, że jest to data wykreślenia zbioru z rejestru.

 

4. Informacje,  o których  mowa  w ust. 1,  są  udostępniane  w rejestrze  do  przeglądania  w powszechnie  zrozumiałej formie, według kolejności określonej w ust. 1.

 

§ 4. 1. Administrator bezpieczeństwa informacji w ramach prowadzenia rejestru:

 

1)  wpisuje zbiór danych do rejestru przed rozpoczęciem przetwarzania w zbiorze danych;

 

2)  aktualizuje informacje dotyczące zbioru danych w rejestrze – w przypadku zmiany informacji objętych wpisem;

 

3)  wykreśla zbiór danych z rejestru – w przypadku zaprzestania przetwarzania w nim danych osobowych;

 

4)  udostępnia rejestr do przeglądania.

 

2. Czynności, o których mowa w ust. 1 pkt 2 i 3, dokonuje się niezwłocznie po zaistnieniu zdarzenia powodującego obowiązek ich dokonania.

 

§ 5. 1. W przypadku prowadzenia rejestru w postaci elektronicznej administrator bezpieczeństwa informacji udostępnia rejestr do przeglądania:

 

1)  na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru, lub

 

2)  na  stanowisku  dostępowym  w systemie  informatycznym  administratora  danych  znajdującym  się  w siedzibie  lub miejscu zamieszkania tego administratora, lub

 

3)  przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.

 

2. W przypadku prowadzenia rejestru w postaci papierowej administrator bezpieczeństwa informacji udostępnia każdemu zainteresowanemu treść rejestru do przeglądania w siedzibie lub miejscu zamieszkania administratora danych.

 

3. W przypadku prowadzenia rejestru wyłącznie w postaci elektronicznej albo w postaci papierowej i postaci elektronicznej  administrator  bezpieczeństwa  informacji  może  zdecydować,  że  w odniesieniu  do  informacji,  o których  mowa w § 3 ust. 1 pkt 4, w postaci elektronicznej udostępnia się do przeglądania wyłącznie informacje o powierzeniu przetwarzania danych innemu podmiotowi, a jego oznaczenie i adres siedziby lub miejsca zamieszkania są udostępniane do przeglądania jedynie w sposób określony w ust. 2.

 

§ 6. Administrator bezpieczeństwa informacji odnotowuje historię zmian w rejestrze zawierającą:

 

1)  informację o rodzaju zmiany (nowy wpis, aktualizacja, wykreślenie);

 

2)  datę dokonania zmiany;

 

3)  informację o zakresie zmiany.

 

§ 7. Rozporządzenie wchodzi w życie z dniem następującym po dniu ogłoszenia.

 

 

 

Źrodło: http://isap.sejm.gov.pl