Rozporządzenie Ministra Administracji i Cyfryzacjiz dnia 11 maja 2015 r.w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych

Treść rozporządzenia

Na podstawie art. 36a ust. 9 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych   (Dz. U. z 2014 r. poz. 1182 i 1662) zarządza się, co następuje:

§ 1.

Rozporządzenie określa sposób prowadzenia rejestru zbiorów danych, o którym mowa w art. 36a ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwanej dalej „ustawą”.

§ 2.

1.

Rejestr zbiorów danych, o którym mowa w art. 36a ust. 2 pkt 2 ustawy, zwany dalej „rejestrem”, składa się z wykazu zbiorów danych zawierającego informacje określone w § 3 odrębnie dla każdego zbioru danych.

2.

Rejestr jest prowadzony w postaci papierowej lub w postaci elektronicznej.

§ 3.

1.

W rejestrze znajdują się następujące informacje dotyczące każdego zbioru danych:

1)

nazwa zbioru danych;

2)

oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;

3)

oznaczenie przedstawiciela administratora danych, o którym mowa w art. 31a ustawy, i adres jego siedziby lub miejsca zamieszkania - w przypadku wyznaczenia takiego podmiotu;

4)

oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy, i adres jego siedziby lub miejsca zamieszkania - w przypadku powierzenia przetwarzania danych temu podmiotowi;

5)

podstawa prawna upoważniająca do prowadzenia zbioru danych;

6)

cel przetwarzania danych w zbiorze;

7)

opis kategorii osób, których dane są przetwarzane w zbiorze;

8)

zakres danych przetwarzanych w zbiorze;

9)

sposób zbierania danych do zbioru, w szczególności informacja, czy dane do zbioru są zbierane od osób, których dotyczą, czy z innych źródeł niż osoba, której dane dotyczą;

10)

sposób udostępniania danych ze zbioru, w szczególności informacja, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnione na podstawie przepisów prawa;

11)

oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane;

12)

informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego.

2.

W rejestrze podaje się datę wpisu każdego zbioru danych do rejestru, a także datę ostatniej aktualizacji informacji dotyczących każdego zbioru danych.

3.

W przypadku wykreślenia zbioru danych z rejestru w rejestrze pozostawia się nazwę zbioru danych, datę wpisania zbioru danych oraz datę ostatniej aktualizacji informacji dotyczących tego zbioru wraz z adnotacją, że jest to data wykreślenia zbioru z rejestru.

4.

Informacje, o których mowa w ust. 1, są udostępniane w rejestrze do przeglądania w powszechnie zrozumiałej formie, według kolejności określonej w ust. 1.

§ 4.

1.

Administrator bezpieczeństwa informacji w ramach prowadzenia rejestru:

1)

wpisuje zbiór danych do rejestru przed rozpoczęciem przetwarzania w zbiorze danych;

2)

aktualizuje informacje dotyczące zbioru danych w rejestrze - w przypadku zmiany informacji objętych wpisem;

3)

wykreśla zbiór danych z rejestru - w przypadku zaprzestania przetwarzania w nim danych osobowych;

4)

udostępnia rejestr do przeglądania.

2.

Czynności, o których mowa w ust. 1 pkt 2 i 3, dokonuje się niezwłocznie po zaistnieniu zdarzenia powodującego obowiązek ich dokonania.

§ 5.

1.

W przypadku prowadzenia rejestru w postaci elektronicznej administrator bezpieczeństwa informacji udostępnia rejestr do przeglądania:

1)

na stronie internetowej administratora danych, przy czym na stronie głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do rejestru, lub

2)

na stanowisku dostępowym w systemie informatycznym administratora danych znajdującym się w siedzibie lub miejscu zamieszkania tego administratora, lub

3)

przez sporządzenie wydruku rejestru z systemu informatycznego administratora danych.

2.

W przypadku prowadzenia rejestru w postaci papierowej administrator bezpieczeństwa informacji udostępnia każdemu zainteresowanemu treść rejestru do przeglądania w siedzibie lub miejscu zamieszkania administratora danych.

3.

W przypadku prowadzenia rejestru wyłącznie w postaci elektronicznej albo w postaci papierowej i postaci elektronicznej administrator bezpieczeństwa informacji może zdecydować, że w odniesieniu do informacji, o których mowa w § 3 ust. 1 pkt 4, w postaci elektronicznej udostępnia się do przeglądania wyłącznie informacje o powierzeniu przetwarzania danych innemu podmiotowi, a jego oznaczenie i adres siedziby lub miejsca zamieszkania są udostępniane do przeglądania jedynie w sposób określony w ust. 2.

§ 6.

Administrator bezpieczeństwa informacji odnotowuje historię zmian w rejestrze zawierającą:

1)

informację o rodzaju zmiany (nowy wpis, aktualizacja, wykreślenie);

2)

datę dokonania zmiany;

3)

informację o zakresie zmiany.

§ 7.

Rozporządzenie wchodzi w życie z dniem następującym po dniu ogłoszenia.