Dz.U.2015.719
ROZPORZĄDZENIE
MINISTRA ADMINISTRACJI I CYFRYZACJI 1)
z dnia 11 maja 2015 r.
w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych
Na podstawie art. 36a ust. 9 pkt 2 ustawy z dnia 29
sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014
r. poz. 1182 i 1662) zarządza się, co następuje:
§ 1.
Rozporządzenie określa sposób prowadzenia rejestru zbiorów danych, o którym
mowa w art. 36a ust. 2 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie
danych osobowych, zwanej dalej „ustawą”.
§ 2.
1. Rejestr zbiorów danych, o którym mowa w art. 36a ust. 2 pkt 2 ustawy,
zwany dalej „rejestrem”, składa się z wykazu zbiorów danych zawierającego
informacje określone w § 3 odrębnie dla każdego zbioru danych.
2. Rejestr jest prowadzony w postaci papierowej lub w postaci
elektronicznej.
§ 3.
1. W rejestrze znajdują się następujące informacje dotyczące każdego zbioru
danych:
1) nazwa zbioru danych;
2) oznaczenie administratora danych i adres jego siedziby lub miejsca
zamieszkania oraz numer identyfikacyjny rejestru podmiotów gospodarki
narodowej, jeżeli został mu nadany;
3) oznaczenie przedstawiciela administratora danych, o którym mowa w art.
31a ustawy, i adres jego siedziby lub miejsca zamieszkania – w przypadku
wyznaczenia takiego podmiotu;
4) oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na
podstawie art. 31 ustawy, i adres jego siedziby lub miejsca zamieszkania – w
przypadku powierzenia przetwarzania danych temu podmiotowi;
5) podstawa prawna upoważniająca do prowadzenia zbioru danych;
6) cel przetwarzania danych w zbiorze;
7) opis kategorii osób, których dane są przetwarzane w zbiorze;
8) zakres danych przetwarzanych w zbiorze;
9) sposób zbierania danych do zbioru, w szczególności informacja, czy dane
do zbioru są zbierane od osób, których dotyczą, czy z innych źródeł niż
osoba, której dane dotyczą;
10) sposób udostępniania danych ze zbioru, w szczególności informacja, czy
dane ze zbioru są udostępniane innym podmiotom niż upoważnione na podstawie
przepisów prawa;
11) oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być
przekazywane;
12) informacja dotycząca ewentualnego przekazywania danych do państwa
trzeciego.
2. W rejestrze podaje się datę wpisu każdego zbioru danych do rejestru, a
także datę ostatniej aktualizacji informacji dotyczących każdego zbioru
danych.
3. W przypadku wykreślenia zbioru danych z rejestru w rejestrze pozostawia
się nazwę zbioru danych, datę wpisania zbioru danych oraz datę ostatniej
aktualizacji informacji dotyczących tego zbioru wraz z adnotacją, że jest to
data wykreślenia zbioru z rejestru.
4. Informacje, o których mowa w ust. 1, są udostępniane w rejestrze do
przeglądania w powszechnie zrozumiałej formie, według kolejności określonej
w ust. 1.
§ 4.
1. Administrator bezpieczeństwa informacji w ramach prowadzenia rejestru:
1) wpisuje zbiór danych do rejestru przed rozpoczęciem przetwarzania w
zbiorze danych;
2) aktualizuje informacje dotyczące zbioru danych w rejestrze – w przypadku
zmiany informacji objętych wpisem;
3) wykreśla zbiór danych z rejestru – w przypadku zaprzestania przetwarzania
w nim danych osobowych;
4) udostępnia rejestr do przeglądania.
2. Czynności, o których mowa w ust. 1 pkt 2 i 3, dokonuje się niezwłocznie
po zaistnieniu zdarzenia powodującego obowiązek ich dokonania.
§ 5.
1. W przypadku prowadzenia rejestru w postaci elektronicznej administrator
bezpieczeństwa informacji udostępnia rejestr do przeglądania:
1) na stronie internetowej administratora danych, przy czym na stronie
głównej umieszcza się odwołanie umożliwiające bezpośredni dostęp do
rejestru, lub
2) na stanowisku dostępowym w systemie informatycznym administratora danych
znajdującym się w siedzibie lub miejscu zamieszkania tego administratora,
lub
3) przez sporządzenie wydruku rejestru z systemu informatycznego
administratora danych.
2. W przypadku prowadzenia rejestru w postaci papierowej administrator
bezpieczeństwa informacji udostępnia każdemu zainteresowanemu treść rejestru
do przeglądania w siedzibie lub miejscu zamieszkania administratora danych.
3. W przypadku prowadzenia rejestru wyłącznie w postaci elektronicznej albo
w postaci papierowej i postaci elektronicznej administrator bezpieczeństwa
informacji może zdecydować, że w odniesieniu do informacji, o których mowa w
§ 3 ust. 1 pkt 4, w postaci elektronicznej udostępnia się do przeglądania
wyłącznie informacje o powierzeniu przetwarzania danych innemu podmiotowi, a
jego oznaczenie i adres siedziby lub miejsca zamieszkania są udostępniane do
przeglądania jedynie w sposób określony w ust. 2.
§ 6.
Administrator bezpieczeństwa informacji odnotowuje historię zmian w
rejestrze zawierającą:
1) informację o rodzaju zmiany (nowy wpis, aktualizacja, wykreślenie);
2) datę dokonania zmiany;
3) informację o zakresie zmiany.
§ 7.
Rozporządzenie wchodzi w życie z dniem następującym po dniu ogłoszenia.
-------------------
1) Minister Administracji i Cyfryzacji kieruje działem administracji
rządowej – administracja publiczna, na podstawie § 1 ust. 2 pkt 1
rozporządzenia Prezesa Rady Ministrów z dnia 22 września 2014 r. w sprawie
szczegółowego zakresu działania Ministra Administracji i Cyfryzacji (Dz. U.
poz. 1254).
|