Fajgielski Paweł, Prowadzenie przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych

Prowadzenie przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych

Zgodnie z art. 175 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), art. 1, art. 2, art. 3 ust. 1, art. 4-7, art. 14-22, art. 23-28, art. 31 oraz rozdziały 4, 5 i 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723) zachowują moc w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie, w terminie do dnia wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89).

Zgodnie z art. 166 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), z dniem wejścia w życie przedmiotowej ustawy Generalny Inspektor Ochrony Danych Osobowych staje się Prezesem Urzędu Ochrony Danych Osobowych. Osoba, która została powołana na stanowisko Generalnego Inspektora Ochrony Danych Osobowych, na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723), pozostaje na stanowisku do czasu upływu kadencji, na którą została powołana.

Nowelizacją ustawy o ochronie danych osobowych z dnia 7 listopada 2014 r. wprowadzono zwolnienie administratora danych z obowiązku rejestracji zbiorów danych (z wyjątkiem zbiorów zawierających tzw. dane sensytywne, o których mowa w art. 27 u.o.d.o.), w przypadku, gdy administrator danych wyznaczył administratora bezpieczeństwa informacji (ABI) i zgłosił go do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Konsekwencją zwolnienia z rejestracji jest przekazanie ABI realizacji zadania związanego z prowadzeniem rejestru zbiorów danych. ABI powinien prowadzić rejestr zawierający informacje na temat zbiorów, które nie zostały zwolnione z obowiązku rejestracyjnego na mocy art. 43 ust. 1 u.o.d.o., a nie zawierają danych sensytywnych (tego rodzaju zbiory podlegałyby rejestracji u GIODO, gdyby ABI nie został powołany).

Szczegółowe kwestie dotyczące prowadzenia przez ABI rejestru zbiorów zostały uregulowane w rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015 r. poz. 719).

Z przetwarzaniem danych w zbiorze wiąże się obowiązek rejestracyjny, chyba że przepisy u.o.d.o. zwalniają administratora z tego obowiązku.

Wyłączenia z obowiązku rejestracji zbioru danych, zgodnie z art. 43 ust. 1 u.o.d.o. dotyczą administratorów danych:

1) zawierających informacje niejawne;

1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności;

2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym;

2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej;

2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;

2c) przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej;

3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego;

4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;

5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;

6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;

7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności;

8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;

9) powszechnie dostępnych;

10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;

11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego;

12) przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1 u.o.d.o.