GoldenLine
Zaloguj się
Witold Pilarczyk

Witold Pilarczyk Informatyk, Firma
prywatna

Temat: Nowy ABI - tworzenie rejestru zbioru danych - jaka data...

Witam,

Nowy ABI został zatrudniony od początku marca więc ma za zadanie stworzenie i udostępnienie rejestru zbioru danych osobowych. Dotychczasowy ABI takiego zbioru nie prowadził, placówka nie zaczęła przetwarzać nowych danych osobowych. Czy w takim wypadku nowy ABI musi wprowadzić do rejestru wszystkie zbiory dotychczasowo zgłoszone do GIODO, jeżeli tak to jaką datę ma wprowadzić jako datę wpisu do rejestru zakładając, że zakończył tworzenie takiego rejestru na koniec marca?
Link do wypowiedziLink
Arkadiusz H.

Arkadiusz H. IOD

Temat: Nowy ABI - tworzenie rejestru zbioru danych - jaka data...

Witold P.:
1. Czy w takim wypadku nowy ABI musi wprowadzić do rejestru wszystkie zbiory dotychczasowo zgłoszone do GIODO,
2. jeżeli tak to jaką datę ma wprowadzić jako datę wpisu do rejestru zakładając, że zakończył tworzenie takiego rejestru na koniec marca?

Ad1. Nie wszystkie tylko te które nie są zwolnione z rejestracji. (art. 36a ust 2 pkt 2).
Przykładem może być zbiór manualny (wersja papierowa) który nie zawiera danych wrażliwych. Wcześniej taki zbiór mógł podlegać rejestracji a teraz jest zwolniony na podstawie art. 43 ust. 1 pkt 12.
Inna sprawa iż na podstawie § 4 pkt. 2 rozporządzenia MSWiA z 2004 r. w polityce bezpieczeństwa powinien być ujęty wykaz zbiorów danych osobowych... W praktyce ABI prowadzi taki wykaz w którym są umieszczone wszystkie zbiory.

Nie mylić rejestracji z wykazem :)

Ad2. Możesz wpisać datę 26 maja 2015 r., dzień po opublikowaniu rozporządzenia MAiC w sprawie sposobu prowadzenia przez ABI rejestru zbiorów danych. Prowadzenie rejestru wynika z nowelizacji ustawy (twój poprzednik nie był powołany przed dniem 1 stycznia 2015 roku - nie miał obowiązku prowadzenia rejestru).Ten post został edytowany przez Autora dnia 23.06.15 o godzinie 13:11
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Nowy ABI - tworzenie rejestru zbioru danych - jaka data...

Arkadiusz H.:
Witold P.:
1. Czy w takim wypadku nowy ABI musi wprowadzić do rejestru wszystkie zbiory dotychczasowo zgłoszone do GIODO,
2. jeżeli tak to jaką datę ma wprowadzić jako datę wpisu do rejestru zakładając, że zakończył tworzenie takiego rejestru na koniec marca?

Ad1. Nie wszystkie tylko te które nie są zwolnione z rejestracji. (art. 36a ust 2 pkt 2).

I to jest jeden z największych bubli wynikających z tej nowelizacji.
Zbiory, które zostały zgłoszone do rejestracji GIODO, nadal będą widniały w ogólnopolskim rejestrze GIODO. I nadal je trzeba aktualizować. Oprócz tego, trzeba je ujawnić w wewnętrznym rejestrze zbiorów. Taki dualizm nie sprzyja przejrzystości i będzie prowadził do rozbieżności, bo większość administratorów pomyśli, że skoro mają rejestr wewnętrzny, to zbiory w GIODO już nie podlegają aktualizacji.

Zabrakło pomyślunku i dodania kolejnej podstawy prawnej do wykreślenia zbioru z rejestru GIODO - zwolnienie na podstawie powołania ABI.
Link do wypowiedziLink
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: Nowy ABI - tworzenie rejestru zbioru danych - jaka data...

Daniel W.:
I nadal je trzeba aktualizować. Oprócz tego, trzeba je ujawnić w wewnętrznym rejestrze zbiorów. Taki dualizm nie sprzyja przejrzystości i będzie prowadził do rozbieżności, bo większość administratorów pomyśli, że skoro mają rejestr wewnętrzny, to zbiory w GIODO już nie podlegają aktualizacji.
Danielu, a z czego konkretnie wynika konieczność aktualizacji zbiorów zgłoszonych do GIODO, w sytuacji gdy mamy w organizacji zgłoszonego i zarejestrowanego w GIODO ABI-ego?

Sprawą jasną jest, że należy zaktualizować zgłoszone zbiory, w sytuacji gdy nie powołamy ABI-ego/nie potwierdzimy do 30 czerwca faktu jego powołania (właśnie o ten brak), ale interpretacji, że trzeba aktualizować zgłoszone zbiory przy zgłoszonym ABI-m nie słyszałem.
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Nowy ABI - tworzenie rejestru zbioru danych - jaka data...

Karol F.:
Danielu, a z czego konkretnie wynika konieczność aktualizacji zbiorów zgłoszonych do GIODO, w sytuacji gdy mamy w organizacji zgłoszonego i zarejestrowanego w GIODO ABI-ego?

Sprawą jasną jest, że należy zaktualizować zgłoszone zbiory, w sytuacji gdy nie powołamy ABI-ego/nie potwierdzimy do 30 czerwca faktu jego powołania (właśnie o ten brak), ale interpretacji, że trzeba aktualizować zgłoszone zbiory przy zgłoszonym ABI-m nie słyszałem.

Będę nieco przewrotny - pytanie moim zdaniem trzeba zadać inaczej - z czego ma wynikać zwolnienie z takiego obowiązku?
Link do wypowiedziLink
Przemysław Siembida

Przemysław Siembida Pełnomocnik Zarządu
ds. Telekomunikacji,
Administrator B...

Temat: Nowy ABI - tworzenie rejestru zbioru danych - jaka data...

Art 41 ust. 4.
"Do zgłaszania zmian stosuje się odpowiednio przepisy o rejestracji zbiorów danych"

Czyli jeśli ABI nie musi rejestrować, to i nie musi aktualizować.
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: Nowy ABI - tworzenie rejestru zbioru danych - jaka data...

Przemysław S.:
Art 41 ust. 4.
"Do zgłaszania zmian stosuje się odpowiednio przepisy o rejestracji zbiorów danych"

Czyli jeśli ABI nie musi rejestrować, to i nie musi aktualizować.

Jeżeli taka się przyjmie interpretacja, to będzie jeszcze gorzej, niż przewidywałem. Bo rejestr GIODO w zakresie nieaktualizowanych zbiorów nie będzie odzwierciedlał prawdy. Nie można wykreślić takiego zbioru, bo ustawa tego nie przewiduje, a zapisy w rejestrze będą nieaktualne. I przeglądając rejestr nigdzie nie natkniemy się na notatkę - uwaga, ADO powołał ABI i przejął na siebie obowiązek prowadzenia rejestru zbiorów...

Jednak na ostatniej konferencji w Łodzi, w której udział wzięło 3 Generalnych Inspektorów, wyraźnie zaznaczano, że obowiązek aktualizacji nadal pozostaje. Ciekawe, co "się przyjmie" :)
Link do wypowiedziLink
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: Nowy ABI - tworzenie rejestru zbioru danych - jaka data...

Daniel W.:

Jeżeli taka się przyjmie interpretacja, to będzie jeszcze gorzej, niż przewidywałem. Bo rejestr GIODO w zakresie nieaktualizowanych zbiorów nie będzie odzwierciedlał prawdy. Nie można wykreślić takiego zbioru, bo ustawa tego nie przewiduje, a zapisy w rejestrze będą nieaktualne. I przeglądając rejestr nigdzie nie natkniemy się na notatkę - uwaga, ADO powołał ABI i przejął na siebie obowiązek prowadzenia rejestru zbiorów...

Jednak na ostatniej konferencji w Łodzi, w której udział wzięło 3 Generalnych Inspektorów, wyraźnie zaznaczano, że obowiązek aktualizacji nadal pozostaje. Ciekawe, co "się przyjmie" :)

Danielu, nie miałem okazji uczestniczyć w konferencji w Łodzi, ale na pewno 3 GIODO chodziło o aktualizację zbiorów zarejestrowanych w rejestrze GIODO w sytuacji powołania w danej jednostce organizacyjnej ABI-ego?
Kłóciłoby się to choćby z tym: http://www.giodo.gov.pl/1520224/id_art/8349/j/pl/

A wracając jeszcze do całej kwestii, to jeśli obawiasz się, że ktoś zostanie wprowadzony w błąd jeśli wejdzie na rejestr GIODO i znajdzie nieaktualne dane o zbiorach - równie dobrze, ktoś tak mocno szukając informacji nt. zbiorów danego ADO, może kliknąć jedną zakładkę wcześniej, w rejestr ABI i poszukać konkretnego ADO i faktu, czy zarejestrował ABI. Oczywiście piszę to z lekkim uśmiechem, bo zgadzam się, że zrobił się delikatny bałagan i w sytuacji zarejestrowania ABI - zarejestrowane uprzednio przez ADO zbiory, powinny zostać niejako z automatu "wygaszone" bądź wykreślone z rejestru GIODO. Ale to tylko pobożne życzenia ;)
Link do wypowiedziLink
Marta Zawieracz

Marta Zawieracz CISA, IOD

Temat: Nowy ABI - tworzenie rejestru zbioru danych - jaka data...

Zgadzam się, że taki dualizm będzie bardzo mylący dla odbiorcy i wydaje mi się, że w przypadku kiedy ABI jest powołany, GIODO wcześniej czy później będzie musiał zarchiwizować zbiory w swojej bazie (oczywiście oprócz wrażliwych). Nawiązując natomiast do aktualizowania zbiorów w mojej opinii ABI zajmuje się aktualnością jedynie tego co jest pod jego opieką. Jeżeli więc zbiory zwykłe w bazie GIODO są, ale nie podlegają ABI to nie rozumiem na jakiej podstawie miałby je aktualizować. Bazę GIODO w takim wypadku zastąpił publiczny rejestr prowadzony przez ABI.
Link do wypowiedziLink
Arkadiusz H.

Arkadiusz H. IOD

Temat: Nowy ABI - tworzenie rejestru zbioru danych - jaka data...

Myślę że ten komunikat rozwieje wszelkie wątpliwości.

Gdzie poszukiwać aktualnych informacji o zbiorach prowadzonych przez administratora danych, który zgłosił ABI do rejestracji GIODO?

Informacji o zbiorach należy poszukiwać przede wszystkim w jawnym rejestrze zbiorów danych prowadzonym przez właściwego ABI. Od 1 stycznia 2015 r. informacje umieszczone w jawnym rejestrze zbiorów prowadzonym przez ABI nie muszą być aktualizowane w rejestrze GIODO, z wyjątkiem zbiorów zawierających tzw. dane wrażliwe. ABI nie są także zobowiązani do wnioskowania o wykreślenie z rejestru GIODO prowadzonych u siebie zbiorów z danymi zwykłymi.

Informacji o zbiorach danych wrażliwych należy poszukiwać w rejestrze GIODO, który nadal zachowuje prawo do oceny legalności prowadzenia tych zbiorów przez administratora danych oraz w rejestrze ABI, w którym zbiory te są prowadzone po zarejestrowaniu przez GIODO.

W przypadku, gdy administrator danych nie powołał ABI, informacje o zbiorach danych zgłoszonych przez administratora danych powinny być dostępne w ogólnokrajowym, jawnym rejestrze GIODO.

http://giodo.gov.pl/plik/id_p/7002/j/pl/Ten post został edytowany przez Autora dnia 23.07.15 o godzinie 11:34
Link do wypowiedziLink

konto usunięte

Temat: Nowy ABI - tworzenie rejestru zbioru danych - jaka data...

To chyba jedyne rozsądne wyjście w tej sytuacji. Szkoda tylko, że znowelizowana ustawa wprost tego nie określiła i konieczne było doszukiwanie się intencji ustawodawcy, który pozostawił w tym zakresie pewną lukę i pole do nadinterpretacji.;pTen post został edytowany przez Autora dnia 30.07.15 o godzinie 19:10
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj