Czy trzeba wpisać powierzony zbiór danych do rejestru ABI

Jednym z zadań administratora bezpieczeństwa informacji jest prowadzenie jawnego rejestru zbiorów danych osobowych. ABI wpisuje do niego wszystkie zbiory danych przetwarzane przez administratora danych. Czy zaliczają się do nich także zbiory danych osobowych, które zostały administratorowi danych powierzone do przetwarzania? Czy informację o takich zbiorach administrator bezpieczeństwa informacji musi wpisać do rejestru?
W rejestrze zbiorów danych osobowych prowadzonym przez administratora bezpieczeństwa informacji nie trzeba zamieszczać informacji o zbiorze danych osobowych przetwarzanych na podstawie umowy powierzenia.
Do zadań administratora bezpieczeństwa informacji, który pracuje dla danego administratora danych, należy m.in. prowadzenie rejestru zbiorów danych osobowych przetwarzanych przez ADO, z wyjątkiem zbiorów, z obowiązku rejestracji których administratorzy danych są zwolnieni (art. 36a ust. 2 pkt 2 ustawy o ochronie danych osobowych). Taki rejestr zbiorów danych osobowych jest jawny. Obowiązek prowadzenia jawnego rejestru danych osobowych przez ABI dotyczy „danych przetwarzanych przez administratora danych”. Oznacza to, że w rejestrze zbiorów danych osobowych prowadzonym przez ABI należy zawrzeć wszelkie zbiory danych osobowych (w tym ich części i podzbiory, jeśli ze względów technicznych dany zbiór został podzielony) przetwarzane przez ADO. Prawidłowo prowadzony rejestr powinien zawierać m.in. oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru i adres jego siedziby lub miejsca zamieszkania – w przypadku powierzenia przetwarzania danych temu podmiotowi. 
Czyli bez wątpienia w jawnym rejestrze zbiorów danych osobowych prowadzonym przez ABI mają zostać uwzględnione zbiory danych osobowych powierzonych do przetwarzania innemu podmiotowi. Jednak czy także zbiory danych osobowych powierzonych do przetwarzania danemu administratorowi danych przez inny podmiot trzeba wpisać do tego rejestru? Nie.
Do jawnego rejestru zbiorów danych osobowych ABI wpisuje tylko te zbiory danych, wobec których ADO jest administratorem. Podmiot przetwarzający dane osobowe na podstawie umowy powierzenia tych danych zawartej z ADO nie staje się administratorem danych powierzonych mu do przetwarzania. To stwierdzenie wywołuje określone skutki. Na podmiocie, któremu dane zostały powierzone do przetwarzania, nie spoczywają obowiązki, którymi ustawodawca obciążył wyłącznie administratora danych, w tym właśnie wskazany powyżej obowiązek rejestracji zbioru danych osobowych. Podmiot przetwarzający dane osobowe na podstawie umowy powierzenia przetwarzania danych osobowych nie jest ich administratorem, ale ponosi odpowiedzialność jak administrator danych np. za wyciek danych osobowych. Ponadto podmiot taki jest odpowiedzialny wobec ADO w zakresie działań niezgodnych z umową powierzenia z nim zawartą.


Marcin Sarna, radca prawny

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji »
W jaki sposób zawiadomić o wyznaczeniu IOD

W jaki sposób zawiadomić o wyznaczeniu IOD »
Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie?

Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie? »
Array ( [docId] => 49941 )

Array ( [docId] => 49941 )
Array ( [docId] => 49941 )