Ostatnio bezpłatny audyt zamówiono minut temu

Zadzwoń do naszego konsultanta
phone
lub napisz email

ABC REJESTRACJI ZBIORÓW DANYCH OSOBOWYCH

ABC REJESTRACJI ZBIORÓW DANYCH OSOBOWYCH

Zgodnie z art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2014 r. poz. 1182 z późn. zm.; dalej jako: ustawa) administrator danych obowiązany jest zgłosić zbiór danych osobowych do rejestracji, której dokonuje Generalny Inspektor Ochrony Danych Osobowych.

Wyjątki od tej zasady wyliczone zostały w art. 43 ust. 1 i 1a ustawy.

Kontrolę nad prawidłowością procesu przetwarzania danych osobowych sprawuje GIODO.

Poniżej przedstawiamy najważniejsze informacje dotyczące procedury rejestracji zbioru w rejestrze prowadzonym przez GIODO.

PODMIOT ZOBOWIĄZANY DO ZGŁOSZENIA ZBIORU DO REJESTRACJI GENERALNEMU INSPEKTOROWI (ADMINISTRATOR DANYCH OSOBOWYCH)

Obowiązek zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi ciąży na administratorze danych (ADO).

ADO to zgodnie z art. 7 pkt 4 ustawy podmiot decydujący o celach i środkach przetwarzania danych osobowych. Może być nim podmiot prywatny oraz podmiot publiczny. Może to być organ państwowy, organ samorządu terytorialnego, państwowa i komunalna jednostka organizacyjna, a także podmiot niepubliczny realizujący zadania publiczne, osoba fizyczna, osoba prawna oraz jednostka organizacyjna niebędąca osobą prawną, jeżeli przetwarza dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

Nieistotne czy podmiot ten samodzielnie przetwarza dane, czy też zlecił ich przetwarzanie innemu podmiotowi, w drodze umowy zawartej na podstawie art. 31 ustawy.

ADO jest co do zasady PODMIOT (np. spółka prawa handlowego, spółdzielnia, przedsiębiorca prowadzący działalność gospodarczą jednoosobowo, stowarzyszenie, fundacja), a nie osoba lub osoby zarządzające tym podmiotem (np. dyrektor przedsiębiorstwa, prezes spółdzielni, zarząd spółki) lub też pracownik wykonujący czynności związane z ochroną danych osobowych (np. pełnomocnik zarządu ds. ochrony danych osobowych, administrator bezpieczeństwa informacji).

ADO oddziału spółki jest spółka a nie oddział spółki.

 

ZBIÓR DANYCH OSOBOWYCH JAKO PRZEDMIOT REJESTRACJI

 

Przedmiotem zgłoszenia do rejestracji Generalnemu Inspektorowi jest zbiór danych osobowych.

Zgodnie z definicją ustawy zawartą  w art. 7 pkt 1

Zbiór to „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.

Zbiór musi posiadać strukturę tj. być uporządkowany w sposób umożliwiający wyszukanie konkretnych danych według określonego kryterium. Tylko usystematyzowany zestaw danych = zbiór danych powinien być zgłoszony do rejestracji Generalnemu Inspektorowi przez ADO.

 

MOMENT POWSTANIA OBOWIĄZKU REJESTRACYJNEGO

 

ADO powinien zgłosić zbiór danych osobowych do rejestracji jeszcze przed rozpoczęciem przetwarzania danych, czyli przed pierwszą czynnością, jaką administrator może wykonać na danych, tj. przed pozyskaniem pierwszych danych do zbioru.

Art. 46 ust. 1 ustawy o ochronie danych osobowych – administrator danych może rozpocząć ich przetwarzanie w zbiorze po zgłoszeniu tego zbioru do rejestracji Generalnemu Inspektorowi.

Jeśli ADO zamierza przetwarzać tzw. dane „szczególnie chronione”, wskazane w art. 27 ustawy, tj. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, to zbieranie tego typu danych może rozpocząć dopiero po zarejestrowaniu zbioru (art. 46 ust. 2 ustawy).

Zgodnie z art. 43 ust. 1 ustawy z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

1) zawierających informacje niejawne,
1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym,
2c) przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej,
3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
9) powszechnie dostępnych,
10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego,
12) przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1.

 

Natomiast zgodnie z art. 43 ust. 1a ustawy obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega ADO, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ust. 2.

ZGŁOSZENIE ZBIORU DO REJESTRACJI

Zgłoszenia zbioru danych należy dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536).

Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:
1)    wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
2)    oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
3)    cel przetwarzania danych,
3a)    opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
4)    sposób zbierania oraz udostępniania danych,
4a)    informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
5)    opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36–39,
6)    informację o sposobie wypełniania warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a,
7)    informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Zgłoszenie powinno być podpisane przez ADO.

Zgłoszenie można przesłać pocztą lub złożyć w Biurze Generalnego Inspektora Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa) albo drogą elektroniczną, z użyciem bezpiecznego podpisu elektronicznego. Zgłoszenia można również dokonać drogą elektroniczną bez użycia podpisu elektronicznego, a następnie złożyć zgłoszenie w formie tradycyjnej uzupełnione o podpis wnioskodawcy. Aplikacja umożliwiająca skuteczne dokonanie zgłoszenia drogą elektroniczną znajduje się na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych – w systemie „platforma e-GIODO” (www.giodo.gov.pl). 

 

ZMIANY W ZBIORZE DANYCH OSOBOWYCH

 

Zgodnie z art. 41 ust. 2 ustawy o ochronie danych osobowych ADO jest obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji zawartych w zgłoszeniu, w terminie 30 dni od dnia dokonania zmiany w zbiorze, z zastrzeżeniem ust. 3 tego artykułu.

Jeżeli zmiana dotyczy rozszerzenia zakresu przetwarzanych danych o dane szczególnie chronione, o których mowa w art. 27 ust. 1 ustawy, to stosownie do treści art. 41 ust. 3 ustawy administrator danych jest obowiązany do jej zgłoszenia przed dokonaniem zmiany w zbiorze. Obowiązek zgłoszenia zmian w zbiorze dotyczy np. zmiany nazwy administratora danych, adresu jego siedziby czy zakresu danych osobowych przetwarzanych w zbiorze. 

Na żądanie ADO GIODO może wydać zaświadczenie o zarejestrowaniu zgłoszonego przez niego zbioru danych (art. 42 ust. 3 ustawy).

Natomiast, na podstawie art. 42 ust. 4 ustawy, Generalny Inspektor z urzędu wydaje administratorowi danych, o których mowa w art. 27 ust. 1 ustawy (tzw. danych szczególnie chronionych) zaświadczenie o zarejestrowaniu zbioru niezwłocznie po dokonaniu rejestracji.

 

ODMOWA REJESTRACJI ZBIORU

 

Zgodnie z art. 44 ust. 1 ustawy o ochronie danych osobowych Generalny Inspektor wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli:
1.  nie zostały spełnione wymogi określone w art. 41 ust. 1 ustawy, tj. zgłoszenie nie zawiera wszystkich wymaganych informacji; 
2. przetwarzanie danych naruszałoby zasady określone w art. 23–28 ustawy, czyli np. brak przesłanki legalności przetwarzania danych (art. 23 ustawy), niedopełnienie obowiązku informacyjnego (art. 24 i 25 ustawy), nieadekwatność przetwarzanych danych w stosunku do celu ich przetwarzania (art. 26 ust. 1 pkt 3 ustawy), przetwarzanie danych szczególnie chronionych bez podstawy prawnej (art. 27 ustawy); 
3.  urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a, tj. w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Przepis § 6 ww. rozporządzenia wprowadził bowiem trzy poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym, w zależności od zagrożeń oraz kategorii danych osobowych przetwarzanych w systemie informatycznym, tj. poziom podstawowy, podwyższony i wysoki. 

 

GIODO odmawiając rejestracji zbioru może jednocześnie zastrzec:

 

  1.  ograniczenie przetwarzania wszystkich albo niektórych kategorii danych wyłącznie do ich przechowywania lub
  2. zastosowanie innych środków, o których mowa w art. 18 ust. 1 ustawy, tj.:
  • usunięcie uchybień,
  • uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
  • zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
  • wstrzymanie przekazywania danych osobowych do państwa trzeciego,
  • zabezpieczenie danych lub przekazanie ich innym podmiotom,
  • usunięcie danych osobowych.

 

PODSUMOWANIE

 

Niniejszy artykuł miał za zadanie w telegraficznym skrócie przedstawić zasady dotyczące rejestracji zbiorów danych oraz etapy takiej rejestracji. Każdy ADO powinien pamiętać o dokonaniu takiego zgłoszenia jeszcze przed rozpoczęciem przetwarzania danych. Nie zapomnij o tym w ferworze innych czynności, jakie nakazuje podejmować polski ustawodawca w związku z rozpoczynaniem działalności.

Przedsiębiorco!
Szukasz pomocy przy danych osobowych?

Prześlij swoje pytanie do doświadczonych ekspertów i otrzymaj bezpłatną wycenę (tylko dla przedsiębiorców).

padlock

Chronimy Twoją prywatność. Twój adres email posłuży tylko do kontaktu w sprawie wyceny.

Submit a Comment

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

POBIERZ DARMOWY PORADNIK!

Dowiedz się jak spełnić swoje obowiązki wobec GIODO

i jak dokonać rejestracji zbiorów danych osobowych!

Kliknij i pobierz poradnik