Zgłoszenie zbioru danych osobowych do GIODO

Dane Osobowe

Wiele czasu poświęca się ostatnio w Internecie tematyce ochrony danych osobowych, polityce prywatności, zbieraniu i przetwarzaniu danych czy GIODO. Nie wszyscy jednak wiedzą, co tak naprawdę kryje się pod tymi pojęciami oraz jaki mają wpływ na działalność firm obecnych w Internecie. W dzisiejszym poście, postanowimy wyjaśnić pewne kwestie związane z ochroną danych osobowych oraz obowiązkami firm w tym zakresie.

Ochrona danych osobowych

Podstawowym aktem prawnym regulującym bezpieczeństwo danych osobowych jest uchwalona w 1997 roku ustawa o ochronie danych osobowych. Na jej podstawie utworzona została także instytucja Generalnego Inspektora Ochrony Danych Osobowych (GIODO) która kontroluje zgodność przetwarzania danych z zapisami ustawy oraz innymi dokumentami.

Ustawa ta jak również inne akty prawne (rozporządzenia), nakłada szereg obowiązków na podmioty przetwarzające dane osobowe. Szczególnie zainteresowane tymi regulacjami powinny być firmy działające w Internecie oraz wykorzystujące nowoczesne systemy informatyczne, ponieważ z dużym prawdopodobieństwem operują one zbiorami danych osobowych.

Czym są dane osobowe

Za dane osobowe uważa się wszelkie informacje na podstawie których możliwe jest zidentyfikowane osoby fizycznej. Za dane osobowe będą uznane również takie informacje, które w połączeniu z innymi danymi, również umożliwiają identyfikację osoby fizycznej, przy czym pozyskanie takich informacji nie może wiązać się z nadmiernymi kosztami. Dane osób prawnych nie są rozumiane jako dane osobowe.

Czym jest przetwarzanie danych osobowych

Przetwarzanie danych osobowych to wszystkie operacje wykonywane na zbiorze danych osobowych a w szczególności wykonywane w systemach informatycznych. Ustawodawca wymienia czynności uznawane jako przetwarzanie danych osobowych:

  • zbieranie,
  • utrwalanie,
  • przechowywanie,
  • opracowywanie,
  • zmienianie,
  • udostępnianie,
  • usuwanie.

Co ciekawe, wykonywanie kopii zapasowej plików zawierających zbiór danych osobowych w rozumieniu ustawy jest także ich przetwarzaniem.

Czym jest zbiór danych osobowych

Zgodnie z ustawą, zbiór danych osobowych to posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów. Zbiór danych osobowych, może być rozproszony lub podzielony funkcjonalnie i różni się od dowolnego zestawu danych strukturą. Mówiąc prościej, jeśli możliwe jest wyszukanie danych konkretnej osoby według jakiegoś kryterium (np: adres email czy numer PESEL) to możemy taki zestaw danych w rozumieniu ustawy nazwać zbiorem danych.

Co ważne, nie ma określonej „liczby rekordów” danych w zbiorze danych osobowych. Nawet zbiór zawierający jeden rekord (jeśli będzie spełniał określone powyżej wymagania) będzie uznany za zbiór danych osobowych oraz należy go zgłosić do GIODO. Warto podkreślić również, że zbiór danych osobowych nie musi znajdować się w systemie informatycznym. Może być także w postaci papierowej a sam podmiot może nie prowadzić działalności w Internecie.

Konieczność zgłoszenia zbiorów danych osobowych do GIODO

Wypełnianie wniosku

Ustawa nakłada na podmioty przetwarzające dane osobowe w zbiorach, obowiązek zgłoszenia ich do GIODO. Zgłoszenia zbioru danych należy dokonać przed rozpoczęciem wykonywania jakichkolwiek czynności czyli de facto przez rozpoczęciem zbierania danych osobowych. Należy także odróżnić zgłoszenie od rejestracji zbioru danych. Rejestracji dokonuje samo GIODO na wniosek Administratora danych. W przypadku zgłoszenia zbioru danych osobowych o charakterze wrażliwym (poglądy polityczne, kod DNA, przynależność wyznaniowa itp.) jakiekolwiek działania mające charakter przetwarzania danych osobowych można wykonywać dopiero po rejestracji takiego zbioru przez GIODO.

Zgłoszenia zbioru danych osobowych do GIODO powinien dokonać Administrator zbioru danych. Administratorem zbioru danych osobowych jest co do zasady podmiot (przedsiębiorstwo, organizacja czy inna jednostka) a nie konkretny pracownik czy prezes danej firmy.

Zgłoszenia zbioru danych osobowych można dokonać:

  • drogą elektroniczną (wymagany podpis elektroniczny)
  • osobiście w siedzibie GIODO w Warszawie
  • listownie pocztą polską

Zgłoszenia zbioru danych należy dokonać na formularzu udostępnionym na stronie www.giodo.gov.pl

Kto nie musi zgłaszać zbiorów danych do GIODO

Ustawodawca określił kilka przypadków, gdzie Administrator nie ma obowiązku zgłoszenia zbioru danych do GIODO. Są to między innymi:

  • zbiory przetwarzane wyłącznie w celu wystawiania faktur lub rachunków;
  • zbiory danych niejawnych;
  • zbiory danych osób korzystających z:
    • usług medycznych,
    • obsługi notarialnej, adwokackiej, radcy prawnego,
    • obsługi rzecznika patentowego,
    • usług doradcy podatkowego, biegłego rewidenta,
  • zbiory danych wykorzystywanych do drobnych spraw życia codziennego.

Pełna lista znajduje się w art. 43 ust. 1 ustawy o ochronie danych osobowych.

Dla przedsiębiorców najważniejsze jest wyłączenie dotyczące wystawiania faktur oraz rachunków. Warto tutaj podkreślić, iż zbiór taki nie może być wykorzystywany do żadnych innych celów. Fakt braku konieczności zgłoszenia zbioru danych osobowych do GIODO nie zwalnia Administratora tych danych z należytego dbania o ich bezpieczeństwo.

Podsumowując, każda firma czy organizacja, przetwarzająca dane osobowe powinna zgłosić ich zbiór do GIODO z wyłączeniem przypadków, wymienionych w art. 43 ust. 1 ustawy. Trzeba pamiętać, że zestaw danych, który dla nas nie nosi znamion zbioru danych osobowych, w świetle prawa może takim być. Niezależnie od zaistnienia konieczności zgłoszenia zbioru danych do GIODO, odpowiedzialny za bezpieczeństwo podmiot, powinien odpowiednio o nie zadbać. W kolejnym poście, poruszymy kwestie związane z odpowiednim zabezpieczeniem zbiorów danych osobowych oraz nawiążemy do usług hostingowych.

Comments are closed.