Rejestracja zbiorów danych osobowych
Home / Poradniki / Rejestracja zbiorów danych osobowych

Rejestracja zbiorów danych osobowych 0

Obecnie sfera bezpieczeństwa i ochrony danych osobowych jest jednym z najważniejszych filarów budowania wizerunku, zaufania i pozycji firmy na rynku. Niemal każdego dnia, wykonując różne czynności zarówno zawodowe jak i prywatne spotykamy się z danymi osobowymi.  

Obowiązujące przepisy dotyczące danych osobowych

Na gruncie obowiązujących przepisów dane osobowe zostały zdefiniowane w art. 6 ust.1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016. 922). Zgodnie z tym artykułem  za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Identyfikacja danej osoby może odbywać się poprzez powołanie się na numer identyfikacyjny (np. numer PESEL), jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Określenie tożsamości danej osoby powinno odbywać się bez poniesienia nadmiernych kosztów, nakładów czy działań, wykorzystując do tego łatwo osiągalne i powszechnie dostępne źródła.

Na tej podstawie za dane osobowe możemy uznać m.in.: imię, nazwisko, adres osoby, płeć, datę urodzenia (Jan Kowalski, ul. Kwiatowa 8/7, 00-569 Warszawa, ur. 01.01.1979 r.), e-mail (np. jankowalski@firmaxyz.pl), mogą być to również informacje dotyczące koloru włosów, wzrostu, wykształcenia czy zajmowanego stanowiska. Generalny Inspektor Ochrony Danych Osobowych (dalej ”GIODO”) słusznie podkreśla, że danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy i numer domu czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić daną osobową wówczas, gdy zostanie zestawiona  z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej osoby. Należy zauważyć, że wskazane powyżej dane należą do kategorii zwykłych danych osobowych.

Bardzo często nie zdajemy sobie sprawy, że mamy do czynienia także z przetwarzaniem danych osobowych. Przetwarzanie polega na dokonywaniu jakichkolwiek operacji na danych osobowych, np. ich przechowywanie, wykorzystywanie, udostępnianie czy zmienianie.

Kiedy możemy przetwarzać dane osobowe

Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba, że chodzi o usunięcie dotyczących jej danych;

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego
z przepisu prawa;

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Warto zauważyć, że aby móc zgodnie z prawem przetwarzać dane osobowe wystarczające jest spełnienie, chociaż jednej wskazanej wyżej przesłanki.

Należy pamiętać, że zbiór danych osobowych podlega obowiązkowi rejestracji w GIODO.  Spełnienie tego obowiązku nałożone zostało na Administratora Danych Osobowych. Jeśli Administrator Danych powołał Administratora Bezpieczeństwa Informacji i zgłosił go do GIODO, obowiązek prowadzenia jawnego rejestru takich zbiorów danych przechodzi wówczas na ABI.

Przedmiotem zgłoszenia do rejestracji jest zbiór danych osobowych. Definicja zbioru danych osobowych została uregulowana w art. 7 pkt. 1 ustawy o ochronie danych osobowych, stanowiącym, że zbiorem danych osobowych jest „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.

Aby jakikolwiek zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów ustawy o ochronie danych osobowych, wystarczającym jest kryterium umożliwiające odnalezienie danych osobowych w zestawie, poprzez np. wskazanie numeru PESEL, imienia, nazwiska czy daty urodzenia. Należy zwrócić uwagę, że tylko zbiór danych osobowych o usystematyzowanej strukturze np. zbiór klientów firmy X, podlega rejestracji przez GIODO.

Zgodnie z art. 46 ust. 1 ustawy o ochronie danych osobowych, już od momentu zgłoszenia zbioru do rejestracji można legalnie przetwarzać dane (od chwili przesłania wniosku drogą elektroniczną lub pocztową). Procedura zgłoszenia zbioru danych jest czynnością jednorazową i bezpłatną.

Przetwarzanie danych wrażliwych

Jeżeli w firmie będą przetwarzane dane wrażliwe,  Administrator Danych Osobowych powinien pamiętać o bezwzględnym wymogu zarejestrowania zbioru danych sensytywnych w GIODO. Obowiązek ten ciąży na Administratorze Danych Odosobowych jak również na Administratorze Bezpieczeństwa Informacji, jeżeli został powołany w danej organizacji. GIODO wydaje z urzędu zaświadczenie o zarejestrowaniu zbioru, niezwłocznie po dokonaniu rejestracji.

Dopiero od tego momentu można zgodnie z prawem przetwarzać dane szczególnie chronione. Danych wrażliwych nie można przetwarzać bez uprzednio dokonanej rejestracji.

Zgłoszenia zbioru danych zarówno zwykłych jak i wrażliwych należy dokonać na formularzu, którego wzór stanowi załącznik do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

Art. 41 ust. 1 ustawy o ochronie danych osobowych określa jakie elementy powinno zawierać zgłoszenie zbioru danych do rejestracji:

  1. wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
  2. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
  3. cel przetwarzania danych,
    1. opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
  4. sposób zbierania oraz udostępniania danych,
    1. informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
  5. opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39,
  6. informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a,
  7. informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Zgłoszenia zbioru danych

Paweł Pawlukiewicz Radca Prawny/Attorney at Law, CLO

Zgłoszenia zbioru można dokonać: pocztą lub złożyć bezpośrednio w Biurze Generalnego Inspektora Ochrony Danych Osobowych. Zgłoszenie można przesłać również za pośrednictwem elektronicznej platformy e-giodo pod adresem:  https://egiodo.giodo.gov.pl/index.dhtml

Po zarejestrowaniu zbioru GIODO nie wydaje z urzędu zaświadczeń potwierdzających rejestrację zbioru (poza zaświadczeniami o rejestracji zbiorów danych sensytywnych, o czym była mowa powyżej), nie mniej jednak zaświadczenie zostanie nam wydane, po złożeniu i opłaceniu odpowiedniego wniosku. Opłata za wydanie zaświadczenia wynosi 17,00 zł. (opłaty można dokonać bezpośrednio w kasie organu lub na konto GIODO).  

Uchybienie obowiązkowi rejestracji zbioru danych osobowych zagrożone jest karą grzywny, ograniczenia wolności albo pozbawienia wolności do roku. Jak widać niedopełnienie obowiązku rejestracji zbioru danych osobowych nie tylko naraża firmę na utratę zaufania klientów, ale niesie za sobą również ryzyko poniesienia odpowiedzialności karnej.

Źródło: Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. 2016. 922).

Paweł Pawlukiewicz

Radca Prawny/Attorney at Law, CLO

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Theme developed by TouchSize - Premium WordPress Themes and Websites