Wielkość tekstu
Kontrast serwisu

Rejestracja zbiorów danych osobowych w GIODO krok po kroku


Firmy, które rozpoczynają swoją działalność na terytorium Polski, z pewnością nie mają łatwego startu jeśli chodzi o mnogość przepisów, które regulują w sposób bezpośredni, a także pośredni zagadnienia związane z prowadzeniem działalności gospodarczej. Poza wymogami wiążącymi się z uzyskaniem obligatoryjnych wpisów w takich instytucjach jak GUS, Urząd Skarbowy czy ZUS, a w co poniektórych przypadkach zdobycie odpowiednich koncesji wydawanych przez różne organy państwowe lub samorządowe, istnieje również konieczność zgłoszenia zbiorów danych osobowych do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Obowiązek ten pojawił się wraz z ustawą o ochronie danych osobowych (dalej zwaną UODO), która obowiązuje w Polsce od 1997 r.

Poniżej przedstawiam jak przejść przez żmudny i niekiedy dość trudny proces rejestracji zbioru danych osobowych w GIODO.

Czy należy rejestrować zbiór?

Niestety ku niepocieszeniu przedsiębiorców, obowiązek rejestracji został wprost wpisany do UODO, a dokładnie w art. 40 tej ustawy, który mówi, że administrator danych (przyjmijmy na potrzeby niniejszego artykułu, że chodzi tu o przedsiębiorcę, który jest „właścicielem” danych osobowych; a ściśle to „właścicielem zbioru danych osobowych, gdyż poszczególne dane osobowe są dobrami osobistymi tych osób) jest obowiązany zgłosić zbiór danych do rejestracji GIODO, chyba że zachodzi jeden z wyjątków przewidzianych w UODO (przykładem takiego wyjątku mogą być dane przetwarzane w celu zatrudnienia pracownika u administratora danych). Wyjątki te określa art. 43 ust. 1 UODO, zatem to właśnie z tym przepisem powinien zaznajomić się przedsiębiorca, aby mieć pewność czy musi występować do GIODO czy też nie.

W tym miejscu należy również podkreślić, że przedsiębiorcy mogą rozpocząć przetwarzanie danych osobowych zawartych w zbiorze danych dopiero po zgłoszeniu tegoż zbioru do GIODO. Natomiast jeśli firma ma zamiar przetwarzać tzw. dane wrażliwe (np. informacje o stanie zdrowia, przekonaniach religijnych) to, aby robić to w sposób legalny, musi zaczekać aż zgłoszony zbiór zostanie zarejestrowany, co trwa zwykle do kilku tygodni (a czasami nawet miesięcy).

Zanim zarejestrujesz wniosek

Gdyby obowiązek rejestracyjny zbiorów w GIODO ograniczał się tylko do wypełnienia odpowiedniego wniosku (dostępnego na stronie internetowej ww. Urzędu: http://egiodo.giodo.gov.pl) prawdopodobnie cała procedura rejestracyjna nie byłaby taka skomplikowana – jednak rzeczywistość okazuje się zupełnie inna, co przysparza przedsiębiorcom wiele trudności. Cały problem polega na tym, że ostateczne złożenie wniosku w GIODO powinno być swoistym ukoronowaniem szeregu mniej lub bardziej skomplikowanych czynności, których należy się podjąć, gdyż są one niezbędne w świetle UODO. Poniżej przedstawiam listę tychże czynności:
- zebranie danych w zgodzie z którąś z przesłanek określonych w art. 23 ust. 1 UODO (w przypadku danych wrażliwych będzie to art. 27 ust. 2 UODO)
- dopełnienie obowiązków informacyjnych (art. 24 i 25 UODO)
- podjęcie środków technicznych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36 ust. 1 UODO oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych)
- podjęcie środków organizacyjnych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36, art. 37, art. 38, art. 39 oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych)
- zadbanie o legalne powierzenie przetwarzania danych osobowych, jeżeli firma ma zamiar wykorzystywać w procesie przetwarzania danych także inne firmy (np. w przypadku hostingu, biura rachunkowego, call center)
- udostępniać dane osobowe zgodnie z wymogami UODO.

W niniejszym artykule skupię się tylko na samym wniosku rejestracyjnym, ponieważ zabrakło by miejsca, aby opisać każdą z ww. czynności w sposób wyczerpujący.

Wniosek rejestracyjny, co z czym i po co?

Przystępując do wypełnienia nowego wniosku, musimy już na samym początku określić czy będziemy rejestrować nowy zbiór, w którym przetwarzać będziemy tylko dane zwykłe (zgłoszenie na podstawie art. 40 UODO) czy też wrażliwe (zgłoszenie danych przetwarzanych na podstawie jednej z przesłanek wskazanych w art. 27 UODO). W przypadku, kiedy nasze zgłoszenie ma na celu dokonanie aktualizacji istniejącego już zbioru, należy zaznaczyć opcję nr 2, gdzie mowa jest o aktualizacji z art. 41 ust. 2 UODO.

Następnym krokiem jest nazwanie zgłaszanego zbioru np. baza marketingowa, newsletter, etc. Dalej wskazujemy administratora danych, a więc przedsiębiorcę prowadzącego zbiór, który dokonuje zgłoszenia. W tym miejscu należy określić jej nazwę, adres siedziby oraz podać nr REGON. Część B (pytanie nr 2) wypełniana jest tylko wtedy, gdy mamy do czynienia z przedstawicielstwem firmy mającej siedzibę za granicą, a ściślej w tzw. państwie trzecim, czyli państwie, które nie należy do Europejskiego Obszaru Gospodarczego.

Kolejnym zagadnieniem, do którego należy się ustosunkować jest określenie czy powierzamy dane z rejestrowanego zbioru danych innym podmiotom Jeśli tak, to wpisujemy ich nazwy oraz adres siedziby.

Ostatnie już pytanie w tej części wniosku (część B) jest niejako pozostawione na deser, ponieważ jest jednym z najważniejszych w całym wniosku rejestracyjnym. Dokładnie w tym miejscu należy wskazać przesłankę (podstawę), zgodnie z którą przetwarzamy dane osobowe z rejestrowanego zbioru. Należy podkreślić, że każda przesłanka ma charakter w pełni autonomiczny i samodzielny. Wystarczy zatem, że firma wskaże przynajmniej jedną z nich, aby mogła w sposób zgodny z obowiązującym prawem przetwarzać dane osobowe dla potrzeb i w zakresie wynikającym z tego tytułu

Czas teraz na część C wniosku. W pierwszym pytaniu należy określić cel, dla którego przetwarzane będą dane osobowe. Jednym z celów jest np. wysyłka firmowego newslettera czy też obsługa reklamacji. Kiedy już wskażemy cel przetwarzania danych osobowych, musimy przystąpić do określenia osób, których dane przetwarzamy. Jednak tu trzeba określić krąg osób których dane są przetwarzane w sposób właściwy dla każdego z tytułów przetwarzania, że w tym miejscu napiszemy np. klienci, dłużnicy, osoby składające reklamację etc. W kolejnym punkcie określamy jakie dane będą przetwarzane w obrębie zgłaszanego zbioru. Część danych jest zasugerowana w formularzu, jeśli jednak ich nie ma, możemy oczywiście dopisać je samodzielnie. Często należy wpisać adres e-mail, numer IP, które mogą być uznane jako dana osobowa.

Dwa ostatnie pytania w części C wniosku rejestracyjnego, dotyczą danych wrażliwych. W pierwszym pytaniu należy wskazać jakie dane będą przetwarzane w ramach zgłaszanego zbioru. Przykładem może być informacja o nałogach pracownika albo stanie zdrowa. Jeśli jednak nasza firma takich danych nie przetwarza, należy zostawić te pola puste (podobnie jak następne, w którym wskazuje się przesłankę legalizującą przetwarzanie danych wrażliwych).

Kolejna część wniosku za nami, przejdźmy zatem do części D. Zaczynamy od pytania, w którym przedstawiamy w jaki sposób zbieramy dane. Możemy wybrać spośród dwóch odpowiedzi, a więc czy zbieramy dane bezpośrednio od osoby, której dane dotyczą (taka sytuacja ma miejsce np. w przypadku strony umowy albo osoby rejestrującej się na stronie internetowej) lub też z innego źródła (np. z zakupionej legalnie bazy danych). Gdy już wskazaliśmy sposób pozyskiwania danych, jesteśmy pytani o to, czy udostępniamy je innym podmiotom niż tzw. podmioty uprawnione. Innym podmiotem może być firma, z którą administrator danych współpracuje, przy czym należy pamiętać o tym, by takie udostępnianie odbywało się w sposób legalny. Jeśli dane osobowe będziemy udostępniać, to w następnym pytaniu należy wskazać podmioty, którym dane będziemy udostępniać. Należy w tym miejscu wpisać nazwę i siedzibę firmy, ew. podać kategorie tych podmiotów np. partnerzy biznesowi. Ostatnie pytanie w tej części wniosku dotyczy sytuacji, w której administrator danych przekazuje dane z rejestrowanego zbioru do państw trzecich. Jeżeli takie przekazywanie ma miejsce, to wpisujemy tu nazwy tych państw. Należy jednak pamiętać o tym, że UODO przewiduje szereg obostrzeń związanych z transferem danych za granicę.

Część E wniosku rejestracyjnego została poświęcona zabezpieczeniom stosowanym przez administratora danych osobowych – a więc naszą firmę. Na początek należy wskazać czy dane przetwarzane są centralnie (upraszczając: w jednym miejscu np. w siedzibie firmy) czy w tzw. architekturze rozproszonej (np. firma ma kilka lokalizacji, a dodatkowo dane są powierzone do przetwarzania innym podmiotom).

Następnie musimy zaznaczyć, czy dane przetwarzane będą wyłącznie w wersji papierowej, czy też przy wykorzystaniu systemów informatycznych. Pierwsza sekcja z części E kończy się pytaniem czy komputer służący do przetwarzania danych połączony jest z Internetem. Po odznaczeniu powyższych informacji przechodzimy do wskazania konkretnych zabezpieczeń jakie stosuje firma zgłaszająca zbiór.

Zabezpieczenia podzielone są na kilka rodzajów – od typowo fizycznych (np. monitoring wizyjny, dozór zlecony wyspecjalizowanym firmom), poprzez środki sprzętowe (np. przypisanie komputerów do konkretnych osób, hasła i loginy, automatyczne wyłącznie sprzętu), regulacje służące do ochrony baz danych (np. stosowanie różnych poziomów uprawnień, kwestie związane z uwierzytelnianiem), a skończywszy na opisie środków organizacyjnych (np. przeszkolenie personelu, , danych osobowych, wdrożenie regulaminów). Jeszcze przed wypełnieniem tej części należy również wskazać, czy został powołany administrator bezpieczeństwa informacji tzw. ABI, czyli osoba odpowiedzialna za nadzór nad bezpieczeństwem danych osobowych, przy czym funkcję tę może pełnić pracownik administratora danych albo inna osoba np. z firmy zewnętrznej, a także czy wdrożono dokumenty – m.in. politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.

Przed nami już ostatnia część wniosku rejestracyjnego – część F. Znajduje się tam tylko jedno pytanie, a mianowicie administrator danych proszony jest o wskazanie poziomu stosowanych zabezpieczeń. Zgodnie z wcześniej przywoływanym rozporządzeniem istnieją trzy poziomy: podstawowy, podwyższony i wysoki (wystarczy należy wybrać jeden). Tym co decyduje o tym, jakie zabezpieczenia musi zastosować firma, wynika właśnie z ww. poziomów, które z kolei powiązane są m.in. z tym jakie dane przetwarza administrator danych, a także czy system informatyczny połączony jest z Internetem.

Po wypełnieniu wniosku należy go wysłać do GIODO. Co do zasady należy zrobić to w sposób tradycyjny (za pośrednictwem poczty listem poleconym, w celu otrzymania dowodu nadania albo osobiście w biurze GIODO wraz z egzemplarzem do otrzymania prezentaty). Natomiast jeśli przedsiębiorca posiada kwalifikowany certyfikat (podpis elektroniczny), może to również uczynić przez Internet.

Autor: Michał Sztąberek

Może zaoszczędzimy Ci czasu? Może podejmiesz szybciej lepszą decyzję?
przekaż darowiznę Pomóż młodym mikro firmom.

6% od dochodu - odlicza płatnik podatku od osób fizycznych
10% od dochodu - odlicza płatnik podatku od osób prawnych
Dlaczego warto?
Dowód wpłaty jest dokumentem uprawniającym do odliczeń w rocznym zeznaniu podatkowym (podstawa - Ustawa o PIT)

 
 

Pomóż Nam Działać Szybciej. Jeśli nie My razem, to kto? Bo kiedy, jeśli nie teraz?

Serwis Mikroporady.pl od ponad 2 lat cotygodniowo wysyła 2 biuletyny aktualizacyjne z nowymi wzorami dokumentów i poradami do 60.000 zarejestrowanych użytkowników

Przekaż ico-1procent Podatku PIT

KRS: 0000318482 - Wpisz w Deklaracji

Dlaczego warto?

przekaż darowiznę

• do 6% dochodu - osoby fizyczne
• do 10% dochodu - osoby prawne

Przekaż darowiznę on-line:

dalej
Wypełnienie pól oznaczonych gwiazdką (*) jest obowiązkowe.
 

Zapisz się na Biuletyn

Co tydzień bezpłatny Biuletyn Aktualizacyjny z nowymi wzorami dokumentów, instrukcjami, poradami, przygotowywanymi przez zespół prawników z aktualnym stanem prawnym.

Fundacja Akademia Liderów i Mikroporady ® udzielają pomocy mikro firmom bezpłatnie i bez ograniczeń.
Nie wyświetlamy żadnych reklam, nie pobieramy opłat od użytkowników, nie udostępniamy pozostawionych danych.