Wielkość tekstu
Kontrast serwisu

Mikroporady są czymś wyjątkowym. Są jak poradniki na półce każdego polskiego mikro przedsiębiorcy. W świecie Internetu są małym zakamarkiem praktycznej wiedzy, w którym można znaleźć prawie wszystko o prowadzeniu małej firmy.

Aby chronić naszą niezależność, nigdy nie publikowaliśmy i nie będziemy publikować reklam. Utrzymujemy się z darowizn o średniej wysokości 20 zł, w tym także z wpłat z 1% Podatku.

Proszę, pomóż nam zbierać pieniądze i ulepszać Mikroporady. Czytaj więcej...

Jak sporządzić/wypełnić druk zgłoszeniowy zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych

Pytanie z dnia 1 marca 2018

Pytanie: Jak sporządzić/wypełnić druk zgłoszeniowy zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

Zgodnie z art. 40 ustawy o ochronie danych osobowych (UODO) administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 i 1a.

Podkreślenia wymaga, że przedsiębiorcy mogą rozpocząć przetwarzanie danych osobowych zawartych w zbiorze danych dopiero po zgłoszeniu zbioru do GIODO. Natomiast w przypadku jeżeli przedsiębiorca ma zamiar przetwarzać tzw. dane wrażliwe (np. informacje o stanie zdrowia, przekonaniach religijnych) to, musi zaczekać aż zgłoszony zbiór zostanie zarejestrowany, co trwa zwykle do kilku tygodni.

Obowiązek rejestracyjny zbiorów w GIODO nie ogranicza się tylko do wypełnienia odpowiedniego wniosku (dostępnego na stronie internetowej: https://www.biznes.gov.pl/opisy-procedur/-/proc/1566-zgloszenie-zbioru-danych-osobowych-do-giodo). Oprócz wypełnienia wniosku należy dokonać innych czynności takich jak:

  • Zebranie/pozyskiwanie danych w zgodzie z którąś z przesłanek określonych w art. 23 ust. 1 UODO (w przypadku danych wrażliwych będzie to art. 27 ust. 2 UODO);
  • dopełnienie obowiązków informacyjnych (art. 24 i 25 UODO);
  • podjęcie środków technicznych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36 ust. 1 UODO oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych);
  • podjęcie środków organizacyjnych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36, art. 37, art. 38, art. 39 oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych);
  • zadbanie o legalne powierzenie przetwarzania danych osobowych, jeżeli firma ma zamiar wykorzystywać w procesie przetwarzania danych także usługodawców lub inne firmy (np. biura rachunkowego, call center);
  • udostępniać dane osobowe zgodnie z wymogami UODO.

Wniosek rejestracyjny.

Zgodnie z art. 41 ust. 1 UODO, zgłoszenie zbioru danych do rejestracji powinno zawierać:

  1. wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych;
  2. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania;
  3. cel przetwarzania danych;
    1. opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych;
  4. sposób zbierania oraz udostępniania danych;
    1.  informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane;
  5. opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39;
  6. informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a;
  7. informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

 

Część A. Wniosek

Przystępując do wypełnienia wniosku, należy określić czy będziemy rejestrować:

  • nowy zbiór, w którym przetwarzać będziemy tylko dane zwykłe (zgłoszenie na podstawie art. 40 UODO)
  • dokonywać aktualizacji istniejącego już zbioru, (zgłoszenie na podstawie art. 41 ust. 2 UODO).
  • dane wrażliwe (zgłoszenie na podstawie art. 27 UODO).

Część B. Charakterystyka administratora danych

W części B wskazujemy nazwę zgłaszanego zbioru np. baza marketingowa, newsletter, etc. Dalej wskazujemy administratora danych, czyli przedsiębiorcę prowadzącego zbiór, który dokonuje zgłoszenia oraz podajemy nazwę, adres siedziby i nr REGON.

Pytanie nr 2 - wypełniana jest tylko wtedy, gdy mamy do czynienia z przedstawicielstwem firmy mającej siedzibę za granicą, a dokładnie państwie, które nie należy do Europejskiego Obszaru Gospodarczego.

Kolejnym zagadnieniem, do którego należy się ustosunkować jest określenie czy powierzamy dane z rejestrowanego zbioru danych innym podmiotom Jeśli tak, to wpisujemy ich nazwy oraz adres siedziby.

Następnie wskazujemy podstawę prawną, zgodnie z którą przetwarzamy dane osobowe z rejestrowanego zbioru. Wystarczy, że przedsiębiorca wskaże przynajmniej jedną podstawę prawną, aby mógł w sposób zgodny z obowiązującym prawem przetwarzać dane osobowe dla potrzeb i w zakresie wynikającym z tego tytułu.

Część C. Cel przetwarzania danych, opis kategorii osób, których dane dotyczą, oraz zakres

przetwarzanych danych

W części C należy określić cel, dla którego przetwarzane będą dane osobowe. Następnie określamy osoby, których dane przetwarzamy tj. krąg osób których dane są przetwarzane w sposób właściwy dla każdego z tytułów przetwarzania, np. klienci. Dalej określamy jakie dane będą przetwarzane w obrębie zgłaszanego zbioru. Jeżeli jakiś danych nie ma wymienionych na formularzu to można dopisać je samodzielnie. Oprócz w/w danych należy również wskazać podstawę prawną przetwarzania danych.

Część D. Sposób zbierania oraz udostępniania danych

W części D określamy sposób zbierania danych, który wybieramy spośród dwóch odpowiedzi tj. czy zbieramy dane bezpośrednio od osoby, której dane dotyczą (np. rejestracja się na stronie internetowej) lub też z innego źródła (np. z zakupionej legalnie bazy danych). Następnie wskazujemy, czy udostępniamy dane innym podmiotom niż tzw. podmioty uprawnione. Jeżeli tak to,  należy wskazać podmioty, którym dane będziemy udostępniać. Należy w tym miejscu wpisać nazwę i siedzibę firmy, ew. podać kategorie tych podmiotów. W przypadku przekazywania danych do państw trzecich, należy podać nazwę państw.

Część E. Opis środków technicznych i organizacyjnych zastosowanych w celach określonych

w art. 36—39 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

W części E wskazujemy czy dane przetwarzane są np. centralnie tj. w siedzibie firmy, czy w tzw. architekturze rozproszonej tj. firma ma kilka lokalizacji.

Następnie wskazujemy, czy dane przetwarzane będą wyłącznie w wersji papierowej, czy też przy wykorzystaniu systemów informatycznych. Dalej wskazujemy konkretne zabezpieczenia jakie stosuje przedsiębiorca zgłaszający zbiór.

Ponadto należy również wskazać, czy został powołany administrator bezpieczeństwa informacji tzw. ABI, czyli osoba odpowiedzialna za nadzór nad bezpieczeństwem danych osobowych oraz czy wdrożono dokumenty – m.in. politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.

Część F. Informacja o sposobie wypełnienia warunków technicznych i organizacyjnych, o których mowa w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

W części F wskazujemy poziom stosowanych zabezpieczeń. Zgodnie z wcześniej przywoływanym rozporządzeniem istnieją trzy poziomy: podstawowy, podwyższony i wysoki. Tym co decyduje o tym, jakie zabezpieczenia musi zastosować firma, wynika właśnie z ww. poziomów, które z kolei powiązane są m.in. z tym jakie dane przetwarza administrator danych, a także czy system informatyczny połączony jest z Internetem.

Po wypełnieniu wniosku należy go wysłać do GIODO. Co do zasady należy to zrobić za pośrednictwem poczty listem poleconym, w celu otrzymania dowodu nadania albo osobiście w biurze GIODO wraz z egzemplarzem do otrzymania prezentaty. Natomiast jeśli przedsiębiorca posiada kwalifikowany certyfikat czyli bezpieczny podpis elektroniczny, może to również uczynić przez Internet.

Istotną kwestią o jakiej należy pamiętać jest to, że w związku z przygotowywaniem przez Biuro GIODO systemów informatycznych do nowych obowiązków nałożonych na Generalnego Inspektora Ochrony Danych Osobowych z dniem 25 maja 2018 roku przez Parlament Europejski i Rady (UE) Rozporządzeniem 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE od dnia 1 stycznia 2018 roku nie jest już możliwe rejestrowanie zbiorów danych osobowych poprzez stronę internetową www.egiodo.giodo.gov.pl. Do dnia 25 maja 2018 zbiory danych osobowych będzie można rejestrować pod adresem https://www.biznes.gov.pl.  Natomiast po 25 maja 2018 roku obowiązek odrębnej rejestracji zbiorów danych osobowych zostaje zniesiony.

Podstawa prawna:

  1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2016 poz. 922);
  2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024);
  3. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. 2008 nr 229 poz. 1536);
  4. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – stosowane od dnia 25 maja 2018 r.

WYŚLIJ ZAPYTANIE

Zarządzający i prowadzący Mikroporady nie odpowiadają za opinie i poglądy autorów
Może zaoszczędzimy Ci czasu? Może podejmiesz szybciej lepszą decyzję?
 

Porady i wzory dokumentów przygotowane przez zespół prawników w ramach nieodpłatnej
działalności pożytku publicznego Fundacji Akademii Liderów podlegają ochronie prawa autorskiego.

 

Odpowiedzi na porady prawne są przygotowywane zgodnie z obowiązującym stanem prawnym przez zespół prawników Kancelarii Juris

 

Pomóż Nam Działać Szybciej. Jeśli nie My razem, to kto? Bo kiedy, jeśli nie teraz?

Serwis Mikroporady.pl od ponad 2 lat cotygodniowo wysyła 2 biuletyny aktualizacyjne z nowymi wzorami dokumentów i poradami do 60.000 zarejestrowanych użytkowników

Przekaż ico-1procent Podatku PIT

KRS: 0000318482 - Wpisz w Deklaracji

Dlaczego warto?

wpłać darowiznę

Odlicz Darowiznę od Dochodu: • do 6% dochodu - osoby fizyczne
• do 10% dochodu - osoby prawne



Wspieraj Mikroporady.pl

Najmniejsze i rodzinne Firmy są najważniejszym „nerwem” naszej gospodarki a mają ograniczony dostęp do fachowej pomocy. My to zmieniamy - przygotowujemy dla nich kompleksowe wsparcie – wzory umów z orzecznictwem i komentarzami, porady, instrukcje,regulaminy, kazusy. W odpowiedzi na przesyłane pytania udzielamy dodatkowych porad, wyjaśnień i interpretacji.

Bez ograniczeń i bezpłatnie, bo chcemy żyć w świecie, gdzie solidarnie wspiera się słabszych. Jest to możliwe dzięki zaangażowaniu ludzi takich jak Ty. Liczy się każda pomoc, jednorazowa wpłata lub comiesięczna.

dalej
 
x

Jeśli czytasz teraz nasze Porady i pomagają, wspomóż nas darowizną 30 zł.