Jak zgłosić zbiór danych osobowych do rejestracji GIODO?

Jakiś czas temu na naszym blogu pojawiła się seria wpisów traktujących m.in. o GIODO i administrowaniu danych. Dokładnie omówiliśmy wtedy pojęcie administratora danych oraz co wynika z faktu posiadania takiego statusu.

A wynikają oczywiście… przede wszystkim obowiązki – wśród nich obowiązek zgłaszania zbiorów danych osobowych do ogólnokrajowego, jawnego rejestru prowadzonego przez GIODO. Dziś opiszemy więc, jak przebiega taki proces i jak należy go prawidłowo przeprowadzić.

 

Zgodnie z ustawą o ochronie danych osobowych (dalej określanej jako „ustawa”), co do zasady dopiero od chwili takiego zgłoszenia można przetwarzać dane osobowe wchodzące w zakres zbioru.

 

Kto powinien rejestrować zbiory danych?

Powinien to zrobić każdy administrator danych, czyli np. spółka, przedsiębiorca jednoosobowy, fundacja, stowarzyszenie, organ państwowy, samorządowy lub jakikolwiek inny podmiot, który decyduje o celach i środkach przetwarzania danych osobowych. W tym miejscu należy podkreślić, że przetwarzanie danych jest bardzo szerokim pojęciem, obejmującym jakiekolwiek operacje na danych – w tym też samo gromadzenie danych, ich przechowywanie lub usuwanie.

Pamiętajmy także, że z obowiązku tego nie zwalnia nas również fakt zlecenia przetwarzania danych innej firmie.

 

A kto rejestrować zbiorów nie musi?

Zamknięty katalog wyjątków od obowiązku rejestracji wskazany jest w art. 43 ust. 1 i 1 a ustawy. Zgłoszeń nie muszą dokonywać m.in. administratorzy danych:

  • aktualnych i byłych pracowników, kandydatów do pracy, uczniów oraz osób współpracujących na zasadzie zlecenia lub umów o dzieło.
  • dotyczących osób korzystających z ich usług medycznych, obsługi prawnej lub biegłego rewidenta.
  • przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej.
  • przetwarzanych w zbiorach papierowych (chyba, że chodzi o dane wrażliwe, np. o stanie zdrowia, poglądach politycznych, pochodzeniu etnicznym).
  • którzy powołali i zgłosili do GIODO administratora bezpieczeństwa informacji (ABI).
  • powszechnie dostępnych (nie trzeba zatem zgłaszać np. danych znajdujących się w księgach udziałów i księgach akcyjnych spółek).
  • przetwarzanych w zakresie drobnych bieżących spraw życia codziennego (np. dane osób, z którymi należy kontaktować się w bieżących sprawach firmy, dane zawarte w rejestrze jednorazowych przepustek na teren określonego obiektu).

Jeżeli jednak dane zawarte w zbiorze przetwarzane są jednocześnie również w innych niż wskazanych wyżej celach (np. przetwarzanie danych klientów w celach rozliczeniowych i jednocześnie marketingowych), to należy dokonać zgłoszenia do bazy GIODO.

 

Zwolnienie z obowiązku rejestracji zbioru nie zwalnia nas też oczywiście z przestrzegania pozostałych, opisanych w ustawie zasad przetwarzania danych osobowych.

 

Co zgłaszać?

Wciąż piszemy o zgłoszeniach… Ale czy wszyscy wiemy tak naprawdę co należy zgłosić?

Zgłoszeniu podlega zbiór danych – czyli zestaw danych uporządkowanych według określonego kryterium, które umożliwia odnalezienie konkretnych danych w zestawie. Takim kryterium może być np. imię i nazwisko, data urodzenia, data wprowadzenia danych do zbioru, numer referencyjny czy liczba porządkowa danego rekordu.

Nie zgłaszamy zatem samych „luźnych” danych niezorganizowanych w żaden sposób – ale na nic zdadzą się zabiegi mające na celu uniknięcie zgłoszenia, polegające na dekoncentracji (czyli rozproszeniu) danych. Należy zgłosić KAŻDY zbiór, nawet gdy nie jest on przechowywany w jednym miejscu, a został rozproszony na odrębnych nośnikach lub podzielony funkcjonalnie.

Ustawa nie wprowadza również żadnego limitu ilościowego danych, które przesądzają o istnieniu zbioru. Teoretycznie może to być zatem nawet zestaw zawierający jeden rekord danych.

Co może być osobnym zbiorem? To np. dane osobowe zawarte w umowach sprzedaży, dane zawarte w programach służących do prowadzenia spraw księgowych czy baza dłużników firmy.

Zgłoszeniu podlega zbiór jako taki, tj. fakt jego prowadzenia i ogólne zasady funkcjonowania. Nie przesyłamy GIODO samej zawartości zbioru ani nie zgłaszamy konkretnych czynności przetwarzania (oznacza to jednak, że zgłaszać trzeba nawet zbiory danych, które jedynie przechowujemy, a nie korzystamy z nich „aktywnie” w bieżącej działalności!).

Co do zasady, zgłaszamy jedynie zbiory prowadzone w systemach informatycznych, a zbiory prowadzone w formie pisemnej (papierowej) jedynie wtedy, gdy zawierają one dane wrażliwe.

 

Kiedy zgłaszać?

Zgłoszenia powinniśmy dokonać przed rozpoczęciem przetwarzania danych, a zatem już przed samym pozyskaniem pierwszych danych do zbioru. W zgłoszeniu wskażemy zakres danych osobowych przetwarzanych w zbiorze (który wszak nie zawiera jeszcze żadnych danych), podając kategorie osób, których dane dotyczą.

 

Gdzie zgłaszać?

Najprostszym sposobem dokonania zgłoszenia jest wypełnienie formularza dostępnego na platformie e-giodo i:

  1. przesłanie papierowej wersji zgłoszenia pocztą na adres GIODO (ul. Stawki 2, 00-193 Warszawa);
  2. złożenie go osobiście w Biurze GIODO (pod tym samym adresem).

Jeżeli dysponujecie kwalifikowanym podpisem elektronicznym albo elektronicznym podpisem potwierdzonym profilem zaufanym ePUAP, zgłoszenia można w całości dokonać drogą elektroniczną – bez konieczności uzupełniania go formą papierową.

 

Giodo-GetResponse

 

Jak wypełnić zgłoszenie do GIODO?

Zgłoszenia dokonuje się na formularzu, którego wzór znaleźć można tutaj

A teraz kilka słów na temat poszczególnych części zgłoszenia:

W pierwszej kolejności należy zaznaczyć odpowiednie pole wskazujące czego dotyczy zgłoszenie:

  • nowego zbioru (a jeżeli zbiór zawiera dane wrażliwe – wskazane w punkcie 9 wzoru, zakreślacie osobne – trzecie pole)

lub

  • zmian dotyczących zbioru już zgłoszonego.

 

 

Część A

Na samym wstępie w części A wniosku wpisujecie określoną przez Was  nazwę zbioru podlegającego zgłoszeniu, np. „firma X klienci”; „subskrybenci newslettera xyz”; „uczestnicy konkursu xyz”, „firma X rejestr korespondencji”.

Pamiętajcie o zasadzie: jeden formularz = jeden zbiór. Jeżeli dane określonej grupy osób przetwarzane są w różnych celach, do których wykorzystujecie różne kategorie danych, stanowią one osobne zbiory, które powinny podlegać oddzielnym zgłoszeniom.

 

W części B podajecie:

  1. Dane zgłaszającego – czyli Waszą nazwę (lub imię i nazwisko – w przypadku osób fizycznych) wraz z adresem siedziby (lub miejsca zamieszkania), a także – jeżeli został nadany – numer REGON.
  2. Jeżeli nie macie siedziby lub miejsca zamieszkania na terenie państwa należącego do Europejskiego Obszaru Gospodarczego (UE + Islandia, Liechtenstein i Norwegia) – dane Waszego przedstawiciela w Polsce.
  3. Informację o dokonanym lub planowanym powierzeniu przetwarzania danych wraz z danymi podmiotu, któremu przetwarzanie powierzono – np. w sytuacji przechowywania administrowanych przez Was danych na serwerach należących do firmy zewnętrznej, przekazania danych Waszych klientów agencji reklamowej w celu prowadzenia akcji promocyjnych, outsourcingu działań windykacyjnych.
  4. Podstawę prawną przetwarzania danych. I tak dla przykładu:
  • w przypadku danych odbiorców Waszego newslettera może być to zgoda osoby, której dane dotyczą (wyrażona np. przez zaznaczenie odpowiedniego checkboxa);
  • dane Waszych klientów mogą być natomiast przetwarzane dla potrzeb realizacji zawartych z nimi umów.

 

Część C:

  1. Cel przetwarzania – czyli po prostu do czego dane są Wam potrzebne. Może to być np.: „realizacja usługi xyz”, „wysyłka newsletterów”, „prowadzenie bazy umów”, „prowadzenie działań windykacyjnych”.
  2. Kategorie osób, których dane dotyczą –np.: „klienci”, „subskrybenci”, „dłużnicy”.
  3. Zakres – zaznaczacie odpowiednie pola wskazujące jakiego rodzaju dane będziecie przetwarzać. Jeżeli przetwarzane przez Was dane nie znajdują się na liście w tym punkcie, przechodzicie dalej.
  4. Tutaj należy dopisać wszystkie dane należące do zbioru, które nie zostały wylistowane w punkcie 7, np. adres e-mail.
  5. Jeżeli przetwarzacie tzw. „dane wrażliwe” – należy zaznaczyć odpowiednie pola wskazujące rodzaj tych danych.
  6. Oraz podstawę prawną przetwarzania tej szczególnej kategorii danych (pamiętajcie, że musi ona wynikać wprost z zamkniętego katalogu wskazanego w art. 27 ust. 2 ustawy).

 

W części D należy wskazać:

  1. Źródło pochodzenia danych (czy są to bezpośrednio osoby, których dane dotyczą, inne źródła czy też obie możliwości – wówczas zaznaczyć należy oba pola).
  2. Czy dane będą udostępniane innym podmiotom niż upoważnione na podstawie przepisów prawa.
  3. Odbiorców lub kategorie odbiorców danych – czyli podmioty, którym udostępniane będą dane należące do zbioru z wyjątkiem osób, których dane dotyczą, osób upoważnionych do przetwarzania danych oraz organów państwowych i samorządowych. Odbiorcami nie są także Wasi przedstawiciele wymienieni w punkcie 2, ani podmioty przetwarzające dane na zasadzie powierzenia wskazane w punkcie 3 zgłoszenia.
  4. Informacje o możliwości przekazania danych do państwa trzeciego (czyli poza Europejskim Obszarem Gospodarczym).

 

Sporo trudności sprawia zazwyczaj część E zgłoszenia, w której wskazać należy opis technicznych i organizacyjnych środków zabezpieczenia danych. Szczegółowo kwestie te reguluje rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.

 

Poniżej przedstawiamy kilka podpowiedzi jak wypełnić tę część:

W punkcie 15:

  1. Jeżeli części zgłaszanego zbioru nie są umiejscowione w jednej lokalizacji (np. w tym samym budynku), a znajdują się w różnych miejscach lub na różnych nośnikach, zaznaczacie, że zbiór prowadzony jest w architekturze rozproszonej. Przykładem takiego zbioru może być zestaw danych klientów administratora przetwarzanych zarówno w centrali, jak i w jego oddziałach terenowych, przechowywanie danych na kilku różnych serwerach znajdujących się w różnych budynkach. Jeżeli Wasz zbiór prowadzony jest w jednej lokalizacji, zaznaczacie, że jest on prowadzony centralnie.
  2. Wskazanie, czy zbiór prowadzony jest wyłącznie w postaci papierowej (czyli – spotykane coraz rzadziej – kartoteki, księgi, wykazy itp.), czy z użyciem systemu informatycznego.
  3. Wybór pola określającego czy system informatyczny, w którym przetwarzany jest zbiór jest połączony z siecią publiczną (np. Internetem), czy też nie.

 

Punkt 16 zgłoszenia dotyczy ciążących na każdym administratorze obowiązków zapewnienia odpowiednich środków organizacyjnych przetwarzania danych. I tak:

Należy wybrać jedną z dwóch opcji – bądź fakt wyznaczenia ABI (co będzie miało miejsce w przypadku administratorów danych nie będących osobami fizycznymi – może to np. być pracownik spółki), bądź samodzielne pełnienie roli ABI przez administratora danych (połączenie tych ról możliwe jest jedynie w przypadku administratorów danych będącymi osobami fizycznymi).

 

b-c) jeżeli w ramach Waszej organizacji dane osobowe przetwarzane są przez różne osoby – należy zadbać o nadanie odpowiednich upoważnień, prowadzenie ewidencji tych osób, i w konsekwencji potwierdzenie tego faktu w zgłoszeniu.

d-e) oba wskazane tu dokumenty stanowią minimum dokumentacji dotyczącej przetwarzania danych osobowych jaką obowiązany jest prowadzić każdy administrator i potwierdzenie realizacji tego obowiązku również należy zaznaczyć w zgłoszeniu (bez konieczności przesyłania samych dokumentów). Oczywiście instrukcji zarządzania systemem informatycznym nie muszą wdrażać administratorzy zbiorów przetwarzanych wyłącznie w postaci papierowej.

f) W tym punkcie należy wskazać – już w sposób opisowy – dodatkowe środki bezpieczeństwa danych zastosowane w Waszej organizacji, takie jak:

  • środki ochrony fizycznej danych (np. zabezpieczenia pomieszczeń, dostępu do budynku, monitoring),
  • środki dotyczące sprzętu i infrastruktury telekomunikacyjnej oraz wykorzystywanych systemów informatycznych (np. określenie standardu wykorzystywanego sprzętu, zasad szyfrowania w procesie przetwarzania danych, zastosowanie systemów mających na celu przeciwdziałanie zniszczeniu lub nieuprawnionemu dostępowi do danych, ograniczenia dostępu do danych poprzez stosowanie identyfikatorów oraz haseł dostępów),
  • środki organizacyjne (np. periodyczne szkolenia pracowników z zakresu ochrony danych, przechowywanie kopii zapasowych danych na odrębnych nośnikach i w innym miejscu niż baza „podstawowa”).

 

Ostatnia część zgłoszenia

Ostania część zgłoszenia (F) dotyczy wyłącznie zbiorów prowadzonych w systemach informatycznych i zawiera tylko jeden element (punkt 17 zgłoszenia), odnoszący się do poziomu zastosowanych środków bezpieczeństwa:

  1. Poziom podstawowy – można go zaznaczyć jedynie jeżeli nie przetwarzacie danych wrażliwych, a żadne z urządzeń systemu służącego do przetwarzania danych nie jest połączone z siecią publiczną.
  2. Poziom podwyższony – dotyczy sytuacji przetwarzania danych szczególnie chronionych, ale nadal bez połączenia z siecią publiczną.
  3. Poziom wysoki – obejmuje przetwarzanie każdego rodzaju danych, jeżeli choć jeden z elementów systemu ma połączenie z siecią publiczną (czyli jeżeli w punkcie 15c zaznaczyliście pole wskazujące na użycie systemu połączonego np. z Internetem, od razu wiadomo, że obowiązuje Was podwyższony poziom środków bezpieczeństwa).

W praktyce, to właśnie ten ostatni – wysoki – poziom środków bezpieczeństwa będzie występował najczęściej, z racji rosnącego wpływu metod przetwarzania danych przy wykorzystaniu Internetu.

 

Gdy tę najtrudniejszą część mamy już za sobą, pamiętajcie o podpisaniu zgłoszenia zgodnie z obowiązującymi Was zasadami reprezentacji. Jeżeli zgłoszenie podpisuje Wasz pełnomocnik, pamiętajcie o dołączeniu udzielonego mu pełnomocnictwa. Poza tym jednym przypadkiem, do formularza nie trzeba dołączać żadnych dokumentów (w razie potrzeby GIODO wezwie Was do przedłożenia stosownych dokumentów w toku postępowania).

 

Giodo-Blog-GetResponse

 

Ile to kosztuje?

Wniosek o rejestrację zbioru jest wolny od opłat, jednak za wydanie zaświadczenia o zarejestrowaniu zbioru trzeba zapłacić 17 zł. Jeżeli zbiór zgłasza Wasz pełnomocnik, pamiętajcie o uiszczeniu opłaty skarbowej od pełnomocnictwa w wysokości 17 zł.

 

Ok, zgłosiliśmy… i co dalej?

Już od chwili samego zgłoszenia zbioru danych możemy rozpocząć ich przetwarzanie. Pamiętajmy jednak, że zgłoszenie nie przesądza o prawidłowości przetwarzania przez nas danych, a jest jedynie spełnieniem jednego z obowiązków ciążących na administratorze danych osobowych i nadal musimy przestrzegać pozostałych wymogów nałożonych odpowiednimi przepisami prawa. Jeżeli z jakichkolwiek powodów jesteśmy zainteresowani otrzymaniem formalnego potwierdzenia faktu rejestracji zbioru, GIODO wyda nam na nasz wniosek stosowne zaświadczenie.

Jedynie wyjątkowo, gdy przetwarzamy dane wrażliwe, z rozpoczęciem przetwarzania musimy poczekać na rejestrację i otrzymanie od GIODO stosownego zaświadczenia, które wydane zostanie z urzędu (już bez potrzeby składania osobnego wniosku).

 

Pamiętajmy też o obowiązku zgłaszania – również na formularzu lub przy wykorzystaniu platformy e-giodo – każdej zmiany informacji zawartych w pierwotnym zgłoszeniu. Termin na to wynosi 30 dni od dnia dokonania zmiany. Dotyczy to zarówno informacji o samym administratorze (np. zmiana siedziby), jak i odnoszących się stricte do zbioru (np. dodanie do zbioru nowego rodzaju przetwarzanych danych, zmiana celu przetwarzania lub środków zabezpieczających zbiór, ale i zaprzestanie przetwarzania danych w zbiorze). Oczywiście, nie trzeba zgłaszać zmian w zakresie samych danych stanowiących zawartość zbioru – czyli np. dodania kolejnych rekordów lub aktualizacji już przetwarzanych danych.

 

Obowiązki rejestracyjne administratorów danych traktowane są przez ustawodawcę bardzo poważnie, a niedopełnienie wymogu zgłoszenia zbioru danych do rejestracji zagrożone jest odpowiedzialnością karną wskazaną w art. 53 ustawy, tj.

Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”.

 

Opisany w tym poście obowiązek rejestrowania zbiorów będzie funkcjonował w tym kształcie do 24 maja 2018 r. Po tym dniu administratorzy danych obowiązani będą stosować się do wymogów wskazanych w Ogólnym Rozporządzeniu o Ochronie Danych, przyjętym 14 kwietnia tego roku. Ale o tym i o wynikających z tego zmianach będziemy Was na bieżąco informować.

BĄDŹ NA BIEŻĄCO:

x

BĄDŹ NA BIEŻĄCO:

x