Najpopularniejszy w Polsce portal o finansach i biznesie
GIODO: rejestracja zbioru danych osobowych nie dla każdego przedsiębiorcy. Kiedy firmy muszą pamiętać o zgłoszeniu?

GIODO: rejestracja zbioru danych osobowych nie dla każdego przedsiębiorcy. Kiedy firmy muszą pamiętać o zgłoszeniu?

Fot. PAP/Jacek Turczyk

Generalny Inspektor Ochrony Danych Osobowych opublikował ostrzeżenie przed wiadomościami e-mail, których nadawca grozi firmom donosami za brak rejestracji zbiorów danych osobowych. Wiadomości wprowadzają adresatów w błąd, bo nie każdy przedsiębiorca ma obowiązek zgłoszenia bazy do GIODO. Przypominamy, w jakich sytuacjach należy jednak o tym pamiętać.

Użytkownicy newslettera, klienci sklepu internetowego, pracownicy czy kandydaci do pracy - to grupy osób, których dane osobowe najczęściej podlegają przetwarzaniu. Przedsiębiorcy podejmują podobne czynności w różnych celach. Aby mogli to robić legalnie, muszą w pierwszej kolejności zgłosić taki zbiór do Głównego Inspektora Ochrony Danych Osobowych (GIODO).

Obowiązek rejestracji zbioru danych

Rejestracji w GIODO podlegają zbiory danych osobowych, które spełniają trzy konkretne kryteria:

  • zawierają dane osób fizycznych;
  • posiadają określoną strukturę;
  • umożliwiają wyszukiwanie informacji na podstawie co najmniej dwóch różnych zmiennych, przy czym kryteria mogą być osobowe (np. imię, nazwisko, data urodzenia, numer PESEL) lub nieosobowe (np. data zamieszczenia danych w zbiorze);

Bazę danych należy zgłosić niezależnie od tego, czy jest uporządkowana według poszczególnych kategorii, czy stanowi zasób rozproszonych informacji. Nie musi też zawierać danych o różnych osobach. Wystarczy, że zbiór dotyczy jednej osoby fizycznej i gromadzi różne dane na jej temat.

Przetwarzanie danych osobowych można rozpocząć dopiero po zgłoszeniu zbioru do rejestracji, dlatego należy tego dokonać jeszcze przed podjęciem pierwszej czynności związanej z personalnymi informacjami (np. przed pozyskaniem ich do tworzonego zbioru). W przypadku danych szczególnie chronionych, m.in. informacji o stanie zdrowia, kodzie genetycznym, nałogach czy życiu seksualnym, zbieranie do zbioru można rozpocząć dopiero po zarejestrowaniu bazy, chyba że ustawa zwalnia z tego obowiązku (zgodnie z art. 46 ust. 2 ustawy o ochronie danych osobowych).

Jak zarejestrować zbiór danych?

Rejestracji bazy dokonuje administrator danych (np. osoba fizyczna prowadząca jednoosobową działalność gospodarczą) na odpowiednim formularzu. Niezbędne dokumenty można złożyć osobiście w biurze GIODO, przesłać pocztą lub wypełnić przez internet z użyciem podpisu elektronicznego lub profilu zaufanego ePUAP.

Zgłoszenie do GIODO powinno zawierać:

  • wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych;
  • charakterystykę administratora danych lub przedstawiciela wnioskodawcy (imię i nazwisko, adres siedziby lub miejsca zamieszkania, numer REGON);
  • informację o powierzeniu przetwarzania danych innemu podmiotowi oraz dane;
  • podstawę prawną upoważniającą do prowadzenia zbioru (np. zgodę osoby, której przetwarzane dane dotyczą);
  • cel przetwarzania danych (opis kategorii osób oraz zakres przetwarzanych danych);
  • sposób zbierania oraz udostępniania danych (odbiorcy lub kategorie odbiorców, którym dane mogą być przekazywane; ewentualne informacje o państwie trzecim;
  • opis środków technicznych i organizacyjnych (forma prowadzenia zbioru, spełnienie wymogów formalnych);
  • informację o ewentualnym przekazywaniu danych do państwa trzeciego;

Potwierdzenie rejestracji zgłoszonego zbioru jest wydawane na specjalne żądanie administratora danych lub w przypadku danych szczególnie chronionych. W niektórych sytuacjach, Generalny Inspektor Danych Osobowych może wydać decyzję o odmownym rozpatrzeniu zgłoszenia. Wnioskodawca powinien się liczyć z odmową np. gdy nie umieści we wniosku wszystkich wymaganych informacji, nie spełni podstawowych warunków technicznych i organizacyjnych lub przetwarzanie danych nie będzie miało odpowiedniej podstawy prawnej.

Bazy danych zwolnione ze zgłoszenia do GIODO

Nie każdy przedsiębiorca jest jednak zobowiązany do rejestracji prowadzonego zbioru (wyjątki zostały określone w art. 43 ust. 1 ustawy o ochronie danych osobowych). Nie trzeba zgłaszać danych osobowych, które:

  • stanowią informacje niejawne;
  • są przetwarzane w związku z zatrudnieniem oraz świadczeniem usług na podstawie umów cywilnoprawnych;
  • dotyczą osób korzystających z usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego albo biegłego rewidenta, świadczonych przez podmiot, który jest jednocześnie administratorem zbioru;
  • mają związek z osobami pozbawionymi wolności na podstawie ustawy;
  • są przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
  • są powszechnie dostępne;

Dane osobowe pozwolą zidentyfikować tożsamość

Definicja danych osobowych obejmuje szeroki zakres informacji, które pozwalają na zidentyfikowanie tożsamości osoby fizycznej. Do typowych danych należą: imię, nazwisko, wizerunek w formie zdjęcia, adres, PESEL, NIP, a nawet adres poczty elektronicznej, umożliwiający ustalenie personaliów jego właściciela. Termin został zdefiniowany w ustawie z dnia 29 sierpnia 1997 o ochronie danych osobowych. Nad kontrolą i ochroną prawną tych danych czuwa natomiast Generalny Inspektor Ochrony Danych Osobowych.

Korzystasz z e-administracji?

Tak, to duża oszczędność czasu
Nie, za każdym razem trafiam na jakiś błąd
Wolę pójść do urzędu i tam załatwić sprawę

dziękujemy za oddanie głosu

zagłosuj, jeśli chcesz zobaczyć wyniki

Co do zasady, zbyt ogólne informacje, np. nazwa ulicy lub wysokość wynagrodzenia, nie podlegają pod ten termin, chyba że zestawione z dodatkowymi wskazówkami mogą odnosić się do konkretnej osoby. Niektórych informacji nie uważa się też za pozwalające określić tożsamość osoby, jeśli ich zdobycie wymagałoby nadmiernych kosztów, czasu lub działań.

Money.pl
Czytaj także
Polecane galerie
KM
2016-09-28 14:47
Czy książka adresowa w telefonie, jeśli jestem przedsiębiorcą, też jest zbiorem danych wymagającym rejestracji?
obs
2016-09-28 11:40
Allegro sugeruje w arkuszu końcowym przekazywanie danych e-mail firmom zewnętrznym np. kurierskim. To nie jest w żaden sposób związane z wykonaniem usługi. W zupełności wystarczy telefon nadawcy i odbiorcy. Jakoś nikt nie widzi niezgodności z Polskim prawem.
jejdmsm
2016-09-27 19:59
To ja bezprawnie podaje dane osobowe prowadzącego mój samochód który został złapany na fotoradar?!!!!!!!!!
Pokaż wszystkie komentarze (8)