Kodeks dobrych praktyk czyli jak łatwo i szybko zarejestrować bazę w GIODO
Ustawa o Ochronie Danych Osobowych wymusza na polskich firmach działania związane z rejestracją oraz odpowiednim zabezpieczeniem i przechowywaniem nawet najmniejszych baz danych zawierających dane osobowe.
Obowiązek rejestracji w ogólnokrajowym rejestrze zbiorów danych osobowych prowadzonym przez Generalny Inspektorat Ochrony Danych Osobowych (GIODO) spoczywa na administratorze danych czyli podmiocie decydującym o celach i środkach przetwarzania danych osobowych i dotyczy każdego zbioru danych z segmentu B2C.
Tytułem wstępu czyli sprawdzamy, czy nas to dotyczy… Na początku warto zwrócić uwagę na definicję pojęcia zbioru danych w świetle przepisów prawa. Otóż każdy uporządkowany zestaw danych, w których zachodzi możliwość wyszukania według jakiegokolwiek kryterium (np. data urodzenia, PESEL, data zamieszczenia danych w zbiorze) jest zbiorem danych osobowych.
Administratorem danych osobowych jest podmiot publiczny lub niepubliczny a nie osoba zarządzająca tym podmiotem czy też pracownicy wykonujący czynności związane z ochroną danych osobowych. Przy czym warto pamiętać, że odpowiedzialność karną za naruszenie przepisów o ochronie danych osobowych ponoszą osoby zarządzające danym podmiotem.
Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych powszechnie dostępnych, przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, przetwarzanych wyłącznie w celu wystawienia faktury lub rachunku itp. (pozostałe wyjątki w art. 43 ust. 1 ustawy).
Zgodnie z art. 46 ust. 1 ustawy, administrator danych może rozpocząć ich przetwarzanie w zbiorze już po zgłoszeniu tego zbioru do GIODO. Jednak, gdy administrator danych osobowych zamierza przetwarzać tzw. dane szczególnie chronione (art. 27 ustawy), tj. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne itp. to zbieranie tego typu danych, zgodnie z art. 46 ust. 2 ustawy, może rozpocząć dopiero po zarejestrowaniu zbioru.
Krok 1. Wniosek rejestracyjny.
Pierwszym krokiem jest złożenie formularza (wniosku) zgłoszeniowego zbioru danych osobowych do rejestracji (wzór stanowi załącznik do rozporządzenia MSWiA z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536).
Zgodnie z art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:
- 1. wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
- 2. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
- 3. cel przetwarzania danych,
- 4. opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
- 5. sposób zbierania oraz udostępniania danych,
- 6 informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
- 7. opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39,
- 8. informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a,
- 9. informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Zgłoszenie powinien podpisać administrator danych (np. osoba fizyczna prowadząca działalność gospodarczą jednoosobowo) lub osoba upoważniona do reprezentowania wnioskodawcy.
Zgłoszenie można złożyć osobiście, przesłać pocztą lub drogą elektroniczną („platforma e-giodo”). Zaleca się osobiste złożenie wniosku w Biurze GIODO ul. Stawki 2, 00-193 Warszawa. Wszelkie niejasności można wyjaśnić na miejscu i douzupełnić braki formalne bez straty czasu.
Krok 2. Analiza wniosku.
W kolejnym etapie GIODO rozpatruje nadesłany wniosek pod względem spełnienia wymogów ustawowych, a w przypadku, gdy wymogi te są spełnione, wpisuje zbiór do prowadzonego „Ogólnokrajowego rejestru zbiorów danych osobowych”. Zbiór może zostać wpisany do rejestru, jeżeli postępowanie rejestracyjne potwierdzi, że nie zachodzi żadna z przesłanek odmawiających rejestracji, zgodnie z art. 44 ust. 1 ustawy o ochronie danych osobowych.
Krok 3. Potwierdzenie dokonania rejestracji w GIODO.
Na żądanie administratora danych może zostać wydane zaświadczenie o zarejestrowaniu zgłoszonego przez niego zbioru danych.
Jeśli chodzi o rejestrację danych tzw. szczególnie chronionych, zaświadczenie o zarejestrowaniu wydawane jest niezwłocznie po dokonaniu takiej rejestracji.
Warto pamiętać, że w przypadku jeśli w zarejestrowanym zbiorze danych zaistnieje jakaś zmiana należy ją zgłosić do GIODO w terminie do 30 dni od dnia dokonania zmiany.
Jeżeli jednak zmiana dotyczy rozszerzenia zakresu przetwarzanych danych np. o dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne etc. administrator danych jest obowiązany do jej zgłoszenia przed dokonaniem zmiany w zbiorze. Obowiązek ten dotyczy np. zmiany nazwy administratora danych, adresu jego siedziby czy zakresu danych osobowych przetwarzanych w zbiorze.
Po otrzymaniu informacji o takiej zmianie GIODO dokonuje aktualizacji zapisów w księdze rejestrowej.
Czasami jednak GIODO wydaje decyzję o odmowie rejestracji zbioru danych. Ta decyzja najczęściej wynika z braku wymaganych informacji we wniosku, braku przesłanki legalności przetwarzania danych, niedopełnienia obowiązku informacyjnego, nieadekwatności przetwarzanych danych w stosunku do celu ich przetwarzania, przetwarzania danych szczególnie chronionych bez podstawy prawnej. Czasem zdarza się, że urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych.
W przypadku otrzymania takiej odmowy jesteśmy zobligowani do ograniczenia przetwarzania wszystkich albo niektórych kategorii danych wyłącznie do ich przechowywania lub usunięcia uchybień, uzupełnienia, uaktualnienia, sprostowania, zastosowania dodatkowych środków zabezpieczających zgromadzone dane osobowe aż do usunięcia danych osobowych.
Zasady dotyczące rejestracji reguluje rozdział 6 ustawy o ochronie danych osobowych pt. Rejestracja danych osobowych. Zgodnie z art. 42 ust. 2 ustawy o ochronie danych osobowych, prowadzony przez GIODO rejestr zbiorów jest rejestrem jawnym. Osoby zainteresowane mogą przeglądać go w Biurze GIODO albo za pośrednictwem elektronicznej platformy e-GIODO, która umożliwia przeszukiwanie według wielu kryteriów, takich jak np. nazwa zbioru, nazwa administratora danych, siedziba administratora, REGON.
Autor: Ewa Walwoda