Każdy przedsiębiorca, który zaczyna gromadzić dane osobowe swoich potencjalnych i aktualnych klientów prędzej czy później trafi na temat GIODO. Zacznie sie zastanawiać czy powinien zgłosić swoja bazę danych, jak to zrobić i kiedy. Druga niepewność pojawi się gdy będzie chciał ją przenieść lub przechowywać w systemach zewnętrznych zbudowanych w technologii chmury. Opisujemy co musi, a co powinien zrobić właściciel bazy danych i jak wygląda zgłoszenie zbioru danych do GIODO.
GIODO – Generalny Inspektorat Ochrony Danych Osobowych, to instytucja która stoi na straży naszych danych osobowych. Przedsiębiorcy maja obowiązek rejestracji posiadanych zbiorów danych w określonych przypadkach. Zacznijmy od tego czym jest zbiór danych.
Co to jest zbiór danych osobowych
Zgodnie z art. 7 pkt 1 ustawy o ochronie danych osobowych za zbiór danych uważa się „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.
Musimy jednak pamiętać, że ochronie podlegają takie dane, które w sposób jednoznaczny pozwalają wskazać na konkretną osobę. Jest to spora komplikacja, bo o ile w większości wypadków samo imię i nazwisko nie podlega ochronie, to w wypadku gdy istnieje tylko jedna osoba o danym imieniu i nazwisku już tak. Co do zasady zalecamy rejestracje każdej bazy danych w GIODO.
Kto musi rejestrować zbiory danych osobowych
Obowiązek zgłoszenia bazy danych do GIODO zawsze spoczywa na administratorze danych. Zgodnie z polskim ustawodawstwem jest to podmiot decydujący o celach i środkach przetwarzania danych osobowych. Administratorem danych jest zawsze podmiot decydujący o ich wykorzystaniu, niezależnie czy samodzielnie przetwarza dane lub zlecił to innemu podmiotowy, w oparciu o umowę o powierzeniu przetwarzania danych osobowych. Co ważne odpowiedzialność za naruszenie prawa o ochronie danych osobowych zawsze ponosi osoba zarządzająca podmiotem, niezależnie od tego który z jego pracowników dokonał naruszenia i w jakich okolicznościach. W wypadku korzystania z rozwiązań opartych o technologię chmury, mimo przetrzymywania danych na zdalnych serwerach obowiązek rejestracji nadal spoczywa na firmie korzystającej z oprogramowania, a nie jego dostawcy!
Jakie zbiory danych osobowych podlegają rejestracji
Ogólnie przyjęta zasada, której polecamy sie trzymać mówi, że każdy zbiór danych osobowych powinien być zgłoszony do GIODO. Jednak ustawodawca przewidział wyjątki od tego obowiązku. Nie musimy rejestrować zbiorów danych, które:
- zawierają informacje niejawne, które zostały pozyskane przez organy uprawnione do ich pozyskania;
- są przetwarzane w związku z zatrudnieniem na podstawie umów cywilnoprawnych;
- dotyczą osób korzystających z usług medycznych, notarialnych, adwokackich, radców prawnych, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta i gdy usługodawca jest administratorem danych osobowych;
- są przetwarzane jedynie w celu wystawienia rachunku, faktury lub prowadzenia sprawozdawczości finansowej.
- są przetwarzane w zakresie drobnych bieżących spraw życia codziennego
Rejestracja zbioru danych osobowych – kluczowe informacje
Po pierwsze należy odpowiedzieć na pytanie, kiedy zachodzi obowiązek rejestracji danych i kiedy z tych danych możemy skorzystać. Zgodnie z ustawą rejestracji należy dokonać przez rozpoczęciem przetwarzania danych. Jednak jeśli to nie są dane wrażliwe administrator może rozpocząć prace zaraz po zgłoszeniu zbioru do rejestracji w GIODO, a przed ukończeniem procedury. Inaczej to wygląda w wypadku zbiorów danych zawierających informacje wrażliwe, określane w ustawie jako dane szczególnie chronione. Do nich zaliczamy dane:
- ujawniające pochodzenie rasowe lub etniczne;
- wskazujące na poglądy polityczne, religijne lub filozoficzne;
- dotyczące przynależności wyznaniowej, partyjnej lub związkowej;
- związane ze stanem zdrowia, kodem genetyczny, nałogami i życiem seksualnym;
- dotyczące wyroków, orzeczeń o ukaraniu, mandatów karnych i innych orzeczeń wydanych w drodze postępowania administracyjnego lub sadowego.
Jeśli firma planuje gromadzić takie dane i je przetwarzać, to może zacząć działania dopiero po pozytywnym zakończeniu procedury rejestracji zbioru danych w GIODO.
Jak przebiega zgłoszenie zbioru danych do GIODO
Samej rejestracji dokonuje Główny Inspektorat Ochrony Danych Osobowych na wniosek złożony przez przedsiębiorcę. Pamiętajmy, że co do zasady wniosek należy złożyć przed przystąpieniem do przetwarzania danych. Samo przetwarzanie należy rozumieć, jako wykonywanie jakichkolwiek operacji na danych osobowych, ze szczególnym uwzględnieniem ich: gromadzenia, utrwalania, przechowywania, zmieniania, opracowywania, udostępniania lub usuwania. Dodatkowo wszelkie zmiany w zgłoszonym zbiorze danych należy rejestrować w terminie 30 dni od ich zaistnienia.
Samo zgłoszenie odbywa sie na podstawie złożenia wypełnionego formularza, który znajdziemy na stronie internetowej GIODO (www.giodo.gov.pl). Wypełniony formularz możemy wysłać poczta, złożyć osobiście w urzędzie znajdującym sie w Warszawie lub wykorzystać w tym celu internetową skrzynkę podawczą GIODO.
Co grozi przedsiębiorcy gdy nie dopełni obowiązku zgłoszenia zbioru danych osobowych?
Prawo przewiduje dokładnie określone sankcje w wypadku zaniechania obowiązku zgłoszenia samego zbioru lub jego zmian. Jest to czyn zabroniony, za który przewidziana jest kara grzywny, ograniczenia wolności, a w skrajnych przypadkach pozbawienia wolności do jednego roku. Warto wiedzieć, ze wymienione sankcje nie dotyczą przedsiębiorcy, który zgłosi niekompletny zbiór danych.
Musimy pamiętać, że ciężar identyfikacji zbioru danych osobowych, jako podlegającego obowiązkowi rejestracji leży w całości po stronie administratora danych. Jednak decydujący głos ma tutaj GIODO, który może nie zgodzić sie z kwalifikacją dokonaną przez przedsiębiorcę. Łatwo rozwiać swoje wątpliwości. Wystarczy zgłosić własny zbiór do GIODO i jeśli nie podlega on ustawowemu obowiązkowi rejestracji to inspektorat odmówi jego rejestracji i powiadomi od tym administratora danych.
