Poradnik Przedsiębiorcy

Powered by

wFirma.pl

Poznaj
niezbędne narzędzia
do zarządzania
Twoją firmą!

Dostępne
na wszystkie
platformy

Apple Windows Android BlackBerry

Ochrona danych osobowych w biurze rachunkowym (cz. 5) - Zbiór danych osobowych - jak dokonać rejestracji w GIODO?

Podstawowym obowiązkiem każdego administratora danych jest wyznaczenie zbiorów danych osobowych, jakimi dysponuje w związku z prowadzoną przez siebie działalnością. Niektóre z tych zbiorów mogą obligatoryjnie podlegać rejestracji. Zgodnie z brzmieniem art. 40 ustawy o ochronie danych osobowych (dalej: ustawa) administrator danych obowiązany jest zgłosić zbiór danych osobowych do rejestracji, której dokonuje Generalny Inspektor Ochrony Danych Osobowych (dalej: GIODO). Obowiązek rejestracji jest odpowiedzią na potrzebę sprawowania należytej kontroli przez GIODO nad procesem przetwarzania danych osobowych. O tym, czym jest zbiór danych osobowych, kiedy występuje obowiązek rejestracji oraz jakie są wyjątki od ogólnej zasady, piszemy w niniejszej części cyklu artykułów poświęconych ochronie danych osobowych w biurze rachunkowym.

Zbiór danych osobowych

Zgłoszeniu do rejestracji w GIODO podlega zbiór danych osobowych. Zgodnie z ustawą o ochronie danych osobowych przez zbiór danych należy rozumieć każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Struktura jest głównym elementem odróżniającym zbiór danych od innego pakietu informacji. Właśnie za sprawą tego przymiotu możliwe jest wyszukiwanie określonych danych według żądanego kryterium.

W celu zakwalifikowania danego zestawu danych jako zbiór w myśl ustawy, wystarczające jest pojawienie się możliwości wyszukania danych osobowych w zestawie, według jakiegokolwiek kryterium personalnego (imię i nazwisko, data urodzenia, numer identyfikacyjny) lub niepersonalnego (data zapisania, edycja danych w zbiorze).

Tylko usystematyzowany zestaw danych, będący zbiorem danych osobowych, powinien być zgłoszony do rejestracji Generalnemu Inspektorowi przez administratora danych, na którym ciąży ten obowiązek.

Zbiór danych osobowych - kiedy obowiązek rejestracji?

Obowiązek rejestracyjny powstaje zasadniczo przed pierwszą czynnością, jaką administrator może wykonać na danych, nie licząc pozyskania pierwszych danych do zbioru. Zatem zgłoszenia zbioru należy dokonać przed rozpoczęciem przetwarzania danych.

Zgodnie z dyspozycją art. 46 ustawy administrator danych może rozpocząć ich przetwarzanie po zgłoszeniu tego zbioru do rejestracji w GIODO. W przypadku przetwarzania danych wrażliwych ich zbieranie jest możliwe dopiero po uprzednim zarejestrowaniu zbioru.

Kiedy nie trzeba rejestrować zbioru danych osobowych?

Wyjątki w zakresie rejestracji zbiorów danych osobowych do GIODO zostały zawarte w art. 43 ust. 1 ustawy. Zgodnie z tym przepisem z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

1.zawierających informacje niejawne, także te, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,

2.przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,

    1. przetwarzanych przez Generalnego Inspektora Informacji Finansowej;

    2. przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;

    3. przetwarzanych przez właściwe organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej.

3.  dotyczących osób należących do kościoła lub innego związku wyznaniowego, o  uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,

4. przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,

5. dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,

6. tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,

7. dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,

8. przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,

9. powszechnie dostępnych,

10. przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,

11. przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

12. ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym.

Najbardziej znaczącym zwolnieniem jest jednak zwolnienie z obowiązku rejestracji zbiorów danych osobowych, których administrator powołał administratora bezpieczeństwa informacji i zgłosił go do rejestracji w GIODO. Co ważne, zwolnienie to zaczyna działać dopiero po tym, jak administrator bezpieczeństwa informacji zostaje wpisany do odpowiedniego rejestru, a nie od chwili zgłoszenia go do rejestracji.

Rejestracja zbioru danych osobowych - co we wniosku?

Wzór zgłoszenia określono w załączniku do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Stosownie do art. 41 ustawy zgłoszenie powinno zawierać m.in.:

  1. wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych;

  2. dane administratora danych oraz jego adres siedziby lub zamieszkania, w tym numer identyfikacyjny;

  3. cel przetwarzania danych, w tym opis kategorii osób, których dane dotyczą oraz zakres przetwarzanych danych;

  4. sposób zbierania i udostępniania danych (w tym informacje o podmiotach albo kategoriach odbiorców, którym dane mogą być przekazywane);

  5. opis środków technicznych oraz organizacyjnych, które zostały zastosowane w celach wyznaczonych przez art. 36-39 ustawy;

  6. informacje o sposobie wypełniania warunków technicznych oraz organizacyjnych, o których mowa w art. 39a;

  7. informacje dotyczące ewentualnego dalszego przekazywania danych do państwa trzeciego.

Wniosek rejestracyjny powinien być opatrzony podpisem administratora danych albo osoby do tego upoważnionej.

Zbiór danych osobowych - zgłoszenie tradycyjne

Rejestracji można dokonać w formie pisemnej, za pośrednictwem poczty lub osobiście w Biurze Generalnego Inspektora Ochrony Danych Osobowych przy ulicy Stawki 2, 00-193 Warszawa.

Zbiór danych osobowych - zgłoszenie elektroniczne

Od połowy 2006. r. istnieje możliwość zgłoszenia zbioru danych osobowych drogą elektroniczną z wykorzystaniem bezpiecznego podpisu elektronicznego.

Warto zwrócić uwagę na dodatkową opcję wysyłki bez wspominanego poświadczenia za pośrednictwem platformy elektronicznej e-GIODO. Po złożonym zgłoszeniu wnioskodawca powinien wydruk wniosku dodatkowo opatrzyć podpisem oraz pieczątką, a potem przesłać pocztą lub złożyć w siedzibie GIODO.

Aplikację do zgłaszania zbiorów danych osobowych można odnaleźć na stronie e-GIODO.

Platforma e-GIODO jest na bieżąco rozwijana pod kątem zmieniających się przepisów, nowych rozwiązań informatycznych oraz oczekiwań samych użytkowników.

Interesującym rozwiązaniem w aplikacji jest zastosowanie wspomagania dla wnioskodawcy. Polega ono na aktywnym działaniu wbudowanych reguł weryfikacyjnych. W przypadku niepoprawnego uzupełnienia lub jego braku program na bieżąco sygnalizuje błędy.

Ponadto platforma e-GIODO zapewnia zdalny dostęp do zawartości Rejestru Zbiorów Danych Osobowych.

Czy można dokonać zmian w zbiorze danych osobowych?

Zgodnie z dyspozycją art. 41 ust. 2 ustawy administrator danych powinien zgłaszać GIODO każdą zmianę informacji zawartej w zgłoszeniu. Czas na przeprowadzenie stosownej aktualizacji wynosi 30 dni od dnia dokonania zmiany.

 

Ważne!

W przypadku, gdy zmiana informacji opisu kategorii osób dotyczy rozszerzenia przetwarzania ich danych o tzw. dane osobowe wrażliwe, wówczas administrator zobowiązany jest do zgłoszenia przed dokonaniem zmian w zbiorze.

 

W praktyce aktualizacja zbioru danych osobowych przeprowadzana jest na tym samym formularzu, który służy zgłoszeniom zbiorów danych w momencie ich rejestracji (standardowej) albo za pośrednictwem platformy e-GIODO w przypadku wysyłki elektronicznej.

Rejestracja zbioru danych osobowych - możliwe opłaty

Zasadniczo zgłoszenie zbioru danych do rejestracji oraz jego aktualizacja nie podlegają opłacie skarbowej. Jednak już wydanie zaświadczeń lub dokonanie przez GIODO określonych czynności urzędowych wymaga uiszczenia pewnych opłat - na przykład administrator danych, który wnioskuje o wydanie zaświadczenia o zarejestrowaniu zbioru przez GIODO, musi wpłacić gotówką lub przelewem 17 złotych.

Zasadniczo każdy usystematyzowany zestaw danych posiadający strukturę o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, powinien być zarejestrowany przed pierwszą czynnością, jaką administrator może wykonać na danych, nie licząc samego pozyskania pierwszych informacji do zbioru.