Poradnik Przedsiębiorcy

Powered by

wFirma.pl

Poznaj
niezbędne narzędzia
do zarządzania
Twoją firmą!

Dostępne
na wszystkie
platformy

Apple Windows Android BlackBerry

Ochrona danych osobowych w biurze rachunkowym (cz. 5) - Zbiór danych osobowych - jak dokonać rejestracji w GIODO?

Podstawowym obowiązkiem każdego administratora danych jest wyznaczenie zbiorów danych osobowych, jakimi dysponuje w związku z prowadzoną przez siebie działalnością. Niektóre z tych zbiorów mogą obligatoryjnie podlegać rejestracji. Zgodnie z brzmieniem art. 40 ustawy o ochronie danych osobowych (dalej: ustawa) administrator danych obowiązany jest zgłosić zbiór danych osobowych do rejestracji, której dokonuje Generalny Inspektor Ochrony Danych Osobowych (dalej: GIODO). Obowiązek rejestracji jest odpowiedzią na potrzebę sprawowania należytej kontroli przez GIODO nad procesem przetwarzania danych osobowych. O tym, czym jest zbiór danych osobowych, kiedy występuje obowiązek rejestracji oraz jakie są wyjątki od ogólnej zasady, piszemy w niniejszej części cyklu artykułów poświęconych ochronie danych osobowych w biurze rachunkowym.

Zbiór danych osobowych

Zgłoszeniu do rejestracji w GIODO podlega zbiór danych osobowych. Zgodnie z ustawą o ochronie danych osobowych przez zbiór danych należy rozumieć każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Struktura jest głównym elementem odróżniającym zbiór danych od innego pakietu informacji. Właśnie za sprawą tego przymiotu możliwe jest wyszukiwanie określonych danych według żądanego kryterium.

W celu zakwalifikowania danego zestawu danych jako zbiór w myśl ustawy, wystarczające jest pojawienie się możliwości wyszukania danych osobowych w zestawie, według jakiegokolwiek kryterium personalnego (imię i nazwisko, data urodzenia, numer identyfikacyjny) lub niepersonalnego (data zapisania, edycja danych w zbiorze).

Tylko usystematyzowany zestaw danych, będący zbiorem danych osobowych, powinien być zgłoszony do rejestracji Generalnemu Inspektorowi przez administratora danych, na którym ciąży ten obowiązek.

Zbiór danych osobowych - kiedy obowiązek rejestracji?

Obowiązek rejestracyjny powstaje zasadniczo przed pierwszą czynnością, jaką administrator może wykonać na danych, nie licząc pozyskania pierwszych danych do zbioru. Zatem zgłoszenia zbioru należy dokonać przed rozpoczęciem przetwarzania danych.

Zgodnie z dyspozycją art. 46 ustawy administrator danych może rozpocząć ich przetwarzanie po zgłoszeniu tego zbioru do rejestracji w GIODO. W przypadku przetwarzania danych wrażliwych ich zbieranie jest możliwe dopiero po uprzednim zarejestrowaniu zbioru.

Kiedy nie trzeba rejestrować zbioru danych osobowych?

Wyjątki w zakresie rejestracji zbiorów danych osobowych do GIODO zostały zawarte w art. 43 ust. 1 ustawy. Zgodnie z tym przepisem z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

1.zawierających informacje niejawne, także te, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,

2.przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,

    1. przetwarzanych przez Generalnego Inspektora Informacji Finansowej;

    2. przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;

    3. przetwarzanych przez właściwe organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej.

3.  dotyczących osób należących do kościoła lub innego związku wyznaniowego, o  uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,

4. przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,

5. dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,

6. tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,

7. dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,

8. przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,

9. powszechnie dostępnych,

10. przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,

11. przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

12. ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym.

Najbardziej znaczącym zwolnieniem jest jednak zwolnienie z obowiązku rejestracji zbiorów danych osobowych, których administrator powołał administratora bezpieczeństwa informacji i zgłosił go do rejestracji w GIODO. Co ważne, zwolnienie to zaczyna działać dopiero po tym, jak administrator bezpieczeństwa informacji zostaje wpisany do odpowiedniego rejestru, a nie od chwili zgłoszenia go do rejestracji.

Rejestracja zbioru danych osobowych - co we wniosku?

Wzór zgłoszenia określono w załączniku do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Stosownie do art. 41 ustawy zgłoszenie powinno zawierać m.in.:

  1. wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych;

  2. dane administratora danych oraz jego adres siedziby lub zamieszkania, w tym numer identyfikacyjny;

  3. cel przetwarzania danych, w tym opis kategorii osób, których dane dotyczą oraz zakres przetwarzanych danych;

  4. sposób zbierania i udostępniania danych (w tym informacje o podmiotach albo kategoriach odbiorców, którym dane mogą być przekazywane);

  5. opis środków technicznych oraz organizacyjnych, które zostały zastosowane w celach wyznaczonych przez art. 36-39 ustawy;

  6. informacje o sposobie wypełniania warunków technicznych oraz organizacyjnych, o których mowa w art. 39a;

  7. informacje dotyczące ewentualnego dalszego przekazywania danych do państwa trzeciego.

Wniosek rejestracyjny powinien być opatrzony podpisem administratora danych albo osoby do tego upoważnionej.