Poradnik Przedsiębiorcy

Rejestracja zbiorów danych w GIODO od 2015 roku - wzór z omówieniem

Rok 2015 przyniósł zmiany w zakresie ustawy o ochronie danych osobowych. Wprowadzono możliwość rejestracji Administratora bezpieczeństwa informacji w GIODO, a przy tym zmieniono kryteria rejestracji zbiorów danych. Kiedy zatem i jakie zbiory podlegają rejestracji w GIODO?

Zbiory danych osobowych - definicja

Aby zarejestrować dane, należy je na początku zidentyfikować. W tym celu należy zapoznać się z definicją zawartą w art. 7 ustawy o ochronie danych osobowych.



Art. 7 Ustawy o ochronie danych osobowych

Ilekroć w ustawie jest mowa o:

  • zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

W pierwszej kolejności należy zatem zidentyfikować, gdzie w firmie następuje praca z danymi osobowymi, a następnie określić kryteria dostępu i zdefiniować poszczególne zbiory danych przetwarzanych w firmie.

 

Ważne!

Przetwarzanie danych osobowych to nie tylko praca na nich, ale już samo ich zbieranie.

Które zbiory należy zgłosić w GIODO w 2015 roku?

Obecnie obowiązek rejestracji danych w GIODO zależy od wielu czynników. Pierwszym jest kwestia zarejestrowania ABI-ego. Jeżeli jest zarejestrowany, obowiązek rejestracji zbiorów danych w dużej mierze zostaje zniesiony. Inaczej jest, gdy firma nie decyduje się rejestrować administratora bezpieczeństwa informacji. Wówczas bowiem nakłada się na nią obowiązek rejestracji zbiorów poza tymi wymienianymi przez ustawę jako zwolnione z rejestracji.

Jakie zbiory danych są zawsze zwolnione z rejestracji?

Rejestracja zbiorów danych o których mowa w art. 43 ust. 1 wymienia zwolnienia w zakresie rejestracji.

 

Art. 43 ust. 1 Ustawy o ochronie danych osobowych

Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

  1) zawierających informacje niejawne;

    1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności;

  2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym;

    2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej;

    2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;

    2c) przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej;

  3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego;

  4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;

  5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;

  6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;

  7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności;

  8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;

  9) powszechnie dostępnych;

  10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;

  11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego;

  12) przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1 [danych wrażliwych].

 

Dodatkowo art. 43 ust. 1a stanowi, iż zwolnieni z rejestracji zbiorów danych w GIODO są również ci, którzy powołali i zarejestrowali ABI-ego w rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych. W ich przypadku zwolnienie odnosi się do wszystkich zbiorów (nie tylko tych wymienionych w art. 43 ust. 1) z jednym wyjątkiem, którym są zbiory danych wrażliwych - te podlegają rejestracji w GIODO bez względu na to, czy ABI został powołany/zarejestrowany, czy też nie.

Rejestr GIODO a jawny rejestr wewnętrzny

Podmiot, który nie zarejestrował ABI-ego w rejestrze administratorów prowadzonym przez GIODO, jest zobowiązany do rejestracji zbiorów danych w rejestrze prowadzonym przez Głównego Inspektora (oczywiście poza zwolnieniami jakie przewiduje w tym zakresie ustawa, a mianowicie art. 43 ust. 1). Natomiast ten kto zarejestrował ABI-ego, jest co prawda zwolniony z rejestracji zbiorów danych zwykłych w GIODO, ale w zamian za to zobowiązany jest do prowadzenia jawnego rejestru zbiorów danych osobowych u siebie.

Jak zgłosić zbiór danych w GIODO?

Administratorzy danych, którzy są zobowiązani do zarejestrowania zbiorów danych osobowych, a mianowicie:

  • przetwarzający dane wrażliwe niepodlegające zwolnieniu z obowiązku rejestracji oraz
  • którzy nie zarejestrowali w GIODO ABI-ego,

są zobowiązani dokonać zgłoszenia zbiorów w GIODO. Mają dwie możliwości rejestracji:

  1. elektroniczną;
  2. tradycyjną - papierową.

Wniosek rejestracyjny został podzielony na 6 części.

Część A. Wniosek

Należy podać nazwę rejestrowanego zbioru. Przykładowe nazwy zbiorów danych:

  • klienci sklepu XYZ;
  • windykacja;
  • marketing;
  • uczestnicy konkursu XYZ;
  • prenumeratorzy newslettera.

Część B. Charakterystyka Administratora Danych

  1. Dane wnioskodawcy czyli ADO (administrator danych osobowych).
  2. Przedstawiciel wnioskodawcy (dotyczy wyłącznie podmiotów mających siedzibę albo miejsce zamieszkania w państwie trzecim).
  3. Informacja o powierzeniu danych, a dokładnie o podmiotach, którym te dane powierzono lub zamierza się je powierzyć (nazwa i adres).
  4. Wskazanie podstawy prawnej do przetwarzania danych osobowych, gdzie do wyboru jest 5 przesłanek:
    1. zgoda;

    2. przepis prawa;

    3. wzajemna umowa;

    4. wykonanie określonych prawem zadań realizowanych dla dobra publicznego;

    5. prawnie usprawiedliwiony cel ADO (w tym w szczególności: marketing bezpośredni własnych produktów/usług; dochodzenie roszczeń).

Część C. Cel przetwarzania danych, opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych

      5.  Cel przetwarzania danych.
      6.  Opis kategorii osób, których dane dotyczą.
      7.  Zakres przetwarzania danych, gdzie wskazano 12 punktów do wyboru:

    1. nazwiska i imiona,

    2. imiona rodziców,

    3. data urodzenia,

    4. miejsce urodzenia,

    5. adres zamieszkania lub pobytu,

    6. PESEL,

    7. NIP,

    8. miejsce pracy,

    9. zawód,

    10. wykształcenie,

    11. seria i numer dowodu osobistego,

    12. numer telefonu.

8. Możliwość wymienienia pozostałych danych, poza tymi jakie nie widnieją w pkt. 7.
9. Charakter danych jeżeli rejestrowany jest zbiór danych wrażliwych.
10. Wskazanie podstawy przetwarzania danych, o których mowa w pkt. 9. Jeżeli w pkt. 9 nie została zaznaczona żadna ze wskazanych danych należy pominąć pkt 10 i przejść do kolejnej części formularza.

Część D. Sposób zbierania oraz udostępniania danych

11. Pochodzenie danych. Należy wskazać, czy dane będą zbierane:

  • od osób, których dotyczą czy
  • z innych źródeł.

12. Czy dane będą udostępniane? Czyli, czy administrator danych osobowych będzie umożliwiał wgląd do danych podmiotom innym niż upoważnionym na podstawie przepisów prawa.
13. Wskazanie odbiorców lub kategorii odbiorców, którym dane dotyczące rejestrowanego zbioru mogą być przekazywane.

 

Ważne!

Odbiorcy danych to każdy, komu udostępnia się dane osobowe, z wyłączeniem:

  • osoby, której dane dotyczą,
  • osoby upoważnionej do przetwarzania danych,
  • przedstawiciela, o którym mowa w art. 31a,
  • podmiotu, o którym mowa w art. 31,
  • organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

 

14. Należy uzupełnić, jeżeli planowane jest przekazywanie danych do państwa trzeciego czyli nienależącego  do EOG (Europejskiego Obszaru Gospodarczego).

Część E. Opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

15. Wskazuje się w jakiej formie prowadzony jest zbiór:

    1. centralnie czy w architekturze rozproszonej (lokalizacja w jednym miejscu czy też w wielu budynkach/serwerach w rozproszonej lokalizacji);

    2. wyłącznie w formie papierowej czy też z użyciem systemu informatycznego;

    3. z użyciem systemu informatycznego połączonego z internetem (sieć publiczna) czy też bez takich połączeń.

16. Informacja o wypełnieniu przez administratora danych osobowych obowiązków wynikających z ustawy, a mianowicie:

    1. czy został wyznaczony administrator danych bezpieczeństwa informacji (ABI), nadzorujący przestrzeganie zasad ochrony przetwarzanych danych osobowych;

    2. czy administrator danych sam wykonuje czynności ABI;

    3. czy do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez ADO;

    4. czy prowadzona jest ewidencja osób upoważnionych do przetwarzania danych;

    5. czy została opracowana i wdrożona polityka bezpieczeństwa;

    6. czy została opracowana i wdrożona instrukcja zarządzania systemem informatycznym;

    7. czy opracowano i wdrożono inne środki mające na celu zabezpieczenie danych osobowych, a jeżeli tak to jakie?

Część F. Informacja o sposobie wypełniania warunków technicznych i organizacyjnych, o których mowa w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024)

17. W tym punkcie należy wskazać poziom bezpieczeństwa przetwarzania danych w systemie informatycznym, który wdrożył administrator danych.

Poziom wysoki należy zastosować, jeżeli już przynajmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych połączone jest z siecią publiczną. Pkt 17 dotyczy wyłącznie zbiorów, które przetwarzane są z wykorzystaniem systemu informatycznego.


Wniosek rejestracyjny kończy się datą, podpisem i pieczęcią wnioskodawcy.

Do pobrania:

pdf
Zalacznik--Wzor-zgloszenia-zbioru-danych-do-rejestracji.pdf druk do ręcznego wypełnienia

Możesz ocenić ten artykuł