Wypełniasz zgłoszenie zbioru danych do GIODO? Zobacz, o czym powinieneś pamiętać!

Zgłoszenie zbioru – pamiętaj o prawidłowym formularzu rejestracyjnym.

Zgłoszenie zbioru danych do rejestracji w GIODO można skutecznie złożyć jedynie poprzez wypełnienie aktualnego formularza zgłoszenia. Obecnie obowiązujący formularz, który umożliwia zgłoszenie zbioru, określony jest przez przepisy rozporządzenia Ministra Spraw Wewnętrznych i administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536). zgłoszenie zbioruUwaga, zgłoszenie zbioru dokonane nie za pomocą formularza bądź na nieaktualnym jego wzorze (w obiegu internetowym można się natknąć na stare formularze) nie zostanie przyjęte przez Urząd. Jeżeli ktoś nie ma ochoty wertować przepisów albo chce mieć po prostu pewność, że jego zgłoszenie będzie dokonane na prawidłowym wzorze powinien odwiedzić stronę internetową GIODO (www.giodo.gov.pl). Tam, w zakładce e-GIODO, znajduje się program służący do wypełniania formularza zgłoszenia drogą elektroniczną.

Nie zapomnij się podpisać.

Zgłoszenie zbioru, jak każde urzędowe podanie, powinno być opatrzone podpisem osoby upoważnionej do reprezentacji wnioskodawcy. Wnioskodawcą jest administrator danych, czyli zgodnie z przepisami ustawy o ochronie danych osobowych, to organ, jednostka administracyjna, podmiot lub osoba decydujące o celach i środkach przetwarzania danych osobowych. W przypadku osoby fizycznej prowadzącej działalność gospodarczą sytuacja jest prosta – wystarczy by na końcu formularza rejestracyjnego osoba taka złożyła czytelny podpis. W przypadku osób prawnych, bądź innych jednostek organizacyjnych potrzebny będzie podpis osoby bądź osób upoważnionych do reprezentacji takich podmiotów. W przypadku spółek prawa handlowego oraz stowarzyszeń czy fundacji sposób reprezentacji ujawniony jest w Rejestrze Przedsiębiorców Krajowego Rejestru Sądowego. Dlatego na formularzu zgłoszenia dokonywanego przez powyższe podmioty powinny podpisać się osoby, których prawo do reprezentacji danego podmiotu ujawnione jest w aktualnym Rejestru Przedsiębiorców. Wgląd do Centralnej Informacji Krajowego Rejestru Sądowego możliwy jest za pośrednictwem strony internetowej Ministerstwa Sprawiedliwości (ems.ms.gov.pl).

Co stanie się, gdy prześlemy do urzędu zgłoszenie niewłaściwie podpisane? W przypadku, gdy formularz zgłoszenia nie zostanie w ogóle podpisany, bądź podpis będzie nieczytelny, czy też podpis złoży osoba, która nie jest uprawniona do reprezentacji administratora danych, zgłoszenie nie będzie rozpatrywane, a organ ds. ochrony danych osobowych wezwie wnioskodawcę do usunięcia braków formalnych związanych z niewłaściwym podpisem w trybie określonym przez Kodeks postępowania administracyjnego. Gdy w wyznaczonym terminie nie uzupełnimy takiego braku, to nasze zgłoszenie zostanie pozostawione bez rozpoznania.

Formularz wypełniany elektronicznie na stronie internetowej Generalnego Inspektora można podpisać używając podpisu elektronicznego. Nic nie stoi na przeszkodzie żeby zgłosić zbiór danych za pośrednictwem strony internetowej nie dysponując podpisem elektronicznym. Jednak należy wtedy pamiętać, że po przesłaniu formularza drogą elektroniczną należy go wydrukować, podpisać ręcznie i przesłać do urzędu.

Formularz może również zostać podpisany przez osobę upoważnioną przez administratora danych (pełnomocnika). W takim przypadku należy pamiętać o załączeniu do formularza zgłoszenia oryginału bądź urzędowo poświadczonej kopii pełnomocnictwa wraz z dowodem zapłaty opłaty skarbowej w kwocie 17 złotych.

Nie przesyłaj zawartości zbiorów danych osobowych.

Wbrew temu, co sądzą niektórzy Generalny Inspektor Ochrony Danych Osobowych nie posiada bazy danych osobowych gromadzonych w zbiorach, które podlegają obowiązkowi rejestracji przez poszczególnych administratorów danych. Zgłoszenie zbioru nie polega na przekazywaniu Generalnemu Inspektorowi danych osobowych, a jedynie informacji o prowadzeniu takiego zbioru. Dlatego też nie należy załączać do zgłoszenia wydruków, czy też nośników, na których zapisana jest zawartość zbiorów danych osobowych.

Przepisy ustawy o ochronie danych osobowych nie wymagają również, aby wraz ze zgłoszeniem zbioru danych przesyłać dokumentację dotyczącą ochrony danych osobowych (politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym). Taka dokumentacja powinna znajdować się w siedzibie administratora danych. Jeżeli organ ochrony danych osobowych będzie chciał się zapoznać z treścią takiej dokumentacji, sam się o nią upomni.

Jeden zbiór danych na jednym formularzu.

Zgodnie z definicją określoną w ustawie o ochronie danych osobowych, zbiorem danych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Pojęcie zbioru danych obejmuje zarówno zbiory prowadzone w formie tradycyjnej (papierowej) jak i zbiory, w których dane przetwarzane są za pomocą systemu informatycznego. W praktyce administratorzy danych często mylą pojęcie zbioru danych z pojęciem bazy danych (do którego ustawa o ochronie danych osobowych w ogóle się nie odnosi). Tymczasem w jednej bazie danych może znajdować się nawet kilka zbiorów danych! Elementami decydującymi o odrębności zbioru danych są przede wszystkim: podstawa prawna przetwarzania danych, cel przetwarzania danych, a także zakres przetwarzanych danych w zbiorze. Posługując się tymi kryteriami możemy odróżniać zbiory danych od siebie. Konsekwencją mylenia bazy danych ze zbiorem danych bardzo często jest błąd polegający na zgłoszeniu przez administratora danych kilku zbiorów na jednym formularzu. Jest to działanie niewłaściwe – formularz zgłoszenia jest tak skonstruowany, że pozwala na scharakteryzowanie tylko jednego zbioru. Wykorzystanie jednego formularza do zgłoszenia więcej niż jednego zbioru danych nie pozwoli na prawidłowe odczytanie informacji, które decydują o tożsamości danego zbioru. Dlatego też, zgłaszając zbiór do rejestracji, administrator danych powinien pamiętać, iż w jednym formularzu zgłoszenia zbioru danych do rejestracji należy podać tylko informacje o jednym zbiorze danych osobowych. Częstym błędem popełnianym przez administratorów danych jest zgłaszanie na jednym formularzu zbioru danych klientów oraz zbioru danych odbiorców newslettera. Zbiory te wyraźnie różnią się celem przetwarzania danych (realizacja umowy oraz wysyłka newslettera), a przede wszystkim zakresem przetwarzanych w nich danych. W przypadku zbioru klientów przetwarzany może być dość szeroki zakres danych, w zależności od rodzaju umowy zawieranej z klientem. Natomiast do wysyłania newslettera najczęściej wykorzystywany jest jedynie adres e-mail.

Nie zaznaczaj danych „na zapas”.

Wypełniając punkty zgłoszenia dotyczące zakresu danych przetwarzanych w zbiorze zaznacz tylko te dane, które rzeczywiście zamierzasz przetwarzać i które są niezbędne, aby zrealizować cel przetwarzania. Chodzi tu o dość często spotykane zbieranie szerszego zakresu danych niż jest rzeczywiście wykorzystywany. Tymczasem jedną z zasad, których obowiązek przestrzegania ma administrator danych jest tzw. zasada adekwatności. Zgodnie z jej treścią, administrator danych przetwarzający dane osobowe jest w szczególności obowiązany zapewnić, aby dane te były adekwatne w stosunku do celów, w jakich są przetwarzane.

Generalny Inspektor bada, czy zasada ta jest przestrzegana również w postępowaniu związanym z rejestracją zbioru. Jeżeli uzna, że cel przetwarzania danych można osiągnąć przetwarzając mniejszy zakres danych niż ten wskazany w formularzu zgłoszenia, może nawet wydać decyzję odmawiająca rejestracji zbioru danych!

Dane osobowe to dane osób fizycznych.

Treści art. 2 ust. 1 ustawy o ochronie danych osobowych stanowi, że „ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych”, natomiast zgodnie z ustawową definicją danych osobowych, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Oznacza to, że ustawa o ochronie danych osobowych odnosi się wyłącznie do danych osób fizycznych. W związku z tym, mimo, że często w jednej bazie danych (np. klientów) znajdują się dane osób fizycznych razem z danymi osób prawnych (np. spółek), to tych drugich nie należy wpisywać do formularza zgłoszenia zbioru danych.

Nie każdy zbiór trzeba zgłaszać.

O ile zasadą jest, że zbiory danych osobowych należy zgłaszać do rejestracji Generalnemu Inspektorowi, to jednak występuje dość dużo wyjątków od tej reguły. Katalog zbiorów danych, które nie podlegają obowiązkowi rejestracji znajduje się w art. 43 ust. 1 ustawy o ochronie danych osobowych. Zanim zgłoszenie zbioru, sprawdź w powyższym przepisie, czy przypadkiem nie należy on do grupy zbiorów, których nie trzeba zgłaszać Generalnemu Inspektorowi.

Jednym z najczęściej występujących przykładów zwolnienia z obowiązku rejestracji dotyczy zbiorów danych pracowniczych. Zgodnie z przepisem art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich. Sformułowanie „w związku” wskazuje, że ze zwolnienia to dotyczy zbiorów danych zarówno obecnych jak i byłych pracowników jak również kandydatów do pracy u administratora. Analogicznie, na podstawie tego samego przepisu, zwolnione z rejestracji są zbiory danych dotyczące świadczenia administratorowi usług na podstawie umów cywilnoprawnych (np. umów o dzieło, umów zlecenia).

Prowadzisz sklep internetowy i zastanawiasz się, czy zgłaszać zbiór danych klientów tego sklepu, z uwagi na opisane w art. 43 ust. 1 pkt 8 zwolnienie dotyczące zbiorów danych przetwarzanych wyłącznie w celu wystawienia faktury lub rachunku? Przepis ten wskazuje jasno, że chodzi o zbiory prowadzone wyłącznie w celu wystawienia faktury lub rachunku. Natomiast zbiory klientów sklepów internetowych prowadzone są w celu realizacji umowy sprzedaży. Mieści się w tym obsługa klienta (kontakt, odpowiedzi na zapytania), wysyłka towaru, jak również rozpatrywanie reklamacji. W związku z czym, zbiory takie z całą pewnością nie podlegają zwolnieniu z rejestracji na podstawie powyższego przepisu.