Aktualności

Obecnie obowiązkiem administratora danych osobowych (ADO) przetwarzającego dane osobowe jest zgłoszenie zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Takiego wymogu nie ma, jeżeli zbiory podlegają zwolnieniu z obowiązku rejestracji na mocy art. 43 ust. 1 ustawy o ochronie danych osobowych lub ADO powołał administratora bezpieczeństwa informacji i nie przetwarza danych wrażliwych. Po wejściu w życie unijnej reformy przepisów o ochronie danych osobowych, tj. z dniem 25 maja br., obowiązek rejestracji zbiorów u GIODO zniknie całkowicie. W zamian za to niektóre podmioty będą zobowiązane prowadzić wewnętrzne rejestry czynności przetwarzania.

Rejestracja zbiorów u GIODO

Wypełniając wniosek zgłoszeniowy administrator danych określa w nim cel przetwarzania danych, podaje opis kategorii osób, których dane będą zbierane i przetwarzane oraz zakres przetwarzanych danych, sposób zbierania oraz udostępniania danych, a także informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane. Ponadto podaje opis środków technicznych i organizacyjnych zastosowanych w celach zabezpieczenia danych oraz informację o sposobie wypełnienia wymaganych warunków technicznych i organizacyjnych. Przy czym trzeba pamiętać, że bazy danych, które są zarejestrowane u GIODO, nie zawierają informacji dotyczących konkretnych osób i ich danych, a jedynie informacje dotyczące zasad przetwarzania danych w zbiorze.

Jeżeli administrator danych przetwarza zwykłe dane osobowe, może rozpocząć ich przetwarzanie już po zgłoszeniu tego zbioru Generalnemu Inspektorowi. Jeżeli jednak w ramach prowadzonej działalności przetwarza tzw. dane wrażliwe określone w art. 27 ust. 1 powołanej ustawy (takie jak np. ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową), to może rozpocząć ich przetwarzanie dopiero po zarejestrowaniu zbioru (nie jest więc wystarczające samo dokonanie zgłoszenia, zbiór musi zostać najpierw zarejestrowany przez GIODO).

Zbiór danych to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów.

Zgłoszenie można przesłać pocztą lub złożyć w Biurze Generalnego Inspektora Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa). Można go dokonać także drogą elektroniczną po wcześniejszym podpisaniu kwalifikowanym podpisem elektronicznym albo podpisem elektronicznym potwierdzonym profilem zaufanym ePUAP. Zgłoszenie można również przesłać drogą elektroniczną bez użycia podpisu elektronicznego, a następnie uzupełnić zgłoszenie w formie papierowej. Aplikacja umożliwiająca skuteczne dokonanie zgłoszenia drogą elektroniczną znajduje się na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych w systemie „platforma e-giodo”.

GIODO rozpatruje nadesłane wnioski pod względem spełnienia wymogów ustawowych. W przypadku gdy wymogi te są spełnione, wpisuje zbiór do prowadzonego „Ogólnokrajowego rejestru zbiorów danych osobowych”. Na żądanie administratora danych GIODO wydaje zaświadczenie o zarejestrowaniu zgłoszonego przez niego zbioru danych.

Rejestracja czynności przetwarzania

Ogólne rozporządzenie o ochronie danych osobowych (RODO) odchodzi od obowiązku zgłaszania do rejestracji organowi nadzorczemu zbiorów przetwarzanych danych (w Polsce GIODO, a od 25 maja br. Prezes Urzędu Ochrony Danych Osobowych). To zaś oznacza, że od 25 maja br. administratorzy danych zarówno wrażliwych, jak i tych zwykłych, posiadający ustanowionego ABI (inspektora ochrony danych) czy też nie, nie będą zgłaszać żadnych zbiorów danych do rejestracji Prezesowi Urzędu Ochrony Danych Osobowych.

RODO kładzie duży nacisk na dokumentowanie czynności przetwarzania danych, jako jeden z podstawowych sposobów wykazywania przez administratorów danych zgodności prowadzonych działań na danych osobowych z wymogami rozporządzenia. Art. 30 RODO określa zasady rejestrowania czynności przetwarzania. Przy czym opisane w tym artykule obowiązki nie dotyczą przedsiębiorców lub innych podmiotów zatrudniających mniej niż 250 osób. Jednakże od tej zasady są wyjątki. Obowiązek rejestracji czynności przetwarzania obejmie również innych przedsiębiorców i inne podmioty, jeżeli przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 (są to tzw. dane wrażliwe dotyczące np. zdrowia) lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO. Powyższe oznacza, że takie rejestry będą musiały prowadzić np. przychodnie czy przedszkola integracyjne. Nawet jeżeli zatrudniają mniej niż 250 osób, to przetwarzają dane wrażliwe m.in. o stanie zdrowia pacjentów czy dzieci.

W przypadku administratorów danych rejestr czynności przetwarzania danych osobowych powinien zawierać następujące informacje:

– imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także – gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych,
– cele przetwarzania,
– opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
– kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
– dotyczące przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – gdy ma to zastosowanie,
– planowane terminy usunięcia poszczególnych kategorii danych – jeżeli jest to możliwe,
– ogólny opis technicznych i organizacyjnych środków bezpieczeństwa przetwarzania – jeżeli jest to możliwe.

W przypadku przetwarzających dane w imieniu administratora danych na podstawie umowy powierzenia (np. biura rachunkowe, firmy informatyczne) rejestr wszystkich kategorii czynności przetwarzania powinien zawierać:
– imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych,
– kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
– informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w niektórych przypadkach również o dokumentacji odpowiednich zabezpieczeń – gdy ma to zastosowanie,
– ogólny opis technicznych i organizacyjnych środków bezpieczeństwa – jeżeli jest to możliwe.

Elementy tych rejestrów są bardzo podobne do tych, które obecnie muszą zawierać zgłoszenia zbioru do rejestracji u GIODO oraz wewnętrzne rejestry zbiorów danych osobowych prowadzone przez ABI na podstawie ustawy o ochronie danych. Nowe rejestry będą musiały mieć formę pisemną, w tym formę elektroniczną. W praktyce to inspektor ochrony danych (w tych jednostkach, w których będzie ustanowiony) będzie tworzył i prowadził powyższe rejestry na podstawie danych otrzymanych od pozostałych komórek organizacji.

Podstawa prawna

Ustawa z dnia 29.08.1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.)

Źródło:

Gazeta Podatkowa nr 16 (1473) z dnia 22.02.2018, strona 18

dział: Wskazówki dla przedsiębiorcy

Autor: Marta Stefanowicz – Wasilewska