english

Ochrona danych osobowych – czy każdy zbiór danych trzeba zgłosić do GIODO?

Artykuł omawia kwestię związaną ze zgłoszeniem zbioru danych do rejestracji GIODO. Jeżeli mają Państwo wątpliwości czy gromadzone dane podlegają rejestracji – zachęcamy do kontaktu: biuro@opclegal.pl, tel.: +48 793 384 396.

Nie, nie zawsze trzeba zgłaszać zbiór danych do rejestracji GIODO (dla niecierpliwych – o tym piszemy w punkcie 5).

Ale po kolei. Najpierw wyjaśnijmy, co to są dane osobowe (1), potem czym jest zbiór danych osobowych (2), kto powinien zgłosić zbiór danych osobowych do rejestracji GIODO (3), kiedy zbiór danych osobowych należy zgłosić do rejestracji GIODO (4), a kiedy ustawa przewiduje zwolnienia z obowiązku rejestracji zbioru danych osobowych GIODO (5).

1. CO TO SĄ DANE OSOBOWE?

Dane osobowe to informacje dotyczące konkretnej osoby fizycznej. Zatem, jeżeli jakieś informacje pozwalają stwierdzić, że kryje się za nimi konkretna osoba fizyczna, to takie informacje będą danymi osobowymi.
Taka informacja może być wyrażona w dowolny sposób, np. słowem, zapisem elektronicznym, zapisem dźwiękowym (dlatego podczas rozmów z call center jesteśmy informowani o tym, że są one rejestrowane – jest to nasza zgoda na zapisywanie danych osobowych nas dotyczących, czyli naszego głosu), fotograficznym (zdjęcia przedstawiające osoby).

Przykłady danych osobowych:

a) numery identyfikacyjne, np.:

  • PESEL
  • NIP

b) dane o osobie:

  • imię
  • nazwisko
  • adres
  • głos (informujemy, że rozmowy są nagrywane)
  • numer telefonu
  • e-mail
  • IP komputera, numer rejestracyjny samochodu

c) czynniki określające cechy, np.:

  • wygląd zewnętrzny
  • grupa krwi
  • status majątkowy
  • pochodzenie
  • poglądy polityczne, przynależność religijna
  • stan zdrowia, nałogi, seksualność
  • orzeczenia dotyczące karania
  • kod genetyczny

Niemal każda informacja z udziałem człowieka może zostać uznana za informację zindywidualizowaną, gdyż zawsze istnieje możliwość określenia tożsamości człowieka. Dlatego informacji nie uznaje się za dane osobowe, gdy możliwość określenia tożsamości osoby byłaby nadmiernie kosztowna lub czasochłonna.

Jak wynika z powyższego, niemal w każdym biznesie korzysta się z danych osobowych. Sklep internetowy, produkt w modelu SaaS – korzystają z danych osobowych klientów. Wysyłając newsletter – korzystamy z danych osobowych w postaci adresów e-mail (a czasem imienia i nazwiska adresata).

2. CZYM JEST ZBIÓR DANYCH OSOBOWYCH?

Zbiór danych osobowych występuje wówczas, gdy zebrane dane osobowe są uporządkowane i dostępne według określonych kryteriów.
Zatem, żeby jakikolwiek zestaw danych mógł zostać zakwalifikowany jako zbiór podlegający rejestracji, musi on wykazywać się uporządkowaną strukturą, w której możliwe jest odnalezienie informacji bez potrzeby przeglądania całego zestawu. Możliwość posłużenia się jakimkolwiek kryterium osobowym (np. imię, nazwisko, data urodzenia, PESEL) bądź nieosobowym (np. data zamieszczenia danych w zbiorze, numer referencyjny) w celu wyszukania informacji o danych osobowych jest decydująca dla uznania zebranych danych za zbiór danych osobowych.

Zbiorem danych osobowych będzie więc np. baza klientów sklepu bądź serwisu internetowego, baza adresatów newslettera, rejestr danych przetwarzanych w związku z prowadzeniem spraw księgowych czy rejestr darczyńców bądź osób, którym została udzielona pomoc w przypadku fundacji i stowarzyszeń.
Jeżeli zbieramy dane, ale nie tworzą one zbioru danych w rozumieniu tej definicji (nie są w żaden sposób uporządkowane), to nie musimy ich zgłaszać i rejestrować w GIODO.

3. KOGO DOTYCZY OBOWIĄZEK REJESTRACJI ZBIORU DANYCH OSOBOWYCH?

Co do zasady zbiór danych osobowych należy zarejestrować w GIODO.
Obowiązek ten dotyczy KAŻDEGO administratora danych osobowych. Administratora danych osobowych czyli podmiotu, który decyduje o zebranych danych osobowych (posiłkując się ustawą – administratorem danych osobowych jest podmiot decydujący o celach i środkach przetwarzania danych osobowych). Nie ma przy tym znaczenia to, czy przedsiębiorca, który korzysta z newslettera, wykonuje wszystkie związane z nim czynności sam, czy zlecił zebranie bazy mailingowej i przesyłanie newslettera podmiotowi zewnętrznemu (czyli tym samym zlecił przetwarzanie danych) – przedsiębiorca ten jest wciąż administratorem danych osobowych i to na nim ciąży obowiązek zgłoszenia zbioru danych osobowych do rejestracji GIODO.

4. ZGŁOSZENIE ZBIORU

Zgłoszenia zbioru danych osobowych do rejestracji GIODO należy dokonać przed rozpoczęciem przetwarzania danych osobowe w zbiorze, czyli jeszcze przed pozyskaniem pierwszych danych do zbioru. Jeżeli zbiór obejmuje wyłącznie tzw. dane zwykłe, możemy rozpocząć ich przetwarzanie już od momentu zgłoszenia (w przypadku zbioru danych zawierającego dane wrażliwe, z rozpoczęciem przetwarzania należy zaczekać do momentu rejestracji zbioru przez GIODO i otrzymania odpowiedniego zaświadczenia).

Zbiór danych zgłaszamy do GIODO na odpowiednim formularzu w formie papierowej lub za pośrednictwem elektronicznej platformy e-GIODO.
Tutaj opublikowaliśmy artykuł z instrukcją, jak wypełnić wniosek.

5. ZWOLNIENIA Z OBOWIĄZKU REJESTRACJI

Przed przystąpieniem do wypełniania odpowiedniego zgłoszenia warto zapoznać się z przewidzianym w art. 43 u.o.d.o. zamkniętym katalogiem wyjątków od obowiązku rejestracji.

Zgłoszeń zbioru danych do rejestracji GIODO nie muszą dokonywać m.in. administratorzy danych:

1) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się (wyjątek ten dotyczy w szczególności aktualnych i byłych pracowników administratora danych osobowych, kandydatów do pracy, osób pracujących na podstawie umowy zlecenia lub umowy o dzieło);

2) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;

3) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;

4) powszechnie dostępnych (np. dane dostępne w książce telefonicznej, Internecie czy prasie);

5) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego (np. zbiory będące rejestrami przepustek jednorazowych, kontakty w telefonie służbowym);

6) przetwarzanych w zbiorach papierowych (jednakże wyjątek ten nie dotyczy danych wrażliwych, tj. ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym);

7) którzy powołali i zgłosili do GIODO administratora bezpieczeństwa informacji.

Powyższe zwolnienia dotyczą jedynie obowiązku zgłoszenia zbioru danych do rejestracji GIODO. Administrator danych obowiązany jest stosować się do wszelkich pozostałych zasad przetwarzania danych osobowych przewidzianych przez u.o.d.o. i przepisy wykonawcze.

opublikowano: 06/04/2017, autor: Natalia Łaski