english

Ochrona danych osobowych – jak zgłosić zbiór danych do rejestracji GIODO?

Artykuł omawia kwestię związaną ze zgłoszeniem zbioru danych do rejestracji GIODO. Jeżeli mają Państwo wątpliwości co do sposobu wypełnienia wniosku lub też mają Państwo inne pytania dotyczące tematu – zachęcamy do kontaktu: biuro@opclegal.pl, tel.: +48 793 384 396.

ZGŁOSZENIE – INFORMACJE PRAKTYCZNE

Zgłoszenie zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych powinno zostać dokonane przed rozpoczęciem przetwarzania danych, czyli z reguły przed rozpoczęciem zbierania danych osobowych. Ponadto zgłoszenie nie obejmuje poszczególnych danych przetwarzanych w zbiorze, ani dokumentów potwierdzających zawarte w nim oświadczenia (np. polityki bezpieczeństwa). Zgłoszeniu podlega wyłącznie zbiór danych osobowych.

Zgłaszając zbiór danych osobowych do rejestracji GIODO, administratorzy danych powinni pamiętać o zasadzie, że jedno zgłoszenie obejmuje tylko jeden zbiór danych osobowych. Zgłoszeniu zbioru danych osobowych do rejestracji GIODO podlegają zbiory prowadzone z użyciem systemu informatycznego. Administrator danych ma obowiązek zgłoszenia zbioru prowadzonego w formie papierowej tylko wówczas, gdy przetwarzane są w nim dane wrażliwe.

Zgłoszenia zbioru danych osobowych należy dokonać na formularzu stanowiącym załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, który jest dostępny również w formie elektronicznej za pośrednictwem „Elektronicznej platformy komunikacji z Generalnym Inspektorem Ochrony Danych Osobowych” (e-GIODO).

Papierową wersję zgłoszenia (wymaganą także w przypadku przesłania wniosku za pośrednictwem platformy bez podpisu elektronicznego) można przesłać pocztą bądź złożyć osobiście w Biurze GIODO (ul. Stawki 2, 00-193 Warszawa). Administratorzy danych osobowych, którzy posiadają kwalifikowany podpis elektroniczny bądź elektroniczny podpis potwierdzony profilem zaufanym e-PUAP, mogą dokonać zgłoszenia w formie elektronicznej bez konieczności dostarczenia wersji papierowej do GIODO.

Na administratorze danych, który dokonał zgłoszenia zbioru, ciąży ponadto obowiązek poinformowania GIODO o każdej zmianie informacji w stosunku do tej podanej w zgłoszeniu, w terminie 30 dni od dnia dokonania zmiany (w przypadku, gdy zmiana dotyczy rozszerzenia zakresu przetwarzanych danych o dane wrażliwe, zmianę tę należy zgłosić przed jej dokonaniem).

Zgłoszenie zbioru danych osobowych do rejestracji GIODO oraz zgłoszenie zmian informacji zawartych w zgłoszeniu jest wolne od opłat.
Gdy zbiór obejmuje wyłącznie tzw. dane zwykłe, można rozpocząć ich przetwarzanie już od momentu zgłoszenia. Natomiast, jeżeli zgłoszony zostaje zbiór danych zawierający dane wrażliwe, wówczas z rozpoczęciem przetwarzania należy zaczekać do momentu rejestracji zbioru danych osobowych przez GIODO i otrzymania odpowiedniego zaświadczenia.


FORMULARZ KROK PO KROKU

W kolejnej części artykułu przeanalizujemy krok po kroku formularz zgłoszenia na przykładzie zbioru danych osobowych o nazwie Klienci sklepu XYZ.

Wypełnienie formularza rozpoczynamy od określenia przedmiotu naszego zgłoszenia. Do wyboru mamy trzy możliwości:
(i) zgłoszenie zbioru na podstawie art. 40 ustawy o ochronie danych osobowych (u.o.d.o.) (tzw. zbioru zwykłego),
(ii) zgłoszenie zmian na podstawie art. 41 ust. 2 u.o.d.o. oraz
(iii) zgłoszenie zbioru, w którym będą przetwarzane dane określone w art. 27 ust. 1 u.o.d.o. (tzw. dane wrażliwe).

W naszym wniosku zaznaczamy pierwszy kwadracik, ponieważ chcemy zgłosić nowy zbiór niezawierający danych wrażliwych (tak zresztą będzie w zdecydowanej większości zgłaszanych zbiorów). Co ważne, w tej części wniosku należy zaznaczyć tylko jedno pole, w przeciwnym razie wniosek nie zostanie rozpatrzony.

Część A. Nazwa zbioru danych

Pierwsza część wniosku dotyczy nazwy zgłaszanego zbioru danych osobowych – w naszym przypadku brzmi ona Klienci sklepu XYZ. W tym zakresie nie obowiązują żadne szczegółowe wytyczne, każdy administrator danych może w zasadzie dowolnie określić nazwę zbioru. Ważne jest tylko, aby pamiętać o dwóch zasadach – określenia nazwy w sposób jak najbardziej zwięzły i adekwatny do rodzaju danych przetwarzanych w zbiorze.

Część B. Charakterystyka administratora danych

1. Wnioskodawca (administrator danych)
W tym polu wskazujemy:
 nazwę administratora danych (UWAGA: w przypadku spółek prawa handlowego administratorem spółki nie jest jej prezes, a sama spółka – zatem w tym miejscu wpisujemy pełną nazwę spółki);
 adres siedziby administratora;
 numer REGON.
W przypadku, gdy zgłaszającym jest osoba fizyczna, wpisujemy jej imię i nazwisko oraz adres zamieszkania.

2. Przedstawiciel wnioskodawcy, o którym mowa w art. 31a u.o.d.o.
Administrator danych osobowych, który ma siedzibę albo miejsce zamieszkania w państwie trzecim i jednocześnie przetwarza dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium naszego kraju, jest obowiązany wyznaczyć swojego przedstawiciela w Polsce. Pojęcie państwa trzeciego oznacza państwo nienależące do Europejskiego Obszaru Gospodarczego (EOG tworzą państwa członkowskie Unii Europejskiej oraz Islandia, Lichtenstein i Norwegia).

Jeżeli komentowany przepis ma zastosowanie i administrator danych wyznaczył swojego przedstawiciela w Polsce, w tym punkcie należy podać jego nazwę i adres siedziby lub imię i nazwisko oraz adres zamieszkania. W naszym przypadku to pole pozostawiamy puste.

3. Powierzenie przetwarzania danych osobowych
Zgodnie z art. 31 u.o.d.o. administrator danych może powierzyć innemu podmiotowi przetwarzanie danych w drodze umowy zawartej na piśmie. Jak wyjaśnia sam GIODIO: Instytucja powierzenia przetwarzania danych, o której mowa w art. 31 ustawy, ma bardzo istotne znaczenie praktyczne. Zezwala ona administratorowi danych na skorzystanie z usług wyspecjalizowanych podmiotów zewnętrznych. Oznacza to, że administrator danych osobowych nie musi osobiście wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Może powierzyć ich przetwarzanie – w całości lub w części (źródło).

Wskazany przepis ma na celu zapobieżenie sytuacji, w której powierzenie przez administratora innemu podmiotowi przetwarzania danych prowadziłoby do osłabienia ich ochrony. W praktyce ma on zastosowanie m.in. w przypadkach, takich jak zlecanie obsługi księgowej zewnętrznym podmiotom czy korzystanie z usług firmy informatycznej. W takich sytuacjach podmioty zewnętrzne mogą uzyskać dostęp do chronionych danych osobowych (co jest niezbędne do wykonania usługi) jedynie na podstawie odpowiedniej umowy.

Jeżeli administrator powierzył przetwarzanie danych innemu podmiotowi, w punkcie tym należy podać nazwę i siedzibę tego podmiotu. Natomiast w przypadku, gdy administrator jeszcze nie powierzył żadnemu podmiotowi przetwarzania danych, ale przewiduje dokonanie tej czynności – należy zaznaczyć drugi kwadracik i – po podpisaniu umowy powierzenia przetwarzania danych osobowych – zgłosić do GIODO zmianę tej informacji. W naszym formularzu niniejsze pole pozostawimy puste.

4. Podstawa prawna upoważniająca do prowadzenia zbioru danych

Dla naszego zbioru danych – bazy klientów sklepu internetowego – jako podstawy prawne upoważniające do prowadzenia zbioru posłużą nam dwie przesłanki.

a) Zgoda osoby, której dane dotyczą, na przetwarzanie danych jej dotyczących

Przesłanka ta nie jest tak oczywista, jak mogłoby się wydawać i wymaga szerszego omówienia. Po pierwsze, zgoda musi być wyraźna, nie może być dorozumiana albo domniemana z innego oświadczenia woli. W tym świetle za niedopuszczalne należy uznać takie praktyki, jak automatyczne zaznaczenie opcji „tak” obok klauzuli zgody (tzw. opcja domyślna), czy umieszczanie zgody w dokumentach pośrednich obowiązujących klienta (np. w regulaminie). Oznacza to, że do wyrażenia zgody na przetwarzanie danych osobowych niezbędne jest aktywne działanie klienta. Natomiast forma wyrażenia zgody może być dowolna, np. mailowa, telefoniczna czy poprzez zaznaczenie odpowiedniego checkboxa.

Po drugie, zgoda musi być dobrowolna. Klient musi mieć możliwość swobodnego, nieskrępowanego podjęcia decyzji w sprawie wyrażenia zgody.
Po trzecie, administrator danych, przed pozyskaniem zgody na przetwarzanie danych osobowych, musi wypełnić ciążący na nim obowiązek informacyjny. Administrator danych jest obowiązany poinformować osobę, od której zbiera dane o: (i) celu i zakresie, w jakim dane mają być przetwarzane, (ii) swoich danych (pełnej nazwie i adresie siedziby bądź w przypadku osób fizycznych – o imieniu i nazwisku oraz miejscu zamieszkania), (iii) prawie dostępu do treści swoich danych oraz ich poprawiania, (iv) dobrowolności albo obowiązku podania danych.
Każdy właściciel sklepu internetowego (administrator danych) powinien przygotować odpowiednią klauzulę zgody adekwatną do powyższych wytycznych, aby nie narazić się na zarzut nielegalnego pozyskania i przetwarzania danych osobowych.

b) Przetwarzanie jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą

W przypadku zbioru danych będącego bazą klientów, przesłanka ta ma podstawowe znaczenie. Zezwala ona na przetwarzanie danych osobowych klienta przez właściciela sklepu internetowego w taki sposób i w takim zakresie, w jakim jest to niezbędne do wywiązania się z umowy sprzedaży, która została zawarta z klientem. Ponadto swoim zakresem obejmuje także przetwarzanie danych osobowych w trakcie różnorakich procedur prowadzących do zawarcia umowy, jak np. procedury przetargowej czy konkursowej. Opierając swoją legitymację do przetwarzania danych osobowych klienta na tej przesłance trzeba jednak pamiętać, że umożliwia ona przetwarzanie danych tylko przez okres konieczny do wykonania bądź zawarcia umowy.
Tak więc, zaznaczamy pierwsze oraz trzecie pole wyboru w naszym formularzu i przechodzimy do części C.

Część C. Cel przetwarzania danych, opis kategorii osób, których dane dotyczą oraz zakres przetwarzanych danych

5. Cel przetwarzania danych w zbiorze
Określenie celu przetwarzania danych w zbiorze jest bardzo ważną częścią niniejszego zgłoszenia, gdyż to właśnie na tej podstawie w trakcie jego weryfikacji będzie badana przesłanka adekwatności. Oznacza ona, że administrator danych może zbierać tylko tyle danych osobowych, ile jest konieczne dla osiągnięcia celu, w jakim dane będą przetwarzane. Dlatego też warto określić ten cel dokładnie, tak aby nie powstały żadne wątpliwości, czy jest on proporcjonalny do zakresu zbieranych danych.
W naszym formularzu pole to wypełnimy w następujący sposób: Zarządzanie relacjami z klientami i potencjalnymi klientami oraz wykonywanie umów.

6. Opis kategorii osób, których dane dotyczą
W polu tym należy wpisać krótkie, zbiorcze określenie osób, których dane osobowe mają być przetwarzane, np. klienci, adresaci newslettera, subskrybenci. W żadnym wypadku nie chodzi o wskazanie konkretnych danych, np. imion i nazwisk poszczególnych osób.
W naszym formularzu pole to wypełnimy w następujący sposób: Klienci sklepu internetowego XYZ.

7. Zakres przetwarzania w zbiorze danych o osobach
Punkty 7 i 8 dotyczą zakresu przetwarzanych danych osobowych zwykłych. Natomiast w punktach 9 i 10 można wskazać zakres oraz podstawy prawne przetwarzania danych osobowych wrażliwych – w naszym omówieniu zgłoszenia pominiemy te dwa punkty, gdyż nie mają one zastosowania do zgłaszanego przez nas zbioru danych.

Punkt numer 7 wymienia wszystkie najczęściej występujące dane osobowe, spośród których należy wybrać i zaznaczyć krzyżykiem te, które będą przetwarzane. W naszym przypadku – zbioru zawierającego dane klientów sklepu internetowego – w zupełności wystarczy, jeśli zaznaczymy następujące pola: nazwiska i imiona, adres zamieszkania lub pobytu, Numer Identyfikacji Podatkowej, numer telefonu.
Wypełniając tę część formularza należy przez cały czas mieć na uwadze, aby zakreślone dane były adekwatne do celu ich przetwarzania, wskazanego w punkcie 5.

8. Inne dane osobowe, oprócz wymienionych w pkt 7, przetwarzane w zbiorze
W polu tym należy wymienić zakres danych, które będą przetwarzane i które nie zostały zawarte we wcześniejszym wyliczeniu. W naszym formularzu wpisujemy: adres e-mail.

9. Dane przetwarzane w zbiorze
Tę część zostawiamy pustą.

10. Podstawa prawna przetwarzania danych wskazanych w pkt 9

Tę część zostawiamy pustą.

Część D. Sposób zbierania oraz udostępniania danych

11. Sposób zbierania danych do zbioru
W punkcie tym przekazujemy GIODO informację o źródle pozyskiwania danych osobowych do zbioru. Mamy do wyboru dwie możliwości, spośród których trzeba zaznaczyć przynajmniej jedną (w przypadku, jeżeli dane będą pozyskiwane zarówno od osób, których dotyczą, jak i z innych źródeł, wówczas należy zaznaczyć obydwa wymienione w tym punkcie pola wyboru).

Pojęcie „innych źródeł” co do zasady związane jest z odpłatnym pozyskiwaniem baz danych osobowych od innych przedsiębiorców. W naszym przypadku zakładamy, że będziemy zbierać dane bezpośrednio od osób, których one dotyczą (na podstawie wyrażonej zgody i w związku z wykonywaniem umowy) i zaznaczamy pierwszy kwadracik.

12. Sposób udostępniania danych ze zbioru

Udostępnienie danych to realizowana przez administratora danych operacja przetwarzania danych osobowych, w wyniku której dane zostają przekazane innemu podmiotowi. Podmiot ten staje się ich administratorem i, co za tym idzie, uzyskuje możliwość decydowania o celach i środkach ich przetwarzania. Oznacza to, że – w przeciwieństwie do powierzenia przetwarzania danych – wskutek udostępnienia administrator danych traci kontrolę nad tym, co będzie się z nimi działo. W praktyce w obrocie gospodarczym udostępnienie danych występuje najczęściej w przypadku handlu bazami danych.

Zgodnie z u.o.d.o. odbiorcą danych jest każdy, komu udostępnia się dane osobowe, z wyłączeniem: (i) osoby, której dane dotyczą, (ii) osoby upoważnionej do przetwarzania danych, (iii) przedstawiciela, o którym była mowa w punkcie 2 zgłoszenia, (iv) podmiotu, o którym była mowa w punkcie 3 zgłoszenia, (v) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

Zatem, jeśli – jako administratorzy danych – planujemy udostępniać wchodzące w skład zbioru dane podmiotom innym niż wyżej wymienione, w punkcie tym należy zaznaczyć kwadracik i w punkcie 13 wskazać te podmioty (ich nazwę i adres siedziby lub imię i nazwisko oraz adres zamieszkania). Ponieważ w naszym formularzu zakładamy, że dane ze zbioru nie będą udostępniane, pole wyboru pozostawiamy puste i przechodzimy do punktu 14.

13. Odbiorcy lub kategorie odbiorców, którym dane mogą być przekazywane
Tę część zostawiamy pustą.

14. Informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego
Jak już zostało wyjaśnione w punkcie 2, państwami trzecimi są państwa nienależące do Europejskiego Obszaru Gospodarczego (w którego skład wchodzi Unia Europejska oraz Islandia, Lichtenstein i Norwegia). Wskutek ustawodawstwa unijnego na terenie państw należących do EOG został zapewniony swobodny przepływ danych osobowych oraz ujednolicony poziom ich ochrony, co w efekcie pozwala na przekazywanie danych pomiędzy tymi państwami bez konieczności informowania o tym fakcie GIODO. W celu utrzymania tego poziomu, w przypadku przekazywania danych do państwa trzeciego, administrator danych musi pamiętać o konieczności spełnienia dodatkowych wymagań przewidzianych w rozdziale 7 u.o.d.o.
W naszym formularzu tę część zostawiamy pustą.

Część E. Opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36 – 39 u.o.d.o.

15. Sposób prowadzenia zbioru danych osobowych
a) centralnie bądź w architekturze rozproszonej
Pomimo, że użyta w tym podpunkcie terminologia wygląda na skomplikowaną, wyjaśnienie jej nie jest trudne. Centralne prowadzenie zbioru danych oznacza – najprościej rzecz ujmując – zlokalizowanie danych należących do tego zbioru w jednym miejscu (w jednym pomieszczeniu, budynku, na jednym serwerze, nośniku).

Natomiast prowadzenie zbioru w architekturze rozproszonej oznacza, że dane są przetwarzane w sposób zdecentralizowany (w różnych miejscach, na różnych nośnikach), czego najlepszym przykładem jest przetwarzanie danych za pomocą systemu informatycznego, do którego możliwy jest dostęp z kilku stanowisk komputerowych czy na dwóch serwerach zlokalizowanych w odrębnych budynkach.
W punkcie tym wybieramy drugi kwadracik (w tym miejscu należy zaznaczyć tylko jeden z nich).

b) wyłącznie w postaci papierowej bądź z użyciem systemu informatycznego
Podpunkt ten chyba nie wymaga dokładniejszych wyjaśnień – zakładając, że nasz sklep korzysta z komputerów i innych urządzeń oraz programów służących do przetwarzania danych osobowych, zaznaczamy drugie pole wyboru (w tym punkcie również należy wybrać tylko jedno pole).

c) z użyciem co najmniej jednego urządzenia systemu informatycznego służącego do przetwarzania danych osobowych połączonego z siecią publiczną (np. Internet) bądź bez użycia takiego urządzenia
W dobie dynamicznego rozwoju technologicznego zapewne wielu osobom ciężko jest wyobrazić sobie komputer bądź inne urządzenie (router, modem) bez dostępu do Internetu, dlatego też w odniesieniu do zbiorów prowadzonych w systemie informatycznym w zdecydowanej większości przypadków będą Państwo w tym podpunkcie zaznaczać drugie pole wyboru. Tak też robimy i w naszym zgłoszeniu.

16. Informacja dotycząca spełnienia wymogów określonych w art. 36 – 39 u.o.d.o.
Podpunkty od 16a do 16e wskazują wymogi, które każdy administrator danych obowiązany jest spełnić przed rozpoczęciem przetwarzania danych w zbiorze.

a) informacja o tym, czy został wyznaczony administrator bezpieczeństwa informacji (ABI)
Do zadań ABI (może być nim, np. pracownik spółki lub zewnętrzna firma świadcząca tego typu usługi) należy, najogólniej mówiąc, zapewnianie przestrzegania przepisów o ochronie danych osobowych. Zgodnie z obecnymi przepisami administrator danych może powołać ABI, ale nie musi. Jeśli administrator danych nie zdecyduje się na powołanie ABI (co w odpowiedni sposób trzeba zgłosić do GIODO), wówczas musi samodzielnie wykonywać należące do niego czynności związane z zapewnieniem odpowiedniego poziomu przetwarzania danych, m.in. sprawdzanie zgodności przetwarzania danych osobowych z przepisami, opracowanie i aktualizowanie odpowiedniej dokumentacji, zapoznawanie osób upoważnionych do przetwarzania danych z przepisami o ochronie danych osobowych, prowadzenie rejestru zbiorów.
W naszym formularzu zaznaczamy drugie pole wyboru – administrator danych sam wykonuje czynności administratora bezpieczeństwa informacji.

b) do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych

c) prowadzona jest ewidencja osób upoważnionych do przetwarzania danych
Powyższe dwa punkty są ze sobą powiązane – do przetwarzania danych mogą zostać dopuszczone wyłącznie osoby, które otrzymały wcześniej indywidualne upoważnienie, a administrator danych ma obowiązek prowadzenia ewidencji takich upoważnień.
Oczywiście obydwa punkty należy zaznaczyć.

d) została opracowana i wdrożona polityka bezpieczeństwa

e) została opracowana i wdrożona instrukcja zarządzania systemem informatycznym
Zarówno polityka bezpieczeństwa, jaki i instrukcja zarządzania systemem informatycznym to wskazane przez ustawodawcę minimum dokumentacji dotyczącej przetwarzania danych osobowych, którą każdy administrator danych musi wdrożyć (oczywiście instrukcja zarządzania systemem informatycznym nie ma zastosowania do zbiorów prowadzonych wyłącznie w formie papierowej). Z uwagi na obszerną materię dokładnego omówienia tych dokumentów dokonamy w osobnych artykułach.
W tym miejscu należy podkreślić, że do zgłoszenia zbioru danych do rejestracji GIODO wystarczy zaznaczenie podpunktów d) i e) w formularzu – dokumentów tych nie należy załączać do zgłoszenia.

f) inne środki zastosowane w celu zabezpieczenia danych
Jeżeli zapewniamy jakiekolwiek inne środki ochrony danych osobowych, w tym miejscu należy je wskazać. Dla przykładu mogą to być:
 środki ochrony fizycznej, takie jak monitoring, służba ochrony zabezpieczająca dostęp do budynku;
 środki sprzętowe, informatyczne i telekomunikacyjne, takie jak określenie zasad szyfrowania w procesie przetwarzania danych, stosowanie identyfikatorów oraz haseł;
 środki organizacyjne, takie jak szkolenia z zakresu przepisów i procedur dotyczących danych osobowych.

Część F. Informacja o sposobie wypełniania warunków technicznych i organizacyjnych, o których mowa w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024)

17. Wskazanie poziomu, na jakim zostały zastosowane środki bezpieczeństwa
UWAGA – ta część zgłoszenia dotyczy wyłącznie zbiorów prowadzonych w systemach informatycznych.

Zgodnie z § 6 ww. rozporządzenia:
a) poziom co najmniej podstawowy stosuje się, gdy: (i) w systemie informatycznym nie są przetwarzane dane wrażliwe oraz (ii) żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną;
b) poziom co najmniej podwyższony stosuje się, gdy: (i) w systemie informatycznym przetwarzane są dane wrażliwe oraz (ii) żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną;
c) poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego połączone jest z siecią publiczną bez względu na rodzaj przetwarzanych danych.

Ponieważ w punkcie 15c naszego zgłoszenia zaznaczyliśmy pierwsze pole wyboru, jesteśmy zobowiązani do przetwarzania danych osobowych na poziomie wysokim i do tego też poziomu musimy dostosować wszystkie środki bezpieczeństwa.

Tak wypełniony formularz należy jeszcze tylko podpisać zgodnie z zasadami reprezentacji i zgłoszenie zbioru danych jest gotowe do doręczenia GIODO.


Trzeba jednak podkreślić, że zgłoszenie zbioru danych do rejestracji GIODO to tylko jeden z obowiązków administratora danych i nie przesądza ono o przetwarzaniu danych osobowych zgodnie z prawem. Przede wszystkim każdy administrator danych powinien pamiętać o dopełnieniu wszelkich obowiązków formalnych i zastosowaniu odpowiednich środków organizacyjnych i technicznych w celu zapewnienia należytej ochrony danych osobowych.

Opisany w niniejszym artykule formularz zgłoszenia zbioru danych do rejestracji GIODO będzie aktualny w takim kształcie do dnia 24 maja 2018 roku. Po tym dniu zacznie obowiązywać Ogólne Rozporządzenie o Ochronie Danych Osobowych, którego regulacje będą miały zastosowanie do wszystkich administratorów danych. O wszelkich zmianach wynikających z Rozporządzenia poinformujemy w osobnym artykule.

opublikowano: 06/04/2017, autor: Natalia Łaski