Kiedy zbiór danych osobowych należy zgłosić do GIODO?

Działania podejmowane w związku z danymi różnych osób, określane są w przepisach jako "przetwarzanie danych osobowych". Takie czynności pojawiają się w praktyce działalności wielu przedsiębiorców, zwłaszcza wykorzystujących marketing internetowy. W związku z tym warto znać przepisy regulujące ochronę danych osobowych.

dane osobowe
foto: Hemera/Thinkstockk


Przetwarzanie danych osobowych w przedsiębiorstwach może służyć różnym celom: realizacji umów, działaniom marketingowym czy analizie rynku, na którym działa przedsiębiorca. Dane te mogą dotyczyć różnych grup osób, np. użytkowników strony internetowej, potencjalnych i obecnych klientów, pracowników własnych czy pracowników firm współpracujących. Dane osobowe, jako dobra osobiste człowieka, podlegają szczególnej ochronie prawnej uregulowanej w ustawie o ochronie danych osobowych. Jednym z elementów tej ochrony jest obowiązek zgłoszenia zbioru takich danych Głównemu Inspektorowi Ochrony Danych Osobowych (GIODO). Dopiero dopełnienie tego obowiązku, co do zasady, umożliwia legalne przetwarzanie danych osobowych.

Czym są dane osobowe?


Dane osobowe dłużników a windykacja należności»Dane osobowe dłużników a windykacja należności
Dane osobowe, to wszelkie informacje, które pozwalają na zidentyfikowanie tożsamości konkretnej osoby fizycznej, a pozyskanie takich informacji nie wymaga nadmiernych kosztów, czasu lub działań. Danymi osobowymi nie są zatem dane dotyczące innych podmiotów, takich jak osoby prawne (np. spółki kapitałowe) czy tzw. ułomne osoby prawne (np. stowarzyszenia zwykłe). Przepisy nie zawierają katalogu konkretnych informacji stanowiących dane osobowe podlegające ochronie. Niemniej wśród nich można wyróżnić:
  • imię i nazwisko,
  • wizerunek (zdjęcie),
  • adres zamieszkania,
  • dane ewidencyjne (np. PESEL i NIP),
  • informacje, które w połączeniu z innymi danymi pozwalają na identyfikację konkretnej osoby (np. adres e-mail, czy numer IP urządzenia podłączonego do Sieci).

Co podlega rejestracji GIODO?


Zbiory danych osobowych podlegają obowiązkowi zgłoszenia GIODO. W jaki sposób stwierdzić czy dane zestawienie jest zbiorem danych osobowych? Decydują o tym następujące kryteria:
  • zbiór zawiera dane osób fizycznych,
  • zbiór posiada strukturę,
  • zbiór umożliwia wyszukiwanie na podstawie co najmniej dwóch różnych kryteriów.

Nie ma jednak znaczenia czy zbiór ten stanowi jednolitą całość czy też jest rozproszony lub podzielony funkcjonalnie. Co ciekawe, o tym czy mówimy o zbiorze nie decyduje liczba rekordów. Za zbiór uważa się bowiem dane choćby jednej osoby fizycznej, pod warunkiem, że zapisane są różne informacje na jej temat.

 »Błędy popełniane przez sklepy internetowe 


W niektórych interpretacjach przepisów o ochronie danych osobowych, od zbioru danych osobowych odróżnia się zbiór ewidencyjny. Charakteryzuje się on m.in. tym, że nie jest sporządzany w sposób automatyczny, lecz ręcznie (np. poprzez własnoręczne sporządzenie listy danych osobowych na komputerze). Zgodnie z orzecznictwem Naczelnego Sądu Administracyjnego zbiory ewidencyjne nie podlegają rejestracji, ponieważ umożliwiają dostęp do danych osobowych na podstawie jednego kryterium. Niemniej jednak stanowisko GIODO jest w tym zakresie odmienne - jego zdaniem zbiory ewidencyjne również należy zgłaszać.

Jakie zbiory danych osobowych podlegają rejestracji?


Zgodnie z ogólną zasadą w ustawie o ochronie danych osobowych, każdy zbiór danych osobowych powinien być zgłoszony GIODO. Przepisy przewidują jednak w tym zakresie wyjątki, które w przypadku przedsiębiorców dotyczą m.in. następujących danych osobowych:
  • zawierających informacje niejawne,
  • przetwarzanych w związku z zatrudnieniem na podstawie umów cywilnoprawnych,
  • dotyczących osób korzystających z usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta będących administratorami zbioru danych,
  • przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
  • przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

ochrona danych osobowych» Ochrona danych osobowych pracowników firmy
Dla przedsiębiorców szczególne znaczenie ma ma brak konieczności rejestrowania zbioru danych osobowych przetwarzanych wyłącznie w celu wystawienia faktury lub rachunku. Warto jednak pamiętać, że jeśli obok wspomnianego celu przedsiębiorca wykorzystuje takie dane osobowe np. dla celów marketingowych, to zbiór podlega obowiązkowi rejestracji.

Rejestracja zbioru danych osobowych - kiedy i w jaki sposób należy jej dokonać?


Obowiązek zgłoszenia zbioru danych osobowych spoczywa na jego administratorze, którym jest organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach, dla jakich dane osobowe są przetwarzane i środkach, za pomocą których to przetwarzanie się odbywa. Administratorem danych osobowych może być zatem np. przedsiębiorca posługujący się cudzymi danymi dla potrzeb prowadzonej działalności. Nie ma przy tym znaczenia w jakiej formie prowadzona jest ta działalność i na czym polega. Innymi słowy, administratorem danych osobowych może być zarówno przedsiębiorca działający głównie w Internecie, jak i przedsiębiorca w ogóle w Sieci nieobecny.

Rejestracji zbioru danych osobowych dokonuje GIODO na wniosek przedsiębiorcy, złożony przed przystąpieniem do ich przetwarzania, przez które należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych. Chodzi zwłaszcza o takie czynności, jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych. Dopiero rejestracja zbioru danych osobowych umożliwia legalne ich przetwarzanie. Z kolei wszelkie zmiany w zgłoszonym zbiorze danych należy rejestrować w terminie 30 dni od ich zaistnienia.

 »Odpowiedzialność karna i duże kary finansowe za brak ochrony danych osobowych 


Zgłoszenia zbioru danych osobowych dokonuje się poprzez złożenie wypełnionego formularza, którego wzór dostępny jest na stronie internetowej GIODO (www.giodo.gov.pl). Formularz zgłoszenia można wysłać pocztą, złożyć osobiście w siedzibie urzędu w Warszawie lub złożyć za pośrednictwem specjalnej strony internetowej. Jest to elektroniczna platforma komunikacji z Generalnym Inspektorem Ochrony Danych Osobowych, czyli e-giodo.

Sankcje za niezgłoszenie zbioru danych osobowych


Zaniechanie obowiązku w zakresie rejestracji zbioru danych osobowych lub jego zmian stanowi czyn zabroniony, zagrożony karą grzywny, ograniczenia wolności, a nawet pozbawienia wolności do jednego roku. Sankcje te nie grożą jednak za zgłoszenie niekompletnego zbioru danych osobowych. Kwestia identyfikacji posiadanego zbioru danych osobowych, jako podlegającego rejestracji, leży po stronie administratora danych. Tym niemniej, istnieje możliwość, że GIODO nie zgodzi się z interpretacją przedsiębiorcy i potraktuje posiadany zbiór, jako wymagający rejestracji. Z tego powodu najbezpieczniej jest po prostu złożyć do GIODO stosowny wniosek o rejestrację zbioru danych osobowych. Jeżeli zbiór nie podlega ustawowemu obowiązkowi, urząd odmówi rejestracji i przekaże taką informację zainteresowanemu.


/Sebastian Bobrowski (inFakt)
Źródło:
Oszczędzanie dla długodystansowców - co wybrać?
Dodałeś komentarz Twój komentarz został zapisany i pojawi się na stronie za kilka minut.

Nowy komentarz

Anuluj
0 0 ~Mesjasz

Sankcje za niezgłoszenie zbioru danych osobowych są dość wysokie od 10-50tys zł a kara pozbawienia wolności słyszałem że 2 lata a nie 1 rok.(zgodnie z artykułem 49 ust. 1 ustawy o ochronie danych osobowych). Kompleksowa dokumentacja przetwarzania danych osobowych z załącznikami dla firm jest na przykład tutaj http: //rbdo.pl/sklep/ Wdrożenie dokumentacji RBDO gwarantuje zabezpieczenie formalne podmiotu w przypadku kontroli - dokumentacja wewnętrzna jest głównym elementem podlegającym weryfikacji.

Pokaż cały komentarz ! Odpowiedz
0 0 ~susełek

art 49 ust.1 dotyczy przetwarzania danych osobowych, autor pisał o niezgłoszeniu zbioru do GIODO tj. Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

! Odpowiedz
0 0 ~pcs

Szanowni Państwo. Takie wprowadzanie w błąd jest karalne. Na temat rozpowszechnianych przez Was fałszywych informacji o karach wypowiedział się już GIODO. Chyba, że w RBDO nie znacie ustawy o ochronie danych osobowych?

Ilość spamu wypisywanego na formach przez RBDO jest irytująca...

! Odpowiedz
0 2 ~Jacek

Czasy takie nastały . że za niedlugo po żarcie do sklepu będziemy chodzić z prawnikiem.

!

Kalendarium przedsiębiorcy

  • Składkę na ubezpieczenia społeczne i zdrowotne odprowadzają jednostki budżetowe, zakłady budżetowe i gospodarstwa pomocnicze.

  • Termin wpłaty zryczałtowanego podatku dochodowego pobranego od wpłaconych w poprzednim miesiącu dochodów z udziałów w zysku. Termin złożenia deklaracji oraz wpłaty zryczałtowanego podatku dochodowego od zagranicznych osób prawnych, czyli osób prawnych niemających siedziby lub zarządu na terenie Polski.

    Termin uiszczenia podatku dochodowego od podatników rozliczających się w formie karty podatkowej.

  • Termin przekazania sprawozdania do systemu INTRASTAT, za poprzedni miesiąc kalendarzowy, gdy realizowano transakcje wewnątrzwspólnotowe podlegające obciążeniu podatkiem od towarów i usług (VAT).

    W tym terminie z ZUS rozliczają się przedsiębiorcy opłacający składki za siebie. Składka na Fundusz Pracy.

  • Termin płatności składek oraz złożenia deklaracji przez pracodawców zatrudniających pracowników.

    Termin zapłaty raty podatku leśnego przez osoby prawne oraz jednostki organizacyjne nie posiadające osobowości prawnej.

Kalkulator płacowy

Oblicz wysokość pensji netto, należne składki oraz podatek.

Księgarnia Bankier.pl

Marketing analityczny. Piętnaście wskaźników, które powinien znać każdy marketer Marketing analityczny. Piętnaście wskaźników, które powinien znać każdy marketer Mark Jeffery Cena: 39 zł  Zamów książkę

Znajdź nas na Facebooku