foto: Hemera/Thinkstockk
Przetwarzanie danych osobowych w przedsiębiorstwach może służyć różnym celom: realizacji umów, działaniom marketingowym czy analizie rynku, na którym działa przedsiębiorca. Dane te mogą dotyczyć różnych grup osób, np. użytkowników strony internetowej, potencjalnych i obecnych klientów, pracowników własnych czy pracowników firm współpracujących. Dane osobowe, jako dobra osobiste człowieka, podlegają szczególnej ochronie prawnej uregulowanej w ustawie o ochronie danych osobowych. Jednym z elementów tej ochrony jest obowiązek zgłoszenia zbioru takich danych Głównemu Inspektorowi Ochrony Danych Osobowych (GIODO). Dopiero dopełnienie tego obowiązku, co do zasady, umożliwia legalne przetwarzanie danych osobowych.
Czym są dane osobowe?
 | »Dane osobowe dłużników a windykacja należności |
- imię i nazwisko,
- wizerunek (zdjęcie),
- adres zamieszkania,
- dane ewidencyjne (np. PESEL i NIP),
- informacje, które w połączeniu z innymi danymi pozwalają na identyfikację konkretnej osoby (np. adres e-mail, czy numer IP urządzenia podłączonego do Sieci).
Co podlega rejestracji GIODO?
Zbiory danych osobowych podlegają obowiązkowi zgłoszenia GIODO. W jaki sposób stwierdzić czy dane zestawienie jest zbiorem danych osobowych? Decydują o tym następujące kryteria:
- zbiór zawiera dane osób fizycznych,
- zbiór posiada strukturę,
- zbiór umożliwia wyszukiwanie na podstawie co najmniej dwóch różnych kryteriów.
Nie ma jednak znaczenia czy zbiór ten stanowi jednolitą całość czy też jest rozproszony lub podzielony funkcjonalnie. Co ciekawe, o tym czy mówimy o zbiorze nie decyduje liczba rekordów. Za zbiór uważa się bowiem dane choćby jednej osoby fizycznej, pod warunkiem, że zapisane są różne informacje na jej temat.
| »Błędy popełniane przez sklepy internetowe |
W niektórych interpretacjach przepisów o ochronie danych osobowych, od zbioru danych osobowych odróżnia się zbiór ewidencyjny. Charakteryzuje się on m.in. tym, że nie jest sporządzany w sposób automatyczny, lecz ręcznie (np. poprzez własnoręczne sporządzenie listy danych osobowych na komputerze). Zgodnie z orzecznictwem Naczelnego Sądu Administracyjnego zbiory ewidencyjne nie podlegają rejestracji, ponieważ umożliwiają dostęp do danych osobowych na podstawie jednego kryterium. Niemniej jednak stanowisko GIODO jest w tym zakresie odmienne - jego zdaniem zbiory ewidencyjne również należy zgłaszać.
Jakie zbiory danych osobowych podlegają rejestracji?
Zgodnie z ogólną zasadą w ustawie o ochronie danych osobowych, każdy zbiór danych osobowych powinien być zgłoszony GIODO. Przepisy przewidują jednak w tym zakresie wyjątki, które w przypadku przedsiębiorców dotyczą m.in. następujących danych osobowych:
- zawierających informacje niejawne,
- przetwarzanych w związku z zatrudnieniem na podstawie umów cywilnoprawnych,
- dotyczących osób korzystających z usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta będących administratorami zbioru danych,
- przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
- przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
 | » Ochrona danych osobowych pracowników firmy |
Rejestracja zbioru danych osobowych - kiedy i w jaki sposób należy jej dokonać?
Obowiązek zgłoszenia zbioru danych osobowych spoczywa na jego administratorze, którym jest organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach, dla jakich dane osobowe są przetwarzane i środkach, za pomocą których to przetwarzanie się odbywa. Administratorem danych osobowych może być zatem np. przedsiębiorca posługujący się cudzymi danymi dla potrzeb prowadzonej działalności. Nie ma przy tym znaczenia w jakiej formie prowadzona jest ta działalność i na czym polega. Innymi słowy, administratorem danych osobowych może być zarówno przedsiębiorca działający głównie w Internecie, jak i przedsiębiorca w ogóle w Sieci nieobecny.
Rejestracji zbioru danych osobowych dokonuje GIODO na wniosek przedsiębiorcy, złożony przed przystąpieniem do ich przetwarzania, przez które należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych. Chodzi zwłaszcza o takie czynności, jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych. Dopiero rejestracja zbioru danych osobowych umożliwia legalne ich przetwarzanie. Z kolei wszelkie zmiany w zgłoszonym zbiorze danych należy rejestrować w terminie 30 dni od ich zaistnienia.
| »Odpowiedzialność karna i duże kary finansowe za brak ochrony danych osobowych |
Zgłoszenia zbioru danych osobowych dokonuje się poprzez złożenie wypełnionego formularza, którego wzór dostępny jest na stronie internetowej GIODO (www.giodo.gov.pl). Formularz zgłoszenia można wysłać pocztą, złożyć osobiście w siedzibie urzędu w Warszawie lub złożyć za pośrednictwem specjalnej strony internetowej. Jest to elektroniczna platforma komunikacji z Generalnym Inspektorem Ochrony Danych Osobowych, czyli e-giodo.
Sankcje za niezgłoszenie zbioru danych osobowych
Zaniechanie obowiązku w zakresie rejestracji zbioru danych osobowych lub jego zmian stanowi czyn zabroniony, zagrożony karą grzywny, ograniczenia wolności, a nawet pozbawienia wolności do jednego roku. Sankcje te nie grożą jednak za zgłoszenie niekompletnego zbioru danych osobowych. Kwestia identyfikacji posiadanego zbioru danych osobowych, jako podlegającego rejestracji, leży po stronie administratora danych. Tym niemniej, istnieje możliwość, że GIODO nie zgodzi się z interpretacją przedsiębiorcy i potraktuje posiadany zbiór, jako wymagający rejestracji. Z tego powodu najbezpieczniej jest po prostu złożyć do GIODO stosowny wniosek o rejestrację zbioru danych osobowych. Jeżeli zbiór nie podlega ustawowemu obowiązkowi, urząd odmówi rejestracji i przekaże taką informację zainteresowanemu.
/Sebastian Bobrowski (inFakt)
Źródło:
