Ochrona danych osobowych w firmie: Kto musi zgłosić zbiór danych osobowych

To na przedsiębiorcach spoczywa obowiązek zgłoszenia zbioru zawierającego dane do rejestracji przez generalnego inspektora ochrony danych osobowych (GIODO). Od tej zasady istnieją jednak pewne odstępstwa i, jak się okazuje, zbiór danych osobowych nie zawsze podlega rejestracji.

Obowiązki osób przetwarzających dane osobowe w związku z prowadzoną działalnością gospodarczą określa ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych.

Zbiór do rejestru

Zgłoszeniu do GIODO podlega zbiór danych, który jest definiowany jako mający strukturę zestaw danych osobowych dostępnych w tym zbiorze według określonych kryteriów. Przedsiębiorca nie musi wskazywać w zgłoszeniu, jakie konkretnie dane osobowe i do kogo przypisane zawiera zbiór. Przedmiotem zgłoszenia jest przede wszystkim informacja, że przedsiębiorca ten jest w posiadaniu danych osobowych określonego rodzaju.

Wskazana ustawa precyzuje, co należy zawrzeć w zgłoszeniu zbioru. Wszystkie te informacje określone są również w pisemnym i elektronicznym formularzu zgłoszenia zbioru do rejestracji, dostępnym na stronie internetowej GIODO, który po wypełnieniu należy przesłać drogą pocztową lub elektroniczną do Biura Generalnego Inspektora Ochrony Danych Osobowych.

Uwaga!

Generalnego inspektora trzeba informować o każdej zmianie w zgłoszonym zbiorze danych. Jeśli więc przedsiębiorca rozszerzył chociażby zbieranie danych osobowych swoich klientów o nowy rodzaj danych, powinien dokonać aktualizacji zgłoszenia we wskazanym w ustawie 30-dniowym terminie.

Tylko administrator

Obowiązek zgłoszenia zbioru ciąży wyłącznie na administratorze danych osobowych umieszczonych w zbiorze, czyli podmiocie mogącym podejmować samodzielne decyzje co do celów przetwarzania i środków wykorzystywanych w tym procesie.

Administratorem danych nie będzie więc przedsiębiorca, który przetwarza dane osobowe otrzymane od innego podmiotu w związku ze świadczeniem usług na jego rzecz.

Przykład

Firma X świadczy na zlecenie firmy Y usługi w zakresie obsługi kadrowo-płacowej. Pracownicy firmy X korzystają z danych osobowych przekazanych na potrzeby wykonania umowy przez firmę Y. Firma X nie będzie zobligowana do zgłaszania zbioru tych danych. Obowiązek ten w odniesieniu do przekazywanych danych ciąży natomiast na firmie Y.

Kto nie musi

Wyjątkiem od zasady zgłaszania zbiorów jest sytuacja, w której przedsiębiorca jest zwolniony z obowiązku rejestracji zbioru danych.

Przepisy wyłączają taki obowiązek między innymi w stosunku do administratorów danych osobowych, którzy przetwarzają dane: swoich pracowników, osób świadczących na ich rzecz usługi na podstawie umów cywilnoprawnych, osób korzystających z ich usług medycznych czy prawnych, a także administratorów przetwarzających dane wyłącznie w celu wystawienia faktury lub rachunku.

Niedopełnienie obowiązków

Należy pamiętać, że poza wskazanymi przypadkami rejestracja zbioru danych osobowych jest zazwyczaj konieczna, aby dane te mogły być w ogóle przetwarzane. Ustawa o ochronie danych osobowych wyraźnie stanowi, że administrator danych osobowych może rozpocząć ich przetwarzanie w zbiorze dopiero po zgłoszeniu tego zbioru do GIODO.

Przedsiębiorca obowiązany do zgłoszenia zbioru, który nie dopełni tego obowiązku, musi się liczyć z koniecznością poniesienia przykrych konsekwencji tego zaniechania. W myśl przepisów ustawy niezgłoszenie zbioru do rejestracji stanowi bowiem przestępstwo zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do roku.

Marcin Berlak radca prawny, Kancelaria Prawnicza Włodzimierz Głowacki i Wspólnicy sp.k. z siedzibą w Poznaniu

Komentuje Marcin Berlak, radca prawny, Kancelaria Prawnicza Włodzimierz Głowacki i Wspólnicy sp.k. z siedzibą w Poznaniu

Przetwarzanie danych osobowych jest zasadniczo uwarunkowane dokonaniem uprzedniego zgłoszenia zbioru zawierającego te dane do rejestracji przez generalnego inspektora ochrony danych osobowych.