Co się stanie, jeśli zgłaszając do rejestracji przez generalnego inspektora ochrony danych osobowych zbiór danych osobowych, ?nie wskażę środków technicznych służących do przetwarzania ich ?w tym zbiorze? Jeszcze nie wiem, jakie one będą, ale chciałbym już zgłosić zbiór danych do GIODO.
Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU nr 133, poz. 883 ze zm.) wprowadziła dla administratora danych obowiązek zgłoszenia do GIODO zbioru danych do rejestracji. Wyjątkiem są przypadki zwolnienia z tego obowiązku zbiorów określonych w art. 43 ust. ustawy (informacje niejawne, zbiory, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych, zbiory przetwarzane przez właściwe organy dla potrzeb postępowania sądowego).
Zbiór danych zgłoszony do rejestracji musi spełniać wymogi wymienione w art. 41 ust. 1 ustawy. Zgłoszenie zbioru danych do rejestracji powinno zawierać:
- ?wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
- ?oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru,
- ?cel przetwarzania danych,
- ?opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
- ?sposób zbierania oraz udostępniania danych,
- ?informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
- ?opis środków technicznych i organizacyjnych zastosowanych w celu zabezpieczenia danych,
- ?informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach,
- ?informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Art. 36 ustawy nakłada na administratora obowiązek zastosowania środków technicznych i organizacyjnych, zapewniających ochronę przetwarzanych danych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (zalicza się do nich m.in. odpowiedni poziom bezpieczeństwa przetwarzania danych), a we wniosku trzeba te środki opisać.
Zatem wskazanie środków technicznych i organizacyjnych, zapewniających ochronę danych, jest warunkiem koniecznym, aby można było zarejestrować zgłoszony zbiór. W przeciwnym razie nie zostanie on zarejestrowany.
