Co powinno zawierać zgłoszenie zbioru danych osobowych

Obowiązek zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych ciąży na administratorach danych, czyli podmiotach decydujących o celach i środkach przetwarzania danych osobowych.

Administratorem jest co do zasady podmiot (np. spółka prawa handlowego, przedsiębiorca prowadzący działalność gospodarczą jednoosobowo, stowarzyszenie, fundacja), a nie osoba lub osoby zarządzające tym podmiotem (np. dyrektor przedsiębiorstwa, zarząd spółki) lub też pracownik wykonujący czynności związane z ochroną danych osobowych (np. pełnomocnik zarządu ds. ochrony danych osobowych). Niemniej to osoby zarządzające danym podmiotem ponoszą odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. A jednym z obowiązków wskazanych w tej ustawie jest rejestracja zbioru danych.

Wyjątki od reguły

Od powyższej zasady istnieją odstępstwa. Określa je art. 43 ust. 1 ustawy o ochronie danych osobowych w punktach od 1 do 11, wyliczając, kiedy rejestracja nie musi zostać dokonana. Które z nich powinny być najważniejsze dla firm?

Przykładowo zgodnie z pkt 4 wymienionego artykułu z obowiązku rejestracji zwolnieni są przedsiębiorcy gromadzący dane w związku z zatrudnieniem, świadczeniem usług na ich rzecz, a także dotyczące danych osób u nich zrzeszonych lub uczących się. W szczególności będzie to dotyczyć danych osobowych obecnych i byłych pracowników, a także kandydatów do pracy oraz zbiorów danych osób świadczących usługi na podstawie umów cywilnoprawnych (np. na podstawie umowy o dzieło, umowy-zlecenia).

Z obowiązku rejestracji zwalnia pkt. 8, odnoszący się do przetwarzania danych wyłącznie w celu wystawiania faktur, rachunków lub prowadzenia sprawozdawczości finansowej. Inny wyjątek wiąże się z powszechnością danych. Chodzi o dane ogólnodostępne (np. opublikowane w Internecie, prasie, książkach). Wreszcie z obowiązku rejestracji zwolnieni są administratorzy przetwarzający dane w zakresie drobnych bieżących spraw życia codziennego. Jest to jednak pojęcie nieostre, w związku z czym trzeba uważać, aby nie było nadużywane (przykładem może być księga wejść i wyjść).

Pozostałych wyjątków nie podajemy, ponieważ dotyczą bardzo specyficznych sytuacji. Wszystkie da się znaleźć we wspomnianym artykule. Warto podkreślić, że wyłączenia są ściśle powiązane z celem, dla którego dane były kompletowane. Zmiana tego celu lub jego rozszerzenie może skutkować obowiązkiem zgłoszenia. Przykładowo z obowiązku rejestracji zwolnione są dane przechowywane do celów wystawiania faktur i rachunków. Przedsiębiorca zaczyna je jednak wykorzystywać do celów marketingowych lub utrzymywania kontaktów z klientami (co może się ujawnić np. w postaci wysyłania kartek z życzeniami urodzinowymi). Taki zbiór będzie już podlegał obowiązkowej rejestracji.

Dokument z podpisem

Zgłoszenie zbioru danych osobowych powinno zawierać:

- wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,

- oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a (chodzi o podmioty mające siedzibę poza Polską), oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania,

- cel przetwarzania danych,

- opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,

- sposób zbierania oraz udostępniania danych,

- informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,

- opis środków technicznych i organizacyjnych zastosowanych w celach zabezpieczenia danych,

- informację o sposobie wypełniania warunków technicznych i organizacyjnych,

- informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Zgłoszenie powinno zawierać wszystkie wymienione informacje oraz musi zostać podpisane przez administratora danych (np. osobę fizyczną prowadzącą działalność gospodarczą jednoosobowo) lub inną osobę upoważnioną do reprezentowania wnioskodawcy. Zbiór można zarejestrować drogą elektroniczną. Aplikacja umożliwiająca skuteczne dokonanie takiego zgłoszenia znajduje się na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych w systemie „platforma e-giodo".