dane osobowe, giodo, zbior danych
Nadal w czasie spotkań i szkoleń z zakresu ochrony danych osobowych spotykamy się przekonaniem, że wdrażanie systemu ochrony danych osobowych sprowadza się do zgłoszenia zbiorów danych do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych. Nic bardziej mylnego! Oczywiście obowiązek zgłaszania zbiorów jest przypisany do administratora danych osobowych, ale jest to jeden z wielu obowiązków, które powinien on realizować. Utożsamianie ochrony danych osobowych wyłącznie ze zgłaszaniem przetwarzanych zbiorów do organu nadzorczego ma w istocie niewiele wspólnego z prawidłową realizacją ustawowych zadań i obowiązków. Przede wszystkim, administrator danych powinien pamiętać o spełnieniu przesłanek przetwarzania i wykonywaniu wszelkich operacji na danych osobowych z poszanowaniem zasad legalności, celowości, proporcjonalności, merytorycznej poprawności i ograniczenia czasowego. Administrator danych musi również pamiętać o spełnianiu obowiązków informacyjnych, a także prawidłowym zabezpieczeniu: technicznym, organizacyjnym i fizycznym przetwarzanych danych, w tym również o prowadzeniu i wdrożeniu dokumentacji ochrony danych osobowych (polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym).
Ponadto, ustawodawca przewidział szereg zwolnień z obowiązku zgłaszania zbiorów. Warto też przypomnieć, że w przypadku powołania administratora bezpieczeństwa informacji, administrator danych uzyskuje dodatkowe zwolnienie z obowiązku zgłaszania do rejestru GIODO zbiorów danych osobowych zwykłych. Wszelkie zbiory danych osobowych zwykłych podlegające zgłoszeniu uwzględniane są bowiem w rejestrze prowadzonym przez ABI.
Trzeba również podkreślić, że wprowadzając szereg zmian do ustawy o ochronie danych osobowych w listopadzie 2014 roku ustawodawca zmienił również przepisy dotyczące zgłaszania zbiorów do GIODO. Nowością, obowiązującą od 1 stycznia 2015 roku, jest nie tylko wspomniany powyżej rejestr zbiorów prowadzony przez ABI, ale również zwolnienie z obowiązku zgłaszania zbiorów danych osobowych przetwarzanych wyłącznie tradycyjnie, manualnie i niezawierających danych wrażliwych. Oznacza to, że zbiory danych przetwarzane papierowo, zawierające wyłącznie dane osobowe zwykłe nie muszą być zgłaszane do rejestru prowadzonego przez GIODO.
Jeżeli jednak administrator danych nie powołał ABI i nie korzysta z przewidzianych przez ustawę o ochronie danych osobowych zwolnień, musi wypełnić i złożyć wniosek o rejestrację zbioru w rejestrze GIODO. Wniosek można wypełnić na stronie https://egiodo.giodo.gov.pl/personal_data_register.dhtml . Po wypełnieniu wniosek należy przesłać do biura GIODO lub opatrzyć go bezpiecznym podpisem elektronicznym i złożyć drogą elektroniczną. Możliwe jest również złożenie wniosku bezpośrednio w siedzibie Generalnego Inspektora Ochrony Danych Osobowych w Warszawie.
Wniosek o wpisanie zbioru danych osobowych do rejestru składa się z kilku części. W pierwszej kolejności, należy wskazać jakiego zbioru zgłoszenie dotyczy, a także kto jest administratorem danych. W zgłoszeniu należy ujawnić informację, czy przetwarzanie danych zostało powierzone innym podmiotom (a jeżeli tak, podmioty te należy wskazać). Administrator danych określa dalej, na jakiej podstawie, w jakim celu i w jakim zakresie przetwarzać będzie dane oraz jakich kategorii osób dane te dotyczą, a także, czy zbieranie danych osobowych następuje w sposób pierwotny – bezpośrednio od osoby, której dane dotyczą czy też wtórnie tj. z innych źródeł. Administrator danych musi w poinformować w zgłoszeniu czy dane osobowe będą udostępniane podmiotom innym niż upoważnione na podstawie przepisów prawa (jeżeli tak, podmioty te należy wskazać). We wniosku przewidziano również informację o tym, czy dane będą przekazywane do państw trzecich.
Wniosek do GIODO zawiera poza tym stosunkowo obszerną część E, w której administrator danych wskazuje opis środków technicznych i organizacyjnych, które wdrożył i zastosował zgodnie z wymogami ustawy o ochronie danych osobowych. Opis środków nie jest dowolny. Administrator informuje, jakie rozwiązania zastosował wybierając odpowiednie opcje przewidziane w zgłoszeniu. Wybór środków jest duży i obejmuje wszelkie podstawowe rozwiązania, które wdrażane są przez administratorów na każdym poziomie bezpieczeństwa od podstawowego do wysokiego.
W ostatniej części administrator danych ma możliwość zapisania wniosku, przesłania go elektronicznie i wydrukowania albo złożenia go z wykorzystaniem bezpiecznego podpisu elektronicznego. Po złożeniu wniosku administrator danych może rozpocząć przetwarzanie danych osobowych zwykłych. Pamiętać jednak należy, że dla możliwości przetwarzania danych osobowych wrażliwych wiążący jest moment rejestracji zbioru przez GIODO, a nie zgłoszenia zbioru. Z tego względu o zgłaszaniu zbiorów, w których przetwarzane być mają dane wrażliwe należy pomyśleć z odpowiednim wyprzedzeniem.
Przede wszystkim, należy zwrócić uwagę na to, by nie sprowadzać ochrony danych osobowych do wypełnienia zgłoszenia zbioru. Budowanie systemu ochrony danych osobowych to dużo bardziej skomplikowany i złożony proces.
Post Views:
2 232