UWAGA – od 25 maja 2018 roku poniższa treść stanie się częściowo nieaktualna.
Zapewne większość z Was codziennie przetwarza dane osobowe, ale dopóki robicie to wyłącznie w celach osobistych lub domowych – nie ma do Was zastosowania ustawa o ochronie danych osobowych, z której wynikają obowiązki z tym związane.
Jeśli przetwarzacie dane osobowe w związku z działalnością gospodarczą wtedy nie tylko obowiązuje Was wspomniana ustawa, ale również jesteście w większym stopniu narażeni na otrzymywanie od różnych podmiotów, niezwiązanych z GIODO, e-maili z informacjami o grożącej odpowiedzialności za niedopełnienie obowiązku zgłoszenia zbiorów danych osobowych do rejestracji u Generalnego Inspektora Ochrony Danych Osobowych (GIODO), co w ostatnim czasie ma miejsce na dużą skalę. Przed wiadomościami tego typu przestrzega nawet GIODO na swojej stronie internetowej. Z dzisiejszego artykułu dowiecie się o co chodzi z tymi zbiorami, m.in. tego kiedy musicie zgłosić zbiór, a kiedy takiego obowiązku nie macie. [lgpromo title=”Potrzebna Ci pomoc z danymi osobowymi?” desc=”Skorzystaj z pomocy naszych prawników!” url=”https://legalgeek.pl/prawnik-rodo” urldesc=”ZLEĆ TO NAM!”]
Definicje
Na początku przedstawię kilka kluczowych, wynikających z ustawy, definicji dla tego tematu, które pozwolą Wam go lepiej zrozumieć:
Dane osobowe – są to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przez osobę możliwą do zidentyfikowania rozumie się osobę, której tożsamość można określić bezpośrednio lub pośrednio np. za pomocą numeru identyfikacyjnego (przykładowo nr PESEL) albo jednego lub kilku specyficznych czynników określających np. cechy fizyczne.
Warunkiem uznania informacji za daną osobową jest możliwość ustalenia tożsamości osoby bez nadmiernych kosztów, czasu lub działań.
O tym czy dana informacja stanowi daną osobową należy rozstrzygać indywidualnie, bo nie w każdym przypadku będzie tak samo. Przykładowo: sama informacja o wzroście co do zasady nie będzie daną osobową, ale już informacja o wzroście odpowiadającym wzrostowi najwyższego człowieka świata może za taką daną zostać uznana. Według GIODO pojedynczą daną osobową jest numer PESEL, natomiast adres IP daną osobową może być, ale nie musi. Bez wątpienia stały adres IP będzie daną osobową jeśli występuje w zbiorze z innymi informacjami wskazującymi na tożsamość osoby czyli np. z jej imieniem i nazwiskiem.
Zbiór danych osobowych – to każdy posiadający strukturę zestaw danych o charakterze osobowym dostępny według określonych kryteriów i nie ma tutaj znaczenia, czy zestaw ten jest rozproszony, czy podzielony funkcjonalnie. W ocenie GIODO możliwość wyszukania według jakiegokolwiek kryterium umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych. Czyli bez względu na to, czy dane klientów przetwarzasz w systemie CRM, czy masz je w kilku miejscach (w tym np. w programie pocztowym), mamy do czynienia ze zbiorem.
Przetwarzanie danych – pojęcie to jest bardzo szerokie. Co jakiś czas spotykam się ze stanowiskiem przedsiębiorcy, że on nic z danymi nie robi tylko trzyma je na komputerze – takie działanie zgodnie z ustawą o ochronie danych osobowych stanowi przetwarzanie danych osobowych. Ustawodawca przez przetwarzanie danych rozumie jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, czy nawet usuwanie danych.
Postępowanie ze zbiorem
Zasada
Jeśli w ramach swojej działalności przetwarzasz zbiór danych osobowych to co do zasady powinieneś zarejestrować zbiór u GIODO. W dalszej części artykułu wskażę wyjątki od tej zasady.
W zgłoszeniu zbioru, którego wzór jest określony przez prawo, wskazuje się m.in. cel przetwarzania danych, kategorie osób, których dane dotyczą, a także zakres przetwarzania tych danych.
Wyjątki
Jak już wspomniałam nie wszystkie zbiory trzeba rejestrować, z obowiązku tego zwolnione są m.in. zbiory:
– w których przetwarzacie dane Waszych pracowników,
– w ramach których dane są przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej
(zwróćcie uwagę, że chodzi tutaj tylko o taki cel przetwarzania danych – jeśli dane te służą Wam również do innych czynności, np. prowadzenia konta użytkownika w e-sklepie, albo zbieracie dane wychodzące poza zakres niezbędny do wymienionych celów wyłączenie to nie będzie miało zastosowania),
– składające się z powszechnie dostępnych danych
(przykładem zbioru tego typu będzie np. lista firm z danymi kontaktowymi stworzona wyłącznie w oparciu o dane widoczne w KRS),
– z danymi przetwarzanymi w zakresie drobnych bieżących spraw życia codziennego,
– dotyczące osób korzystających ze świadczonych przez Was usług medycznych.
Ponadto, o ile nie przetwarzacie danych wrażliwych, takich jak np. informacje o stanie zdrowia czy poglądach politycznych, nie macie obowiązku rejestracji zbiorów:
– prowadzonych bez wykorzystania systemów informatycznych,
– jeśli powołaliście w swojej firmie administratora bezpieczeństwa informacji.
Rejestr nie jest wyznacznikiem
Pamiętajcie, że brak informacji o Waszym zbiorze w Rejestrze Zbiorów Danych Osobowych nie świadczy o niezgłoszeniu zbioru. Tym samym, to że ktoś nie znajdzie Waszego zbioru w Rejestrze nie świadczy o tym, że nie spełniliście ciążącego na Was obowiązku. Od zgłoszenia zbioru do jego rejestracji mija trochę czasu.
Zgłoszenie upoważnia do przetwarzania
Na rejestrację zbioru czeka się nawet 2 lata, ale już samo zgłoszenie zbioru do rejestracji, pod warunkiem, że nie ma w nim danych wrażliwych, umożliwia Wam zgodne z prawem przetwarzanie danych osobowych.
Koszt zgłoszenia zbioru
Zarejestrowanie zbioru nie wiąże się z opłatami administracyjnymi! Opłacie podlega tylko wydanie przez GIODO zaświadczenia o zarejestrowaniu zgłoszonego zbioru, co oznacza, że jeśli nie będziecie potrzebowali takiego zaświadczenia nie poniesiecie opłat administracyjnych związanych z rejestracją.
Zgłoszenie zbioru to wierzchołek góry lodowej
Musicie pamiętać, że zgłoszenie zbioru jest tak naprawdę tylko zwieńczeniem tego co zrobiliście w celu ochrony danych osobowych, w tym spełnienia wymogów prawnych.
Zgłoszenie zbioru powinny poprzedzać m.in. przygotowanie dokumentacji określającej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, a także przygotowanie odpowiedniej infrastruktury zgodnej z dokumentacją. Co istotne podjęcie działań zapewniających ochronę przetwarzanych przez Was danych osobowych jest Waszym obowiązkiem niezależnie od tego czy musicie zgłosić zbiór. Jeśli dane osobowe Waszych Klientów w Waszym imieniu będzie przetwarzał inny podmiot (np. firma hostingowa) pamiętajcie o zawarciu z nim umowy powierzenia przetwarzania danych osobowych, podmiot taki wskazuje się w zgłoszeniu zbioru.
Nadchodzą zmiany
Obowiązki związane ze zbiorami danych osobowych pozostaną uregulowane we wskazany w artykule sposób nie dłużej niż przez ok. 2 lata, kiedy to zamiast krajowej ustawy zacznie być stosowane unijne rozporządzenie dotyczące danych osobowych. W związku z tym przedsiębiorców, ale nie tylko, czekają kolejne zmiany.
Podsumowanie
- Co do zasady należy rejestrować zbiory danych osobowych u GIODO.
- Są zbiory, których nie trzeba rejestrować (m.in. zbiory z danymi pracowników lub powszechnie dostępnymi).
- Już samo zgłoszenie zbioru u GIODO uprawnia do przetwarzania danych (nie dotyczy danych wrażliwych!).
- Rejestracja zbioru nie wiąże się z opłatami administracyjnymi.
- Poza rejestracją zbioru na administratorze danych ciążą również inne obowiązki.
Poniżej graficzne przedstawienie tematu zbioru danych osobowych pochodzące z naszej broszury:
[lgpromo title=”Potrzebna Ci pomoc z danymi osobowymi?” desc=”Skorzystaj z pomocy naszych prawników!” url=”https://legalgeek.pl/prawnik-rodo” urldesc=”ZLEĆ TO NAM!”]