Rejestracja zbioru danych osobowych – krok po kroku

Data: 11-09-2014 r.

Na administratorze danych ciąży obowiązek zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Danych Osobowych. Przydatnym narzędziem jest aplikacja e-GIODO. Umożliwia ona wygenerowanie wniosku w 18 etapach.

Proces rejestracji zbioru danych osobowych szczególnie w ostatnim czasie trwa dość długo. Bardzo dużo wniosków wpływa do GIODO, a w biurze Generalnego Inspektora brakuje mocy przerobowych. Mówił o tym dr Wojciech Wiewiórowski w Sejmie podczas prezentacji sprawozdania ze swojej działalności w 2013 r. Jednak z obowiązku rejestracji nie można zrezygnować. Za niezgłoszenie zbioru danych osobowych grozi kara grzywny, ograniczenia wolności lub pozbawienia wolności do roku (art. 53 uodo).

Formularz rejestracyjny składa się z sześciu rozdziałów podzielonych na 18 części. Nie każdy z elementów musi zostać uzupełniony i nie każda opcja musi zostać zaznaczona.

Krok 1

Określamy rodzaj wniosku: nowy zbiór danych osobowych zwykłych, aktualizacja zbioru lub nowy zbiór danych osobowych wrażliwych.

Krok 2

Określamy nazwę zbioru i wskazujemy administratora danych osobowych – podajemy nazwę i adres jego siedziby. Nazwa zbioru zależy od naszej inwencji, powinna jednak oddawać ogólny cel jego prowadzenia. Nie musi być niepowtarzalna.

Krok 3

Ten formularz z reguły pozostaje pusty. Wypełniają go podmioty mające siedzibę poza Europejskim Obszarem Gospodarczym, które zobowiązane są do wyznaczenia przedstawiciela na terytorium RP.

Krok 4

Wskazujemy podmioty zewnętrzne, którym powierzyliśmy przetwarzanie danych osobowych w ramach zawartych umów (najczęściej outsourcingu), np. firmie świadczącej usługi outsourcingu inspektora BHP. Jeżeli informacja ta stanowi tajemnicę przedsiębiorstwa bezpieczniej jest nie wypełniać tego pola i wskazać, że przewiduje się w przyszłości powierzenie przetwarzania danych.

Krok 5

Podajemy podstawę prawną, upoważniającą nas do przetwarzania danych w zbiorze. W przypadku danych osobowych zwykłych jest to: zgoda osoby, umowa, przepis prawa, cel publiczny lub uzasadniony cel administratora danych (art. 23 uodo). W przypadku zbioru danych osobowych wrażliwych będzie to art. 27 uodo.

Krok 6

Określamy cel, dla którego przetwarzane będą dane osobowe. Zgodnie z zasadą celowości, musi być on z góry określony. Każdorazowo jest to nasza inwencja (oczywiście zgodna ze stanem faktycznym).

Krok 7

Podajemy kategorię osób, których dane dotyczą np. uczniowie, pacjenci, potencjalni klienci, etc.

Krok 8

Określamy, jakie dane będą przetwarzane w obrębie zgłaszanego zbioru. Możemy wybrać z propozycji już istniejących we wniosku zgłoszeniowym (zaznaczając odpowiedni kwadracik) oraz podać wszelkie inne kategorie danych, które są przez nas przetwarzane. Warto być ostrożnym, gdyż ten element jest szczególnie sprawdzany przez inspektorów GIODO pod kontem adekwatności do celu jakiemu dane mają służyć.

Krok 9

Jesteśmy pytani o dane osobowe wrażliwe. Jeżeli zaznaczymy jedną z pozycji nasz wniosek automatycznie zmieni się we wniosek o rejestracje zbioru danych osobowych wrażliwych.

Krok 10

Jeżeli zaznaczymy jedną z opcji w poprzednim kroku, tu zostaniemy zapytani o podstawę prawną przetwarzania danych osobowych wrażliwych, czyli o treść art. 27 uodo.

Krok 11

Określamy w jaki sposób weszliśmy w posiadanie danych – albo sami dane gromadzimy albo pochodzą one z innego źródła (np. kupiona baza danych).

Krok 12

Jesteśmy pytani o to, czy zbieramy dane na własne potrzeby czy też na rzecz innego podmiotu (odbiorcy danych).

Krok 13

Jeżeli zaznaczyliśmy poprzedni krok, musimy uzupełnić dane odbiorcy danych.

Krok 14

Czy przesyłamy dane osobowe poza Europejski Obszar Gospodarczy? Jeżeli nie – pole pozostawiamy puste.

Krok 15

Jeden z decydujących elementów wniosku. Musimy odpowiedzieć na pytania dotyczące sposobu przechowywania i zabezpieczania danych. Jeżeli np. zbiór jest przetwarzany w wielu lokalizacja należy zaznaczyć, że jest on rozproszony. Jeżeli zbiór jest w wersji elektronicznej, to nie możemy zaznaczyć jedynie wersji papierowej.

Krok 16

Jest to najdłuższy i najtrudniejszy etap. Musimy zadeklarować stosowane zabezpieczenia fizyczne, organizacyjne i informatyczne zbioru danych. Jeżeli nie powołaliśmy ABI to nie wpisujemy, że go mamy. Jeżeli stosujemy technologie biometryczną to nie ukrywamy tego faktu. Zabezpieczenia muszą być adekwatne do zagrożeń.

Krok 17

Musimy określić jaki jest poziom bezpieczeństwa systemu informatycznego, w którym przetwarzane są dane. Jeżeli dochodzi do przetwarzania danych na komputerze, który ma dostęp do internetu zawsze będzie to poziom „wysoki”.

Krok 18

Tutaj wystarczy podać adres kontaktowy, adres e-mail i skorzystać z możliwych sposobów dostarczenia wniosku rejestrowego do biura GIODO: podpis elektroniczny, profil zaufany ePUAP czy wysyłka drogą elektroniczną bez podpisu połączona z potwierdzeniem w wersji papierowej.

Dane osobowe zwykłe można przetwarzać od razu po wysłaniu zgłoszenia rejestracyjnego do GIODO, dane wrażliwe dopiero po zarejestrowaniu takiego zbioru.

Konrad Gałaj-Emiliańczyk, prawnik i Administrator Bezpieczeństwa Informacji w kilkunastu podmiotach sektora prywatnego i publicznego; trener i wykładowca licznych szkoleń, konferencji i seminariów, Coach Inc., coach-inc.pl

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 35687 )
Array ( [docId] => 35687 )