GIODO: rejestracja zbioru danych osobowych nie dla każdego przedsiębiorcy. Kiedy firmy muszą pamiętać o zgłoszeniu?

Generalny Inspektor Ochrony Danych Osobowych opublikował ostrzeżenie przed wiadomościami e-mail, których nadawca grozi firmom donosami za brak rejestracji zbiorów danych osobowych. Wiadomości wprowadzają adresatów w błąd, bo nie każdy przedsiębiorca ma obowiązek zgłoszenia bazy do GIODO. Przypominamy, w jakich sytuacjach należy jednak o tym pamiętać.

Użytkownicy newslettera, klienci sklepu internetowego, pracownicy czy kandydaci do pracy - to grupy osób, których dane osobowe najczęściej podlegają przetwarzaniu. Przedsiębiorcy podejmują podobne czynności w różnych celach. Aby mogli to robić legalnie, muszą w pierwszej kolejności zgłosić taki zbiór do Głównego Inspektora Ochrony Danych Osobowych (GIODO).

Rejestracji w GIODO podlegają zbiory danych osobowych, które spełniają trzy konkretne kryteria:

• zawierają dane osób fizycznych;
• posiadają określoną strukturę;
• umożliwiają wyszukiwanie informacji na podstawie co najmniej dwóch różnych zmiennych, przy czym kryteria mogą być osobowe (np. imię, nazwisko, data urodzenia, numer PESEL) lub nieosobowe (np. data zamieszczenia danych w zbiorze);

Bazę danych należy zgłosić niezależnie od tego, czy jest uporządkowana według poszczególnych kategorii, czy stanowi zasób rozproszonych informacji. Nie musi też zawierać danych o różnych osobach. Wystarczy, że zbiór dotyczy jednej osoby fizycznej i gromadzi różne dane na jej temat.

Przetwarzanie danych osobowych można rozpocząć dopiero po zgłoszeniu zbioru do rejestracji, dlatego należy tego dokonać jeszcze przed podjęciem pierwszej czynności związanej z personalnymi informacjami (np. przed pozyskaniem ich do tworzonego zbioru). W przypadku danych szczególnie chronionych, m.in. informacji o stanie zdrowia, kodzie genetycznym, nałogach czy życiu seksualnym, zbieranie do zbioru można rozpocząć dopiero po zarejestrowaniu bazy, chyba że ustawa zwalnia z tego obowiązku (zgodnie z art. 46 ust. 2 ustawy o ochronie danych osobowych).

Rejestracji bazy dokonuje administrator danych (np. osoba fizyczna prowadząca jednoosobową działalność gospodarczą)
na odpowiednim formularzu. Niezbędne dokumenty można złożyć osobiście w biurze GIODO, przesłać pocztą lub wypełnić przez internet z użyciem podpisu elektronicznego lub profilu zaufanego ePUAP.

• wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych;
• charakterystykę administratora danych lub przedstawiciela wnioskodawcy (imię i nazwisko, adres siedziby lub miejsca zamieszkania, numer REGON);
• informację o powierzeniu przetwarzania danych innemu podmiotowi oraz dane;
• podstawę prawną upoważniającą do prowadzenia zbioru (np. zgodę osoby, której przetwarzane dane dotyczą);
• cel przetwarzania danych (opis kategorii osób oraz zakres przetwarzanych danych);
• sposób zbierania oraz udostępniania danych (odbiorcy lub kategorie odbiorców, którym dane mogą być przekazywane; ewentualne informacje o państwie trzecim;
• opis środków technicznych i organizacyjnych (forma prowadzenia zbioru, spełnienie wymogów formalnych);
• informację o ewentualnym przekazywaniu danych do państwa trzeciego;

Potwierdzenie rejestracji zgłoszonego zbioru jest wydawane na specjalne żądanie administratora danych lub w przypadku danych szczególnie chronionych. W niektórych sytuacjach, Generalny Inspektor Danych Osobowych może wydać decyzję o odmownym rozpatrzeniu zgłoszenia. Wnioskodawca powinien się liczyć z odmową np. gdy nie umieści we wniosku wszystkich wymaganych informacji, nie spełni podstawowych warunków technicznych i organizacyjnych lub przetwarzanie danych nie będzie miało odpowiedniej podstawy prawnej.

Nie każdy przedsiębiorca jest jednak zobowiązany do rejestracji prowadzonego zbioru (wyjątki zostały określone w art. 43 ust. 1 ustawy o ochronie danych osobowych). Nie trzeba zgłaszać danych osobowych, które:

• stanowią informacje niejawne;
• są przetwarzane w związku z zatrudnieniem oraz świadczeniem usług na podstawie umów cywilnoprawnych;
• dotyczą osób korzystających z usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego albo biegłego rewidenta, świadczonych przez podmiot, który jest jednocześnie administratorem zbioru;
• mają związek z osobami pozbawionymi wolności na podstawie ustawy;
• są przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
• są powszechnie dostępne;

Definicja danych osobowych obejmuje szeroki zakres informacji, które pozwalają na zidentyfikowanie tożsamości osoby fizycznej. Do typowych danych należą: imię, nazwisko, wizerunek w formie zdjęcia, adres, PESEL, NIP, a nawet adres poczty elektronicznej, umożliwiający ustalenie personaliów jego właściciela. Termin został zdefiniowany w ustawie z dnia 29 sierpnia 1997 o ochronie danych osobowych. Nad kontrolą i ochroną prawną tych danych czuwa natomiast Generalny Inspektor Ochrony Danych Osobowych.

Co do zasady, zbyt ogólne informacje, np. nazwa ulicy lub wysokość wynagrodzenia, nie podlegają pod ten termin, chyba że zestawione z dodatkowymi wskazówkami mogą odnosić się do konkretnej osoby. Niektórych informacji nie uważa się też za pozwalające określić tożsamość osoby, jeśli ich zdobycie wymagałoby nadmiernych kosztów, czasu lub działań.