Rejestracja bazy danych w GIODO krok po kroku
Powrót do listy wpisówW tym poście wyjaśnię Ci jak zarejestrować bazę danych osobowych w GIODO. Po kolei przedstawię, czym jest zbiór danych osobowych, kto powinien go zgłosić, kiedy występuje obowiązek rejestracyjny oraz jakie dokumenty są wymagane.
Aby łatwiej było Ci się poruszać po artykule po kolei wymieniłam tytuły nagłówków, po kliknięciu, przeniesiesz się na właściwy mu akapit.
1. Czym jest zbiór danych osobowych?
2. Kto powinien zarejestrować bazę w GIODO?
3. Kiedy? Czyli moment powstania obowiązku rejestracyjnego.
4. Jakie dokumenty należy przygotować?
5. Jak wypełnić wniosek do GIODO?
Następnie przechodzę do wypełniania wniosku do GIODO od części A do części F
Część A - Nazwa zbioru danych osobowych
Część B - Charakterystyka administrowanych danych
Część C - Cel przetwarzania danych
Część D - Sposób zbierania i udostępniania danych
Część E - Spełnienie wymogów ustawy o ochronie danych osobowych
Część F - Poziom zastosowanych środków bezpieczeństwa
I na zakończenie:
Gdzie wysłać wniosek?
Jaki jest koszt wniosku?
Czym jest zbiór danych osobowych?
Zgodnie z art. 7 pkt 1. ustawy o ochronie danych osobowych (dalej zwanym u.o.d.o) zbiór danych osobowych jest to “każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.
Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów ustawy o ochronie danych osobowych, potrzebne jest kryterium umożliwiające odnalezienie danych osobowych w zestawie.
Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL), lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych.
Przechodząc do sedna sprawy - taki usystematyzowany zestaw danych POWINIEN być zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (dalej określanym jako GIODO), o ile nie zachodzi żadna z przesłanek określonych w art. 43 u.o.d.o. zwalniająca administratorów danych z tego obowiązku.
Kto powinien rejestrować bazę w GIODO?
Bazę do GIODO powinien zgłosić KAŻDY administrator danych, który decyduje o celach i środkach przetwarzania danych osobowych. Może to być spółka, jednoosobowa działalność gospodarcza, fundacja, stowarzyszenie, osoba fizyczna, organ państwowy itd.
UWAGA! Nie ma znaczenia, czy podmiot samodzielnie przetwarza dane, czy zlecił ich przetwarzanie innemu podmiotowi, które można zlecić w drodze umowy na podstawie art. 31 ustawy o ochronie danych osobowych. Bazę danych należy zgłosić do GIODO.
Kiedy? Czyli moment powstania obowiązku rejestracyjnego
Zgłoszenia bazy należy dokonać przed rozpoczęciem przetwarzania danych, czyli przed pierwszą czynnością, jaką administrator może wykonać na danych, czyli np. przed wysłaniem mailingu. Zgodnie z art. 46 ust. 1 ustawy o ochronie danych osobowych, administrator danych może rozpocząć przetwarzanie danych w zbiorze po zgłoszeniu tego zbioru do rejestracji GIODO.
Pamiętaj o tym, że we wniosku do GIODO opisujesz strukturę i źródło pochodzenia swojej bazy. Jeśli rozpoczynasz zbieranie nowych danych pochodzących z innego źródła niż dotychczas, należy ponownie wypełnić wniosek i opisać na nowo strukturę i źródło pochodzenia kolejnej bazy danych.
Jakie dokumenty należy przygotować?
Stosownie do art. 41 ust. 1 u.o.d.o. zgłoszenie zbioru danych do rejestracji powinno zawierać:
- wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
- oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca zamieszkania, (w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany) oraz podstawę prawną upoważniającą do prowadzenia zbioru,
- cel przetwarzania danych,
- sposób zbierania oraz udostępniania danych,
- opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 (zabezpieczenie zbiorów danych osobowych),
- informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 45 pkt 1
Co więcej, administrator danych jest zobowiązany zgłaszać GIODO każdą zmianę informacji, o których wspomniałam w punktach 1-6, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych.
Jeśli chodzi o teorię, to na tym zakończę. Teraz przejdę do części praktycznej, czyli jak dokonać rejestracja bazy w GIODO. Na końcu postu umieszczę dodatkowe informacje, gdzie można elektroniczne uzupełnić wniosek i na jaki adres należy wysłać wersję papierową wniosku.
Jak wypełnić wniosek do GIODO?
Wniosek do GIODO można pobrać na stronie giodo.gov.pl
Część A. Nazwa zbioru danych osobowych
To całkiem prosta część wniosku. Należy w niej wpisać nazwę zbioru, który zamierzasz zgłosić do GIODO np. subskrybenci newslettera FreshMail.
Część B. Charakterystyka administrowanych danych
Jest już nieco bardziej rozwinięta, jednak powinniśmy się z nią sprawnie rozprawić.
pkt. 1. Wnioskodawca (administrator danych) - należy wpisać nazwę firmy, adres siedziby i nr REGON, a w przypadku osób fizycznych będzie to po prostu imię i nazwisko oraz adres zamieszkania wnioskodawcy.
pkt. 2. Przedstawiciel wnioskodawcy - jeśli Twoja firma nie ma siedziby na terenie Państwa należącego do Europejskiego Obszaru Gospodarczego (czyli UE, Lichtenstein, Norwegia i Islandia), należy podać dane Waszego przedstawiciela w Polsce: nazwę firmy, adres siedziby, a przypadku osób fizycznych imię i nazwisko, oraz adres zamieszkania.
pkt. 3. Powierzenie przetwarzania danych osobowych. Ten punkt należy wypełnić jeśli dane zostały powierzone do przetwarzania innemu podmiotowi.
pkt. 4. Podstawa prawna upoważniająca do prowadzenia zbioru danych.
Należy zakreślić właściwe pole, które odpowiada podstawie prawnej przetwarzania
danych w zbiorze. Zakreślając pole drugie należy precyzyjnie określić przepisy prawa i przepisy, które zezwalają na przetwarzanie danych osobowych, podając tytuł oraz publikator aktu prawnego.
Część C. Cel przetwarzania danych
pkt 5. Cel przetwarzania danych w zbiorze:
W tym podpunkcie należy opisać, po co dane są w Twoim zbiorze. Może to być po prostu wysyłka newsletterów w celu sprzedażowym, realizacja usługi windykacyjnej, itd.
pkt. 6. Opis kategorii osób:
Wystarczy opisać, czy są to np. subskrybenci newslettera, czy klienci firmy itd.
pkt. 7. Zakres przetwarzanych w zbiorze danych o osobach:
W zależności od posiadanej bazy należy uzupełnić, które dane posiadasz.
pkt. 8. Inne dane osobowe - jeżeli w punkcie 7 nie odnalazłeś danych, które posiadasz, to tutaj jest miejsce by je wpisać.
pkt. 9. Dane przetwarzane w zbiorze: dotyczą one tzw. danych wrażliwych. Jeśli w swojej bazie takowe posiadasz, koniecznie zaznacz odpowiednie ikonki.
pkt. 10 Jeśli cokolwiek zaznaczyłeś w poprzednim punkie wskaż, jakie są podstawy prawne, które wskazują na to, że możesz tych danych używać, jeśli nie - przejdź do punktu 11.
Część D. Sposób zbierania i udostępniania danych
pkt. 11. Dane do zbioru będą zbierane: od osób, których dotyczą, czyli np. osoba zapisała się do newslettera i zgodziła się na przetwarzanie swoich danych osobowych, czy też pochodzą z innych źródeł.
pkt. 12. Dane ze zbioru będą udostępniane: jeśli są udostępniane innym podmiotom, wówczas należy opisać jakim. Oczywiście udostępnianie danych powinno się odbywać zgodnie z literą prawa.
pkt. 13. Odbiorcy lub kategorie odbiorców, którym dane mogą być przekazywane. W tym punkcie należy wskazać jakim podmiotom dane będą udostępniane. Jakich kategorii odbiorców nie trzeba wpisywać: osób już upoważnionych do przetwarzania danych, organów państwowych i samorządowych. Tymi odbiorcami NIE są także Wasi przedstawiciele wymienieni w punkcie 2gim, ani podmioty wskazane w punkcie 3cim zgłoszenia.
pkt.14. Tajemniczo brzmiące państwa trzecie to po prostu państwa, które są poza Europejskim Obszarem Gospodarczym.
Część E . Spełnienie wymogów ustawy o ochronie danych osobowych
Teraz pora na część E, niektóre jej podpunkty mogą wprowadzić małe zamieszanie, ale spokojnie - to już prawie koniec wypełniania wniosku do GIODO.
pkt. 15. a) Zbiór danych jest prowadzony centralnie, czy w architekturze rozproszonej.
Jeśli firma mieści się w jednym budynku, wówczas zbiór danych prowadzony jest centralnie. Jeśli np. siedziba firmy jest w Warszawie, a oddziały mieszczą się w kilku miastach, wówczas zbiór danych osobowych jest prowadzony w architekturze rozproszonej. Podobnie jest, gdy przechowujesz dane na kilku różnych serwerach, a serwery znajdują się w różnych budynkach, mimo tego, że wszystkie budynki mieszczą się np. we Wrocławiu.
b) większość firm nie prowadzi rejestracji zbioru danych wyłącznie w postaci papierowej, ale jeśli należysz do tej grupy, należy zaznaczyć właśnie ten podpunkt.
c) jeśli do przetwarzania danych nie używasz np. komputera, czyli urządzenia do przechowywanie danych, zaznacz drugą opcję “bez użycia systemu informatycznego (...)”; natomiast jeśli należysz do znakomitej większości firm, gdzie używane są komputery, modemy, routery itd. wówczas zaznacz opcję pierwszą.
pkt. 16. Zostały spełnione wymogi określone w art. 36-39 u.o.d.o. z dnia 29 sierpnia 1997r.
a) w firmie został wyznaczony ABI - zgłaszając bazę danych do GIODO, administrator danych nie ma obowiązku powołania administratora bezpieczeństwa informacji, aczkolwiek oczywiście można to zrobić w celu lepszego zabezpieczenie danych.
Jeśli administrator danych zrobi to po wysłaniu zgłoszenia do GIODO, wówczas zgodnie z art. 46b ust. 1 u.o.d.o., ma 30 dni od dnia powołania ABI na zgłoszenie tego faktu do rejestracji Generalnemu Inspektorowi.
b) do przetwarzania danych zostały dopuszczone tylko osoby posiadające upoważnienia nadane przez administratora danych. Zatem jeśli w Twojej organizacji dane przetwarzane są przez kilka osób, należy tym osobom nadać odpowiednie uprawnienia,
c) jest to nawiązanie do punktu b) jeśli już mamy nadane uprawnienia należy także ewidencjonować osoby, które je posiadają,
d-e) zarówno polityka bezpieczeństwa jak i instrukcja zarządzania systemem informatycznym to konieczne minimum jakie powinno zostać wdrożone. Nie jest konieczne, by załączać dokumenty, potwierdzające wprowadzone ww. środki,
f) jeśli istnieją dodatkowe środki w celu zabezpieczenia danych, oprócz podpunktów a-e, wówczas należy je tutaj opisać. Oto przykłady kilku środków jakie możesz wdrożyć w swojej firmie: szkolenia w firmie, które omawiają sposoby zabezpieczania danych, zabezpieczenie danych, czyli np. dostęp do pewnych pomieszczeń tylko upoważnionym osobom, monitoring, stosowanie zasad szyfrowania w procesie przetwarzania danych itd.
Jeśli ta część nadal sprawia Ci problemy i chcesz się upewnić co do pewnych kwestii, polecam zajrzeć do Internetowego Systemu Aktów Prawnych, a dokładnie do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r.
Część F. Poziom zastosowanych środków bezpieczeństwa danych osobowych
To już ostatnia część jaka pozostała do wypełnienia, krótka i przyjemna :)
Skąd mamy wiedzieć, na jakim poziomie mamy wypełnione środki bezpieczeństwa?
Już wyjaśniam.
- Poziom podstawowy - jest wówczas, gdy nie przetwarzane są dane wrażliwe, a żadne z urządzeń z systemu danych nie są połączone z Internetem (siecią publiczną).
- Poziom podwyższony - należy zaznaczyć, gdy występuje sytuacja przetwarzania danych szczególnie chronionych, ale nadal bez połączenia z siecią publiczną.
- Poziom wysoki - ten poziom jest zaznaczony najczęściej ze względu na to, że obecnie większość firm po prostu używa systemu połączonego z siecią Internet. Zaznaczając punkt 15c w formularzu, wówczas nie ma co się zastanawiać, należy zaznaczyć poziom bezpieczeństwa wysoki.
Gdzie wysłać wniosek?
Mam nadzieję, że odpowiedziałam na pytanie jak wypełnić wniosek do GIODO. Teraz należy go wysłać.
Wersję papierową na adres ul. Stawki 2, 00-193 Warszawa, bądź drogą elektroniczną za pośredncitwem strony ePUAP GIODO.
Jaki jest koszt wniosku?
Za wniosek o rejestrację bazy nic nie trzeba płacić. Jednak w przypadku wydania zaświadczenia o zarejestrowaniu zbioru opłata wynosi 17 zł.
Opisany w tym poście obowiązek rejestrowania zbiorów będzie funkcjonował w tym kształcie do 24 maja 2018 r.