Mam startup

Domeny to podstawa, od której zaczyna się każdy projekt w Internecie.

Daniel Dryzek, brokerdomen.pl, ddfund.eu

Poradnik startupowca

Rejestracja zbiorów danych osobowych w GIODO krok po kroku

, Mam Startup Komentarze (20)

Czy należy rejestrować zbiór danych osobowych? Jak przygotować się do rejestracji a następnie jej dokonać? Na te i inne pytania odpowiedzi znajdziecie w poniższym poradniku.

Firmy, które rozpoczynają swoją działalność na terytorium Polski, z pewnością nie mają łatwego startu jeśli chodzi o mnogość przepisów, które regulują w sposób bezpośredni, a także pośredni zagadnienia związane z prowadzeniem działalności gospodarczej. Poza wymogami wiążącymi się z uzyskaniem obligatoryjnych wpisów w takich instytucjach jak GUS, Urząd Skarbowy czy ZUS, a w co poniektórych przypadkach zdobycie odpowiednich koncesji wydawanych przez różne organy państwowe lub samorządowe, istnieje również konieczność zgłoszenia zbiorów danych osobowych do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Obowiązek ten pojawił się wraz z ustawą o ochronie danych osobowych (dalej zwaną UODO), która obowiązuje w Polsce od 1997 r.

Czy należy rejestrować zbiór?

Niestety ku niepocieszeniu przedsiębiorców, obowiązek rejestracji został wprost wpisany do UODO, a dokładnie w art. 40 tej ustawy, który mówi, że administrator danych (przyjmijmy na potrzeby niniejszego artykułu, że chodzi tu o firmę, która jest właścicielem danych osobowych) jest zobowiązany zgłosić zbiór danych do rejestracji GIODO, chyba że zachodzi jeden z wyjątków przewidzianych w UODO (przykładem takiego wyjątku mogą być dane przetwarzane w celu zatrudnienia pracownika u administratora danych). Wyjątki te określa art. 43 ust. 1 UODO, zatem to właśnie z tym przepisem powinien zaznajomić się przedsiębiorca, aby mieć pewność czy musi występować do GIODO czy też nie.

W tym miejscu należy również podkreślić, że firmy mogą rozpocząć przetwarzanie danych osobowych zawartych w zbiorze danych dopiero po zgłoszeniu tegoż zbioru do GIODO. Natomiast jeśli firma ma zamiar przetwarzać tzw. dane wrażliwe (np. informacje o stanie zdrowia, przekonaniach religijnych) to, aby robić to w sposób legalny, musi zaczekać aż zgłoszony zbiór zostanie zarejestrowany, co trwa zwykle do kilku tygodni (a czasami nawet miesięcy).

Zanim zarejestrujesz wniosek

Gdyby obowiązek rejestracyjny zbiorów w GIODO ograniczał się tylko do wypełnienia odpowiedniego wniosku (dostępnego na stronie internetowej ww. Urzędu: http://egiodo.giodo.gov.pl) prawdopodobnie cała procedura rejestracyjna nie byłaby taka skomplikowana – jednak rzeczywistość okazuje się zupełnie inna, co przysparza przedsiębiorcom wiele trudności. Cały problem polega na tym, że ostateczne złożenie wniosku w GIODO powinno być swoistym ukoronowaniem szeregu mniej lub bardziej skomplikowanych czynności, których należy się podjąć, gdyż są one niezbędne w świetle UODO.

Poniżej przedstawiam listę tychże czynności:

  • zebranie danych w zgodzie z którąś z przesłanek określonych w art. 23 ust. 1 UODO (w przypadku danych wrażliwych będzie to art. 27 ust. 2 UODO)
  • dopełnienie obowiązków informacyjnych (art. 24 i 25 UODO)
  • podjęcie środków technicznych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36 ust. 1 UODO oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych)
  • podjęcie środków organizacyjnych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36, art. 37, art. 38, art. 39 oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych)
  • zadbanie o legalne powierzenie przetwarzania danych osobowych, jeżeli firma ma zamiar wykorzystywać w procesie przetwarzania danych także inne firmy (np. w przypadku hostingu, biura rachunkowego, call center)
  • udostępniać dane osobowe zgodnie z wymogami UODO

W niniejszym artykule skupię się tylko na samym wniosku rejestracyjnym, ponieważ zabrakło by miejsca, aby opisać każdą z ww. czynności w sposób wyczerpujący.

Wniosek rejestracyjny, co z czym i po co?

Przystępując do wypełnienia nowego wniosku, musimy już na samym początku określić czy będziemy rejestrować nowy zbiór, w którym przetwarzać będziemy tylko dane zwykłe (zgłoszenie na podstawie art. 40 UODO) czy też wrażliwe (zgłoszenie danych przetwarzanych na podstawie jednej z przesłanek wskazanych w art. 27 UODO). W przypadku, kiedy nasze zgłoszenie ma na celu dokonanie aktualizacji istniejącego już zbioru, należy zaznaczyć opcję nr 2, gdzie mowa jest o aktualizacji z art. 41 ust. 2 UODO.

Następnym krokiem jest nazwanie zgłaszanego zbioru np. baza marketingowa, newsletter, etc. Dalej wskazujemy administratora danych, a więc firmę, która dokonuje zgłoszenia. W tym miejscu należy określić jej nazwę, adres siedziby oraz podać nr REGON. Część B (pytanie nr 2) wypełniana jest tylko wtedy, gdy mamy do czynienia z przedstawicielstwem firmy mającej siedzibę za granicą, a ściślej w tzw. państwie trzecim, czyli państwie, które nie należy do Europejskiego Obszaru Gospodarczego.

Kolejnym zagadnieniem, do którego należy się ustosunkować jest określenie czy nasza firma powierza dane z rejestrowanego zbioru innym podmiotom np. firmie hostingowej, call center. Jeśli tak, to wpisujemy ich nazwy oraz adres siedziby.

Ostatnie już pytanie w tej części wniosku (część B) jest niejako pozostawione na deser, ponieważ jest jednym z najważniejszych w całym wniosku rejestracyjnym. Dokładnie w tym miejscu należy wskazać przesłankę, na podstawie której przetwarzamy dane osobowe z rejestrowanego zbioru. Należy podkreślić, że każda przesłanka ma charakter w pełni autonomiczny i samodzielny. Wystarczy zatem, że firma wskaże przynajmniej jedną z nich, aby mogła w sposób zgodny z obowiązującym prawem przetwarzać dane osobowe.

Czas teraz na część C wniosku. W pierwszym pytaniu należy określić cel, dla którego przetwarzane będą dane osobowe. Jednym z celów jest np. wysyłka firmowego newslettera czy też obsługa reklamacji. Kiedy już wskażemy cel przetwarzania danych osobowych, musimy przystąpić do określenia osób, których dane przetwarzamy. Jednak wystarczy, że w tym miejscu napiszemy np. klienci, dłużnicy, osoby składające reklamację etc. W kolejnym punkcie określamy jakie dane będą przetwarzane w obrębie zgłaszanego zbioru. Część danych jest zasugerowana w formularzu, jeśli jednak ich nie ma, możemy oczywiście dopisać je ręcznie. Często należy wpisać adres e-mail, który może być uznany jako dana osobowa.

Dwa ostatnie pytania w części C wniosku rejestracyjnego, dotyczą danych wrażliwych. W pierwszym pytaniu należy wskazać jakie dane będą przetwarzane w ramach zgłaszanego zbioru. Przykładem może być informacja o nałogach pracownika albo stanie zdrowa. Jeśli jednak nasza firma takich danych nie przetwarza, należy zostawić te pola puste (podobnie jak następne, w którym wskazuje się przesłankę legalizującą przetwarzanie danych wrażliwych).

Kolejna część wniosku za nami, przejdźmy zatem do części D. Zaczynamy od pytania, w którym przedstawiamy w jaki sposób zbieramy dane. Możemy wybrać spośród dwóch odpowiedzi, a więc czy zbieramy dane bezpośrednio od osoby, której dane dotyczą (taka sytuacja ma miejsce np. w przypadku strony umowy albo osoby rejestrującej się w portalu) lub też z innego źródła (np. z zakupionej legalnie bazy danych). Gdy już wskazaliśmy sposób pozyskiwania danych, jesteśmy pytani o to, czy udostępniamy je innym podmiotom niż tzw. podmioty uprawnione (przykładowo takim podmiotem uprawnionym będą urzędy skarbowe, komornicy). Innym podmiotem może być firma, z którą administrator danych współpracuje, przy czym należy pamiętać o tym, by takie udostępnianie odbywało się w sposób legalny. Jeśli dane osobowe będziemy udostępniać, to w następnym pytaniu należy wskazać podmioty, którym dane będziemy udostępniać. Należy w tym miejscu wpisać nazwę i siedzibę firmy, ew. podać kategorie tych podmiotów np. partnerzy biznesowi. Ostatnie pytanie w tej części wniosku dotyczy sytuacji, w której administrator danych przekazuje dane z rejestrowanego zbioru do państw trzecich. Jeżeli takie przekazywanie ma miejsce, to wpisujemy tu nazwy tych państw. Należy jednak pamiętać o tym, że UODO przewiduje szereg obostrzeń związanych z transferem danych za granicę.

Część E wniosku rejestracyjnego została poświęcona zabezpieczeniom stosowanym przez administratora danych osobowych – a więc naszą firmę. Na początek należy wskazać czy dane przetwarzane są centralnie (upraszczając: w jednym miejscu np. w siedzibie firmy) czy w tzw. architekturze rozproszonej (np. firma ma kilka lokalizacji, a dodatkowo dane są powierzone do przetwarzania innym podmiotom).

Następnie musimy zaznaczyć, czy dane przetwarzane będą wyłącznie w wersji papierowej, czy też przy wykorzystaniu systemów informatycznych. Pierwsza sekcja z części E kończy się pytaniem czy komputer służący do przetwarzania danych połączony jest z Internetem. Po odznaczeniu powyższych informacji przechodzimy do wskazania konkretnych zabezpieczeń jakie stosuje firma zgłaszająca zbiór.

Zabezpieczenia podzielone są na kilka rodzajów – od typowo fizycznych (np. monitoring, ochrona, zamykane szafy), poprzez środki sprzętowe (np. niszczarki), narzędzia służące do ochrony baz danych (np. stosowanie różnych poziomów uprawnień, kwestie związane z uwierzytelnianiem), a skończywszy na opisie środków organizacyjnych (np. przeszkolony personel, obowiązek zachowania danych osobowych w tajemnicy). Jeszcze przed wypełnieniem tej części należy również wskazać, czy został powołany administrator bezpieczeństwa informacji tzw. ABI (funkcję tę może pełnić osobiście administrator danych), a także czy wdrożono dokumenty – m.in. politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.

Przed nami już ostatnia część wniosku rejestracyjnego – część F. Znajduje się tam tylko jedno pytanie, a mianowicie administrator danych proszony jest o wskazanie poziomu stosowanych zabezpieczeń. Zgodnie z wcześniej przywoływanym rozporządzeniem istnieją trzy poziomy: podstawowy, podwyższony i wysoki. Tym co decyduje o tym, jakie zabezpieczenia musi zastosować firma, wynika właśnie z ww. poziomów, które z kolei powiązane są m.in. z tym jakie dane przetwarza administrator danych, a także czy system informatyczny połączony jest z Internetem.

Po wypełnieniu wniosku należy go wysłać do GIODO. Co do zasady należy zrobić to w sposób tradycyjny (za pośrednictwem poczty, listem poleconym albo osobiście w biurze GIODO). Natomiast jeśli przedsiębiorca posiada kwalifikowany podpis elektroniczny, może to również uczynić przez Internet.

Tekst przygotował Michał Sztąberek. Autor jest prawnikiem, współwłaścicielem firmy doradczo - szkoleniowej iSecure, specjalizującej się w zagadnieniach z zakresu ochrony danych osobowych oraz wsparcia dla e-biznesu.

  • reaker

    Witam,
    Co ze zbieraniem informacji potrzebnych do realizacji zamówienń, np w sklepie internetowym? Czy też trzeba zgłosić do GIODO? Czym bedzie się różniło wypełnienie wniosku od tego opisanego powyżej?

  • Marek Szewczyk

    "przechodzimy do wskazania konkretnych zabezpieczeń jakie stosuje firma zgłaszająca zbiór" - jakie muszę mieć zabezpieczenia, jeśli zbieram adresy email do newslettera lub dane klientów zamawiających coś w sklepie i całość danych jest przechowywana na serwerze? Informacji o sposobie zabezpieczenia serwerowni raczej nie dostanę, bo są to informacje tajne.

    "administrator danych przekazuje dane z rejestrowanego zbioru do państw trzecich" - czy korzystanie z systemu typu mailchimp.com (który ma serwery w Stanach) jest przekazaniem danych za granicę?

    "czy wdrożono dokumenty – m.in. politykę bezpieczeństwa..." - dla mnie największy kłopot, to właśnie przygotowanie tych dokumentów. Czy wystarczy kilka zdań na temat co wolno z tymi danymi robić, a czego nie? Czy są jakieś wzory takich dokumentów? Czy faktycznie muszę je mieć na wypadek ew. kontroli jeśli dajmy na to prowadzę jednoosobową działalność i nikogo nie zatrudniam (pisałbym te dokumenty sam dla siebie)?

    "legalne powierzenie przetwarzania danych osobowych" - znaczy na piśmie?

  • reklak

    Czy jeżeli przetwarzam w serwisie internetowym zwykłe dane osobowe, a serwis jest hostowany w firmie trzeciej, to czy muszę podpisywać umowę powierzenia przetwarzania danych osobowych z firmą hostującą?

  • Marek Szewczyk

    Trzeba zgłosić - zbierasz dane osobowe (imię, nazwisko, adres, email, itd.) i je przetwarzasz (choćby wpisując adres klienta na kopercie) ;]

  • reaker

    Można tego dokonać za jednym razem - że jako firma zbieram dane do różnych rzeczy - newsletter, rejestracja, numer konta bankowego?

  • Michał Sztąberek

    reklak Z tego co piszesz, to moim zdaniem tak. Chyba, że firma hostingowa pracuje wyłącznie na zaszyfrowanych danych (np. robiąc backup) - wówczas można by było od tego odstąpić. Z moich doświadczeń wynika jednak, że w większości przypadków taka umowa jest niezbędna

    reaker Zbieranie danych do realizacji zamówienia, czyli dane potrzebne do tego, by obie strony mogły wywiązać się z umowy kupna - sprzedaży, a przedsiębiorca mógł to zaksięgować nie wymaga zgłoszenia. Ale uwaga na pewne wyjątki: jeśli klient tworzy sobie konto w sklepie, jeśli dane będą wykorzystywane do marketingu, a nawet jak mamy dostęp do historii zamówienia, to wydaje się, że wówczas rejestracja będzie niezbędna.

    Marek Szewczyk Zacznę od przekazywania danych do USA - jeśli firma nie jest wpisana do tzw. Safe Harbour to wówczas rzeczywiście mamy do czynienia z sytuacją, w której następuje przekazanie danych do państwa trzeciego, a to podlega pewnym obostrzeniom i może być z tym pewien kłopot.

    Dokumenty ochrony danych - na stronie www GIODO znajdziesz poradnik jak przygotować te dokumenty. Niestety ustawa i rozporządzenie są bezwzględne - nie rozróżnia się w nich małych firm od dużych - wszystkie muszą spełniać te same wymogi. Czyli - nawet jeśli masz 1 osobową działalność, musisz posiadać te dokumenty. Oczywiście będą one napisane zupełnie inaczej niż dla dużej spółki akcyjnej.
    Jeśli jest problem z uzyskaniem informacji o zabezpieczeniach to pozostaje Ci w tej sytuacji opisać takie, jakie stosujesz tylko Ty albo... zmienić hostingodawcę na takiego, który tego typu informacje udostępnia (są tacy na rynku).

  • zygmunt

    Głupota goni głupotę, te wymogi to pewnie spełni duża firma zatrudniająca min 10 pracowników i posiadająca duże bazy ale nie widzę możliwości i potrzeby przez małe lub jednoosobowe gdzie czasem zachodzi potrzeba wymiany danych personalnych z klientem przez e-mail.

  • Kamil

    W części E pytaniu 16. "Zostały spełnione wymogi określone w art......", czy tu mam zaznaczyć jakie wymogi spełnia firma hostingowa w której mam sklep internetowy czy jakie wymogi są w naszej firmie wewnętrznie? Poza tym jeszcze jedno :) Serwer zarejestrowany jest na mnie, natomiast firma na mojego tate. Kto więc jest wnioskodawcą? Ja - osoba, która serwer posiada, czy tata który na nim prowadzi firmę? Pozdrawiam i dziękuję :)

  • Kamil

    Chciałbym się również dowiedzieć, czy te wszystkie dokumenty o ochronie danych osobowych powinniśmy mieć? tata prowadzi jodnoosobową działalność, nikogo nie zatrudnia, a wszystko znajduje się na hostingu zewnetrznym,

  • quepasa

    Jeżeli wszystkie dane służą Wam tylko i wyłącznie do obsługi zamówienia Klienta (wystawienia rachunku/FVAT) to nie trzeba takiego zbioru rejestrować.

  • Joey

    dzięki za rzeczowy artykuł!

  • Nergleth

    Jeżeli jest to sklep internetowy, to jesteś w błędzie, gdyż wtedy dane nie służą tylko do wystawienia fvat, lecz również do celów wysyłkowych, reklamacyjnych.

  • artur

    newsletter,- OSOBNY WNIOSEK zamówienia -osobny, konkursy- osobny

  • Michal

    Jestem na etapie tworzenia serwisu gdzie logowanie jest za pomocą email jak zazwyczaj się to odbywa. Nie planuję zbierać danych jak imię, nazwisko, adres itd. poza tą rejestracją, która wymaga podania wyłącznie email i hasła. Czy też muszę rejestrować bazę? Można to jakoś obejść? Nie potrzebuję danych użytkowników do newslettera.

  • Paweł Tadejko

    Tak, należy taką bazę zgłosić do GIODO. Adres e-mail, w rozumieniu ustawy o ochronie danych osobowych stanowi dane osobowe. Poza tym należy przechowywać dwie oddzielne informacje: o zgodzie na otrzymywanie newslettera i zgodzie na otrzymywanie ofert drogą elektroniczną.

    http://www.giodo.gov.pl/330/id...

  • Michal

    Dzięki Pawle za odpowiedź ;)

  • joey

    Używam "Małej Księgowości" do wystawiania faktur. Przechowuję tam dane klientów. Czy jestem zobowiązany do rejestracji w GIODO?

  • Jan

    Czy wniosek do GIODO można podpisać zaufanym profilem ePuap?

  • Beniamin

    Odświeżam trochę temat, ale dużo mi brakuje w tym tekście bo wniosek do GIODO to czubek góry lodowej. Mam kilka pytań i będę niezmiernie wdzięczny jak by mi ktoś pomógł (@Michał Sztąberek)

    1. Jakie dokumenty poza wnioskiem są koniczne w związku z przetwarzaniem danych osobowych (POLITYKA BEZPIECZEŃSTWA INFORMACJI, INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE, etc.)

    2. Jakie funkcje trzeba powołać (ABI, ADO, ASI)

    3. Gdzie można znaleźć zasady/wymogi wymaganych dokumentów? (Istniejące w sieci wzory mówią dużo o pracy nad fizycznymi bazami, o stacjach roboczych na których się pracuje z danymi a mało o sytuacjach gdzie wszystko masz w sieci na serwerze Amazona i nie masz czegoś takiego njak stacja robocza czy fizyczne backupy czy bazy danych - w związku z tym chciałbym te dokumenty stworzyć tak aby odpowiadały realiom i jednocześnie były zgodne z przepisami)

    Będę wdzięczny za wszelką pomoc.

  • Kasia

    Witam, w ramach jednoosobowej działalności gospodarczej udzielam prywatnych lekcji. Dane moich klientów widnieją w PKPiR i na rachunkach, które wystawiam za lekcje. Mam również ich dane na moim profilu konta bankowego (część moich klientów płaci mi przelewem bankowym. Czy w takiej sytuacji muszę zgłaszać to do rejestru GIODO?

chcesz więcej? newsletter Mam Startup

Dzięki, link został przesłany

Zamknij

Startuperze!
Lubisz już nasz fanpage?

Wystarczy kliknąć:

zobacz nasz fanpage >> Zamknij