Czy należy rejestrować zbiór danych osobowych? Jak przygotować się do rejestracji a następnie jej dokonać? Na te i inne pytania odpowiedzi znajdziecie w poniższym poradniku.
Firmy, które rozpoczynają swoją działalność na terytorium Polski, z pewnością nie mają łatwego startu jeśli chodzi o mnogość przepisów, które regulują w sposób bezpośredni, a także pośredni zagadnienia związane z prowadzeniem działalności gospodarczej. Poza wymogami wiążącymi się z uzyskaniem obligatoryjnych wpisów w takich instytucjach jak GUS, Urząd Skarbowy czy ZUS, a w co poniektórych przypadkach zdobycie odpowiednich koncesji wydawanych przez różne organy państwowe lub samorządowe, istnieje również konieczność zgłoszenia zbiorów danych osobowych do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Obowiązek ten pojawił się wraz z ustawą o ochronie danych osobowych (dalej zwaną UODO), która obowiązuje w Polsce od 1997 r.
Czy należy rejestrować zbiór?
Niestety ku niepocieszeniu przedsiębiorców, obowiązek rejestracji został wprost wpisany do UODO, a dokładnie w art. 40 tej ustawy, który mówi, że administrator danych (przyjmijmy na potrzeby niniejszego artykułu, że chodzi tu o firmę, która jest właścicielem danych osobowych) jest zobowiązany zgłosić zbiór danych do rejestracji GIODO, chyba że zachodzi jeden z wyjątków przewidzianych w UODO (przykładem takiego wyjątku mogą być dane przetwarzane w celu zatrudnienia pracownika u administratora danych). Wyjątki te określa art. 43 ust. 1 UODO, zatem to właśnie z tym przepisem powinien zaznajomić się przedsiębiorca, aby mieć pewność czy musi występować do GIODO czy też nie.
W tym miejscu należy również podkreślić, że firmy mogą rozpocząć przetwarzanie danych osobowych zawartych w zbiorze danych dopiero po zgłoszeniu tegoż zbioru do GIODO. Natomiast jeśli firma ma zamiar przetwarzać tzw. dane wrażliwe (np. informacje o stanie zdrowia, przekonaniach religijnych) to, aby robić to w sposób legalny, musi zaczekać aż zgłoszony zbiór zostanie zarejestrowany, co trwa zwykle do kilku tygodni (a czasami nawet miesięcy).
Zanim zarejestrujesz wniosek
Gdyby obowiązek rejestracyjny zbiorów w GIODO ograniczał się tylko do wypełnienia odpowiedniego wniosku (dostępnego na stronie internetowej ww. Urzędu: http://egiodo.giodo.gov.pl) prawdopodobnie cała procedura rejestracyjna nie byłaby taka skomplikowana – jednak rzeczywistość okazuje się zupełnie inna, co przysparza przedsiębiorcom wiele trudności. Cały problem polega na tym, że ostateczne złożenie wniosku w GIODO powinno być swoistym ukoronowaniem szeregu mniej lub bardziej skomplikowanych czynności, których należy się podjąć, gdyż są one niezbędne w świetle UODO.
Poniżej przedstawiam listę tychże czynności:
- zebranie danych w zgodzie z którąś z przesłanek określonych w art. 23 ust. 1 UODO (w przypadku danych wrażliwych będzie to art. 27 ust. 2 UODO)
- dopełnienie obowiązków informacyjnych (art. 24 i 25 UODO)
- podjęcie środków technicznych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36 ust. 1 UODO oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych)
- podjęcie środków organizacyjnych niezbędnych do zabezpieczenia przetwarzanych danych osobowych (art. 36, art. 37, art. 38, art. 39 oraz przepisy wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych)
- zadbanie o legalne powierzenie przetwarzania danych osobowych, jeżeli firma ma zamiar wykorzystywać w procesie przetwarzania danych także inne firmy (np. w przypadku hostingu, biura rachunkowego, call center)
- udostępniać dane osobowe zgodnie z wymogami UODO
W niniejszym artykule skupię się tylko na samym wniosku rejestracyjnym, ponieważ zabrakło by miejsca, aby opisać każdą z ww. czynności w sposób wyczerpujący.
Wniosek rejestracyjny, co z czym i po co?
Przystępując do wypełnienia nowego wniosku, musimy już na samym początku określić czy będziemy rejestrować nowy zbiór, w którym przetwarzać będziemy tylko dane zwykłe (zgłoszenie na podstawie art. 40 UODO) czy też wrażliwe (zgłoszenie danych przetwarzanych na podstawie jednej z przesłanek wskazanych w art. 27 UODO). W przypadku, kiedy nasze zgłoszenie ma na celu dokonanie aktualizacji istniejącego już zbioru, należy zaznaczyć opcję nr 2, gdzie mowa jest o aktualizacji z art. 41 ust. 2 UODO.
Następnym krokiem jest nazwanie zgłaszanego zbioru np. baza marketingowa, newsletter, etc. Dalej wskazujemy administratora danych, a więc firmę, która dokonuje zgłoszenia. W tym miejscu należy określić jej nazwę, adres siedziby oraz podać nr REGON. Część B (pytanie nr 2) wypełniana jest tylko wtedy, gdy mamy do czynienia z przedstawicielstwem firmy mającej siedzibę za granicą, a ściślej w tzw. państwie trzecim, czyli państwie, które nie należy do Europejskiego Obszaru Gospodarczego.
Kolejnym zagadnieniem, do którego należy się ustosunkować jest określenie czy nasza firma powierza dane z rejestrowanego zbioru innym podmiotom np. firmie hostingowej, call center. Jeśli tak, to wpisujemy ich nazwy oraz adres siedziby.
Ostatnie już pytanie w tej części wniosku (część B) jest niejako pozostawione na deser, ponieważ jest jednym z najważniejszych w całym wniosku rejestracyjnym. Dokładnie w tym miejscu należy wskazać przesłankę, na podstawie której przetwarzamy dane osobowe z rejestrowanego zbioru. Należy podkreślić, że każda przesłanka ma charakter w pełni autonomiczny i samodzielny. Wystarczy zatem, że firma wskaże przynajmniej jedną z nich, aby mogła w sposób zgodny z obowiązującym prawem przetwarzać dane osobowe.
Czas teraz na część C wniosku. W pierwszym pytaniu należy określić cel, dla którego przetwarzane będą dane osobowe. Jednym z celów jest np. wysyłka firmowego newslettera czy też obsługa reklamacji. Kiedy już wskażemy cel przetwarzania danych osobowych, musimy przystąpić do określenia osób, których dane przetwarzamy. Jednak wystarczy, że w tym miejscu napiszemy np. klienci, dłużnicy, osoby składające reklamację etc. W kolejnym punkcie określamy jakie dane będą przetwarzane w obrębie zgłaszanego zbioru. Część danych jest zasugerowana w formularzu, jeśli jednak ich nie ma, możemy oczywiście dopisać je ręcznie. Często należy wpisać adres e-mail, który może być uznany jako dana osobowa.
Dwa ostatnie pytania w części C wniosku rejestracyjnego, dotyczą danych wrażliwych. W pierwszym pytaniu należy wskazać jakie dane będą przetwarzane w ramach zgłaszanego zbioru. Przykładem może być informacja o nałogach pracownika albo stanie zdrowa. Jeśli jednak nasza firma takich danych nie przetwarza, należy zostawić te pola puste (podobnie jak następne, w którym wskazuje się przesłankę legalizującą przetwarzanie danych wrażliwych).
Kolejna część wniosku za nami, przejdźmy zatem do części D. Zaczynamy od pytania, w którym przedstawiamy w jaki sposób zbieramy dane. Możemy wybrać spośród dwóch odpowiedzi, a więc czy zbieramy dane bezpośrednio od osoby, której dane dotyczą (taka sytuacja ma miejsce np. w przypadku strony umowy albo osoby rejestrującej się w portalu) lub też z innego źródła (np. z zakupionej legalnie bazy danych). Gdy już wskazaliśmy sposób pozyskiwania danych, jesteśmy pytani o to, czy udostępniamy je innym podmiotom niż tzw. podmioty uprawnione (przykładowo takim podmiotem uprawnionym będą urzędy skarbowe, komornicy). Innym podmiotem może być firma, z którą administrator danych współpracuje, przy czym należy pamiętać o tym, by takie udostępnianie odbywało się w sposób legalny. Jeśli dane osobowe będziemy udostępniać, to w następnym pytaniu należy wskazać podmioty, którym dane będziemy udostępniać. Należy w tym miejscu wpisać nazwę i siedzibę firmy, ew. podać kategorie tych podmiotów np. partnerzy biznesowi. Ostatnie pytanie w tej części wniosku dotyczy sytuacji, w której administrator danych przekazuje dane z rejestrowanego zbioru do państw trzecich. Jeżeli takie przekazywanie ma miejsce, to wpisujemy tu nazwy tych państw. Należy jednak pamiętać o tym, że UODO przewiduje szereg obostrzeń związanych z transferem danych za granicę.
Część E wniosku rejestracyjnego została poświęcona zabezpieczeniom stosowanym przez administratora danych osobowych – a więc naszą firmę. Na początek należy wskazać czy dane przetwarzane są centralnie (upraszczając: w jednym miejscu np. w siedzibie firmy) czy w tzw. architekturze rozproszonej (np. firma ma kilka lokalizacji, a dodatkowo dane są powierzone do przetwarzania innym podmiotom).
Następnie musimy zaznaczyć, czy dane przetwarzane będą wyłącznie w wersji papierowej, czy też przy wykorzystaniu systemów informatycznych. Pierwsza sekcja z części E kończy się pytaniem czy komputer służący do przetwarzania danych połączony jest z Internetem. Po odznaczeniu powyższych informacji przechodzimy do wskazania konkretnych zabezpieczeń jakie stosuje firma zgłaszająca zbiór.
Zabezpieczenia podzielone są na kilka rodzajów – od typowo fizycznych (np. monitoring, ochrona, zamykane szafy), poprzez środki sprzętowe (np. niszczarki), narzędzia służące do ochrony baz danych (np. stosowanie różnych poziomów uprawnień, kwestie związane z uwierzytelnianiem), a skończywszy na opisie środków organizacyjnych (np. przeszkolony personel, obowiązek zachowania danych osobowych w tajemnicy). Jeszcze przed wypełnieniem tej części należy również wskazać, czy został powołany administrator bezpieczeństwa informacji tzw. ABI (funkcję tę może pełnić osobiście administrator danych), a także czy wdrożono dokumenty – m.in. politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.
Przed nami już ostatnia część wniosku rejestracyjnego – część F. Znajduje się tam tylko jedno pytanie, a mianowicie administrator danych proszony jest o wskazanie poziomu stosowanych zabezpieczeń. Zgodnie z wcześniej przywoływanym rozporządzeniem istnieją trzy poziomy: podstawowy, podwyższony i wysoki. Tym co decyduje o tym, jakie zabezpieczenia musi zastosować firma, wynika właśnie z ww. poziomów, które z kolei powiązane są m.in. z tym jakie dane przetwarza administrator danych, a także czy system informatyczny połączony jest z Internetem.
Po wypełnieniu wniosku należy go wysłać do GIODO. Co do zasady należy zrobić to w sposób tradycyjny (za pośrednictwem poczty, listem poleconym albo osobiście w biurze GIODO). Natomiast jeśli przedsiębiorca posiada kwalifikowany podpis elektroniczny, może to również uczynić przez Internet.
Tekst przygotował Michał Sztąberek. Autor jest prawnikiem, współwłaścicielem firmy doradczo – szkoleniowej iSecure, specjalizującej się w zagadnieniach z zakresu ochrony danych osobowych oraz wsparcia dla e-biznesu.