Obowiązek zgłoszenia zbioru danych osobowych do GIODO
Obowiązek zgłoszenia zbioru danych osobowych do GIODO
Podstawą jest ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 Nr 133 poz. 883)
Co podlega zgłoszeniu?
Otóż, zgodnie z definicją zawartą w art. 7 pkt 1 ustawy o ochronie danych osobowych przez zbiór danych rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw jest rozproszony lub podzielony funkcjonalnie. Możliwość wyszukiwania według jakiegokolwiek kryterium osobowego (np. imię. nazwisko, data urodzenia, PESEL) lub nieosobowego (data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych w rozumieniu art. 7 pkt 1 ustawy.
Przepisy ustawy mają zastosowanie również w przypadku przetwarzania danych osobowych w zbiorach prowadzonych w formie tradycyjnej (papierowej), tj. bez użycia systemów informatycznych.
Czy tylko wielkie spółki, tudzież korporacje? Niestety kwestia dotyczy każdego przedsiębiorcy.
Wszystko zgłaszać? Nie, są bowiem wyłączenia od tego obowiązku, reguluje to art. 43 w/w ustawy. Poniżej te najistotniejsze wyjątki, które są ważne z punktu widzenia typowego przedsiębiorcy.
Wyjątki dotyczą m.in. następujących danych osobowych:
- zawierających informacje niejawne (np. uzyskane przez uprawnione organy i ich funkcjonariuszy),
- przetwarzanych w związku z zatrudnieniem na podstawie umów cywilnoprawnych,
- dotyczących osób korzystających z usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika – patentowego, doradcy podatkowego lub biegłego rewidenta będących administratorami zbioru danych,
- przetwarzanych w zakresie drobnych bieżących spraw życia codziennego,
- przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
- powszechnie dostępnych,
Dwa ostatnie wyłączenia wydają się być z punktu widzenia typowego przedsiębiorcy najistotniejsze. Zatem, jeśli w ?bazie? znajdzie się osoba fizyczna nieprowadząca działalności gospodarczej, chociażby jedna, to gorzej ponieważ ochronie podlegają wszystkie informacje tj. np. imię i nazwisko, numer PESEL, adre. Natomiast jeśli klientem jest przedsiębiorca, z ochrony wykluczone są (a zatem nie trzeba zgłaszać) owe dane jawne, czyli te znajdujące się w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG), chyba, że dopisujemy jakiś prywatny adres albo inne nieujawnione dane.
Zgłoszenia zbioru do rejestracji należy dokonać przed rozpoczęciem przetwarzania danych, czyli przed pierwszą czynnością, jaką administrator może wykonać na danych, tj. przed pozyskaniem pierwszych danych do zbioru. Zgodnie bowiem z art. 46 ust. 1 ustawy o ochronie danych osobowych, administrator danych może rozpocząć ich przetwarzanie w zbiorze po zgłoszeniu tego zbioru Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO).
Zgodnie z art. 53 ustawy o ochronie danych osobowych, kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Jak zarejestrować? Tutaj odsyłam do stron GIODO.
Tagi: Art. 43. dane osob., Art. 46. dane osob., Art. 53. dane osob., Art. 7. dane osob.