Obowiązek rejestracji zbiorów danych osobowych – odmowa rejestracji zbioru

W jakich przypadkach GIODO może odmówić zarejestrowania wniosku? Jak uzyskać potwierdzenie zarejestrowania zbioru? Odpowiedź na powyższe pytania znajdą Państwo w niniejszym artykule.

W niniejszym artykule skupimy się na przedstawieniu sposobu realizacji obowiązku meldunkowego oraz na potencjalnych przyczynach odmowy zarejestrowania zbioru przez GIODO. Pierwotnie na tym mieliśmy zakończyć nasz mini-cykl artykułów poświęconych obowiązkowi rejestracji zbiorów danych do GIODO. Otrzymaliśmy jednak od Państwa bardzo wiele wiadomości, w których informowali Państwo, że podczas wypełniania wniosków rejestracyjnych do GIODO, napotkali Państwo na bardzo wiele problemów. Rzeczywiście, formularz rejestracyjny do GIODO nie należy do najprostszych. Jest on napisany hermetycznym prawno-technicznym językiem i aż roi się w nim od prawniczych pojęć, odwołań do ustawy o ochronie danych osobowych, czy też terminów informatycznych takich jak: UPS, IDS, IPS, rootkit, czy firewall. Wychodząc naprzeciw Państwa oczekiwaniom, rozpoczniemy krótki cykl artykułów, które złożą się na swojego rodzaju poradnik „Jak zarejestrować zbiór danych osobowy krok po kroku”.

Jak rejestrować zbiory danych osobowych?

Rejestracji zbioru danych osobowych do GIODO można dokonać na dwa sposoby – „ręczny”, oraz „pół-automatyczny”. Sposób „ręczny” polega na wypełnieniu specjalnego formularza, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536). Po wypełnieniu formularza, powinien on zostać podpisany (pieczątka + podpis + data) przez administratora danych. Ostatnim etapem jest przesłanie formularza do GIODO. Można to zrobić albo drogą pocztową (adresując formularz na adres Biura Generalnego Inspektora Ochrony Danych Osobowych mieszczącego się na ul. Stawki 2, 00-193 Warszawa), albo poprzez osobiste złożenie dokumentów siedzibie Biura.

Opisany w powyższym akapicie sposób „ręczny” jest wciąż honorowany przez GIODO, jednak jest on dosyć czasochłonny i obarczony pewnym ryzykiem popełnienia błędu. Dlatego też, zdecydowanie polecamy Państwu drugi, „pół-automatyczny” sposób. Na czym on polega? Aby odpowiedzieć na to pytanie, powinniśmy powrócić do opisywanej we wstępie platformy e-GIODO (http://egiodo.giodo.gov.pl/). Serwis ten umożliwia nie tylko wgląd do wszystkich zarejestrowanych zbiorów danych osobowych w Polsce (o czym już pisaliśmy), ale i samą ich rejestrację! Dlaczego warto skorzystać z platformy e-GIODO podczas rejestrowania wniosków? Powody są dwa:

– wygoda i oszczędność czasu. Od lipca 2006 r. rejestracji wniosku można dokonać drogą w pełni elektroniczną –  bez wychodzenia z domu/pracy i bez wysyłania wniosków pocztą. Niestety z tego wygodnego rozwiązania mogą skorzystać wyłącznie administratorzy danych dysponujący bezpiecznym podpisem elektronicznym. Co w przypadku pozostałych administratorów? Mogą oni wypełnić wniosek rejestracyjny na platformie e-GIODO, a następnie wydrukować go, podpisać i złożyć/wysłać w formie tradycyjnej do Biura GIODO. Zaletą takiego rozwiązania jest szybsze rozpatrzenie wniosku przez urząd Generalnego Inspektora. Chociaż oficjalnie forma wypełniania wniosku nie powinna mieć na to wpływu, to z naszej praktyki wynika jasno – zgłoszenia wypełnione metodą „pół-automatyczną” są rozpatrywane szybciej niż „ręcznie” wypełniane wnioski.

– mniejsze ryzyko popełnienia błędu. Jeśli zdecydują się Państwo na wypełnienie wniosku rejestracyjnego przy użyciu platformy e-GIODO, to otrzymają Państwo do dyspozycji nie tylko formularz znany z rozporządzenia MSWiA z dnia 11 grudnia 2008 r., ale i specjalny program wspomagający jego wypełnianie! Jest to prosta aplikacja, która została opracowana na bazie dotychczasowych doświadczeń Departamentu Rejestracji Zbiorów Danych Osobowych Biura Generalnego Inspektora Ochrony Danych Osobowych, które pokazują, jakie błędy są popełniane najczęściej w zgłoszeniach. Aplikacja ma dwie bardzo ważne zalety. Po pierwsze, program wyświetla podpowiedzi. Podczas wypełniania wniosku rejestracyjnego niejednokrotnie natkną się Państwo na zwroty takie jak: „Przedstawiciel Wnioskodawcy, o którym mowa w art. 31a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych”, albo „Zbiór danych osobowych jest prowadzony w architekturze rozproszonej”. Dzięki aplikacji, nie będą Państwo musieli w takich sytuacjach za każdym razem sięgać po ustawę, ponieważ wyjaśnienia tych pojęć będą automatycznie wyświetlane. Po drugie, niezwykle istotną zaletą programu jest „inteligentne” wymuszanie podania wszystkich informacji, które zgodnie z przepisami powinny znaleźć się we wniosku rejestracyjnym oraz blokowanie tych pól, które się w nim nie powinny znaleźć. Np. jeśli w polu E15 b) zaznaczymy opcję, że przetwarzamy zbiór danych wyłącznie  wersji papierowej, automatycznie zablokują nam się wszystkie pola, które dotyczą przetwarzania danych osobowych przy wykorzystaniu systemów informatycznych. Zastosowanie takiego mechanizmu ogranicza do minimum możliwość podania niepełnych lub nawet sprzecznych z sobą informacji.

Odmowa zarejestrowania zbioru oraz potwierdzenie rejestracji

Wypełnienie wniosku rejestracyjnego to zaledwie połowa sukcesu. Nie mniej ważne jest odpowiednie jego wypełnienie. Prosimy pamiętać, że każdy wniosek rejestracyjny jest bowiem indywidualnie rozpatrywany nie tylko przez program komputerowy (wspomniana w powyższym akapicie aplikacja wmontowana w platformę e-GIODO), ale i przez pracownika Biura Generalnego Inspektora. Wszystkie przypadki, kiedy urzędnik ma prawo rozpatrzeć negatywnie Państwa wniosek, zostały opisane w Ustawie o ochronie danych osobowych (dalej: uodo). W art. 44 ust. 1, wymienia ona trzy przesłanki, których zaistnienie skutkuje wydaniem decyzji o odmowie rejestracji zbioru danych osobowych. Zgodnie z ww. przepisem Generalny Inspektor wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli:

1.  nie zostały spełnione wymogi określone w art. 41 ust. 1 ustawy, tj. zgłoszenie nie zawiera wszystkich wymaganych informacji;

2. przetwarzanie danych naruszałoby zasady określone w art. 23–28 ustawy, czyli np. brak przesłanki legalności przetwarzania danych (art. 23 ustawy), niedopełnienie obowiązku informacyjnego (art. 24 i 25 ustawy), nieadekwatność przetwarzanych danych w stosunku do celu ich przetwarzania (art. 26 ust. 1 pkt 3 ustawy), przetwarzanie danych szczególnie chronionych bez podstawy prawnej (art. 27 ustawy);

3.  urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a, tj. w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

( źródło: https://edugiodo.giodo.gov.pl/file.php/1/REJ/REJ_R10.html )

Proszę się jednak nie obawiać odmownych decyzji GIODO. Po pierwsze, sam fakt odmowy zarejestrowania zbioru danych, nie spowoduje, że urząd od razu zainteresuje się Państwa firmą / instytucją. Nawet jeśli złożyliby Państwo niekompletny wniosek, z którego wynikałoby, że naruszają Państwo przepisy ustawy o ochronie danych osobowych (np. poprzez stosowanie niewystarczających zabezpieczeń), to nie „ściągnie” to na Państwa kontroli GIODO. Cała sprawa skończy się po prostu na wydaniu decyzji odmownej. Po drugie, na szczęście GIODO to wyrozumiały i nowoczesny urząd. Pracownicy Biura Generalnego Inspektora doskonale zdają sobie sprawę, że nie każdy jest ekspertem w kwestii ochrony danych osobowych. Dlatego też, przeważnie, przed wydaniem odmownej decyzji, kontaktują się z administratorem zgłaszającym zbiór (np. przez telefon), informując które elementy formularza są niepoprawne i prosząc o przesłanie poprawek. Zdarzają się nawet przypadki, kiedy Inspektor GIODO wręcz pomaga wypełnić wniosek! Jest to jednak rzadkość (nie ma się zresztą temu co dziwić – doradztwo nie jest obowiązkiem pracownika GIODO) i administrator danych musi podczas rejestrowania zbioru liczyć przede wszystkim na siebie.

Co dzieje się w przypadku braku zastrzeżeń ze strony GIODO, co do rejestrowanego wniosku? Jest on rozpatrywany pozytywnie, a następnie umieszczany na platformie e-GIODO. Tak naprawdę, już sam fakt opublikowania na wspomnianej platformie, jest jednoznaczny z potwierdzeniem zarejestrowania zbioru danych. Nie ma konieczności, aby administrator danych uzyskiwał od GIODO specjalny dokument potwierdzający spełnienie obowiązku meldunkowego. Co prawda, taka możliwość istnieje i na Państwa żądanie, GIODO jest zobligowany do wydania zaświadczenia o zarejestrowaniu zgłoszonego przez zbioru danych (obowiązek ten nakłada na urząd art. 42 ust. 3 uodo), ale tak jak wspominaliśmy, nie jest to koniecznie.

Zupełnie inaczej sytuacja wygląda w przypadku rejestrowania wniosku zawierającego tzw. dane wrażliwe (np. informacje o stanie zdrowia, poglądach religijnych. Zainteresowanych pełnym katalogiem danych wrażliwych odsyłamy do art. 27 uodo). W takiej sytuacji, administrator danych musi otrzymać od GIODO zaświadczenie o zarejestrowaniu zbioru. Na szczęście, takie zaświadczenie jest wydawane przez GIODO z urzędu i nie ma potrzeby składania osobnego wniosku, który uprawniałby do otrzymania tego typu dokumentu.

Rejestracja wniosku „krok po kroku”

Jak w takim razie wypełnić wniosek rejestracyjny, żeby nie spotkać się z reakcją odmowną ze strony GIODO? Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać przynajmniej:

1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,

2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,

3) cel przetwarzania danych,

3a) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,

4) sposób zbierania oraz udostępniania danych,

4a) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,

5) opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36–39,

6) informację o sposobie wypełniania warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a,

7) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Oczywiście, wszystkie powyższe elementy, po kolei zostały zamieszczone w formularzu rejestracyjnym, dlatego nie muszą Państwo się martwić, że zapomną o jakimś z obligatoryjnych elementów składowych wniosku rejestracyjnego.

Pierwsze co ukaże się Państwa oczom po kliknięciu w pole „Wypełnianie wniosku”, na platformie e-GIODO, jest strona internetowa, na której należy określić, co dokładnie chcą Państwo zrobić. Są trzy możliwości do wyboru:

1. Zgłoszenie zbioru na podstawie art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz. 1271 oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285),Pierwsze pole dotyczy przypadku, gdy administrator danych zgłasza nowy zbiór danych osobowych, w którym nie są przetwarzane dane wskazane w pkt 9 zgłoszenia.
2. zgłoszenie zmian na podstawie art. 41 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,. Drugie pole dotyczy zgłoszenia zmian zaistniałych po zgłoszeniu zbioru danych osobowych do rejestracji.
3. zgłoszenie zbioru, w którym będą przetwarzane dane określone w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Trzecie pole dotyczy przypadku, gdy administrator danych zgłasza nowy zbiór danych osobowych, w którym są przetwarzane dane wskazane w pkt 9 zgłoszenia.

Inne artykuły związane z rejestracją zbiorów danych osobowych do GIODO

Zapraszamy do zapoznania się ze wszystkimi częściami cyklu artykułów poświęconych rejestracji zbiorów danych osobowych do GIODO:

– Które zbiory danych osobowych zwolnione są z obowiązku rejestracji:

Część 1. – zbiór danych osobowych pracowników, byłych pracowników i potencjalnych pracowników oraz uczniów

Część 2. – dane księgowe, dane członków rodzin pracowników i uczniów oraz drobne bieżące sprawy życia codziennego

– Jakie zbiory danych osobowych powinno się zarejestrować do GIODO

– Obowiązek rejestracji zbiorów danych osobowych – w jaki sposób uzyskać potwierdzenie rejestracji, odmowa rejestracji zbioru przez GIODO

– Poradnik jak zarejestrować zbiór danych osobowych krok po kroku:

Część 1. – definiowanie administratora danych i nazwy zbioru danych, przedstawiciel Wnioskodawcy (państwo trzecie), powierzenie przetwarzania danych osobowych

Część 2. – wskazanie przesłanki legalności, celu i zakresu przetwarzania danych oraz kategorii osób, których dane są przetwarzane

Część 3. – osoby od których zbierane są dane osobowe, przekazywanie danych do państwa trzeciego

Część 4. – centralne/rozproszone przetwarzanie danych, jaką formę przetwarzania danych wybrać, które z podstawowych zabezpieczeń zaznaczyć

Część 5. – w jaki sposób opisać dodatkowe zabezpieczenia, które stosujemy, aby chronić przetwarzane dane osobowe

Podstawa prawna:

• Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101 poz. 926 ze zm.).

Bibliografia:

• J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Wolters Kluwer Polska, Warszawa 2011.
• A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy (stan prawny na 2 lipca 2007 r.), Lexis Nexis, Warszawa 2007.
• www.giodo.gov.pl
• https://egiodo.giodo.gov.pl

Artykuł ukazał się w styczniowym numerze Miesięcznika Dyrektor Przedszkola (nr 01/48 styczeń 2013).