Fakty i mity na temat obowiązków rejestracyjnych względem GIODO – kogo i co zgłaszamy?

„Rejestracja do GIODO” – te słowa wiele osób przyprawiają o przysłowiową „gęsią skórkę”. Czy rzeczywiście jest się czego obawiać? Kogo i co zgłaszamy? W niniejszym artykule postaram się przybliżyć Państwu to zagadnienie i obalić kilka mitów na ten temat.

Zanim przejdziemy jednak do poszczególnych wątków, warto na wstępie podkreślić, iż na gruncie Ustawy o ochronie danych osobowych (dalej UODO) istnieją dwa rodzaje obowiązku rejestracyjnego względem GIODO. Obowiązek ten dotyczy zgłaszania:

  • powołania Administratora Bezpieczeństwa Informacji,
  • zbiorów danych.

Obowiązki te są od siebie niezależne i dokonywane są na innych formularzach. GIODO prowadzi również dwa jawne, ogólnodostępne rejestry ABIch i zbiorów danych. Za pośrednictwem strony https://egiodo.giodo.gov.pl/index.dhtml każdy może sprawdzić, np. czy określony podmiot powołał i zgłosił Administratora Bezpieczeństwa Informacji, czy dana osoba pełni funkcję ABI, jakie zbiory danych zarejestrował interesujący nas podmiot.

Przejdźmy teraz do kilku mitów na temat obowiązków rejestracyjnych:

Mit nr 1 – Zgłoszenie zbiorów do rejestracji i zgłoszenie ABI to jedyne obowiązki wynikające z przepisów z zakresu ochrony danych osobowych.

Oprócz rejestracji, przepisy przewidują szereg innych obowiązków. Dotyczą one m.in.:

Mit nr 2 – Musimy zgłosić i powołać Administratora Bezpieczeństwa Informacji.

Od 1 stycznia 2015 r. powołanie Administratora Bezpieczeństwa Informacji jest uprawnieniem, a nie obowiązkiem Administratora Danych. Inaczej mówiąc, można, lecz nie trzeba powoływać osoby sprawującej taką funkcję. Zatem jeśli nie powołali Państwo ABIego, nie można zarzucić Państwu niespełniania UODO w tym zakresie (wbrew temu, co przekazują niekiedy różne podmioty „zachęcające” do skorzystania ze swoich usług).

Jeśli natomiast zdecydują się Państwo na powołanie takiej osoby, wówczas rzeczywiście będą musieli ją Państwo zgłosić do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

Mit nr 3 – Strona internetowa/ formularz kontaktowy – musimy zgłosić to do GIODO.

Zgłoszeniu podlega zbiór danych, a nie np. strona internetowa czy określony formularz. Oczywiście jeśli np. za pośrednictwem strony internetowej prowadzimy sklep internetowy czy też umożliwiamy otrzymywanie wiadomości typu Newsletter lub udostępniliśmy formularz kontaktowy, przemawia to za wyodrębnieniem np. zbioru „Klienci sklepu internetowego”, „Newsletter” czy też „Potencjalni klienci” lub „Korespondencja”. Nie świadczy to jednak o tym, iż to właśnie ta strona czy też formularz podlega obowiązkowi rejestracyjnemu.

Mit 4 – Wszystkie zbiory danych musimy zgłosić do rejestracji.

Ustawa o ochronie danych osobowych przewiduje szereg zwolnień z obowiązku zgłoszenia zbiorów do rejestracji GIODO. Są one wymienione w art. 43 UODO. Najważniejsze z nich to zwolnienia dotyczące zbiorów:

  • przetwarzanych w związku z zatrudnieniem u Administratora, świadczeniem mu usług na podstawie umów cywilnoprawnych, a także dotyczących osób u niego zrzeszonych lub uczących się (art. 43 ust. 1 pkt 4 UODO),
  • prowadzonych bez użycia systemów informatycznych i jednocześnie niezawierających danych wrażliwych (art. 43 ust. 1 pkt 12 UODO),
  • niezawierających danych wrażliwych – pod warunkiem, iż powołano i zgłoszono do rejestracji GIODO ABIego (art. 43 ust. 1a UODO).

Mit nr 5 – Wysłaliśmy zgłoszenie zbioru danych do rejestracji – możemy przetwarzać dane.

Zdanie to jest prawidłowe w odniesieniu wyłącznie do zbiorów zawierających tzw. dane zwykłe (nie wymienione w art. 27 ust. 1 UODO). W stosunku natomiast do zbiorów zawierających dane wrażliwe, samo zgłoszenie nie jest wystarczające – musi ono zostać pozytywnie rozpatrzone i zarejestrowane. A zatem:

dane zwykłe + zgłoszenie = możliwość przetwarzania

Mit nr 6 – Skutkiem zgłoszenia zbiorów do rejestracji jest kontrola GIODO.

Zgłoszenie nie skutkuje wszczęciem kontroli, kontrole są niezależne od zgłoszeń.

Mit nr 7 – Wysłaliśmy zgłoszenie do GIODO – nic już nie musimy robić.

Jeśli zmianie uległy informacje zawarte w zgłoszeniu (zarówno powołania ABI, jak i zbioru danych) musimy je zgłosić. Np. jeśli zmianie uległa forma prawna Administratora Danych (przykładowo spółka z o.o. została przekształcona w spółkę akcyjną), zmieniły się dane adresowe, zmniejszył się lub zwiększył zakres przetwarzanych danych itd.

Mam nadzieję, że wiedzą już Państwo kogo i co zgłaszać do rejestracji GIODO. A jak to zrobić? Poniżej kilka cennych wskazówek:

Zgłoszenie ABI

  1. Wzór zgłoszenia powołania ABI: załącznik nr 1 Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. z 2014 r., poz. 1934) – http://www.giodo.gov.pl/144/id_art/8307/j/pl/
  2. Wzór zgłoszenia odwołania ABI – załącznik nr 2 Rozporządzenia wskazanego w punkcie 1.
  3. Zgłaszanie zmian: stosujemy wzór zgłoszenia powołania ABI.
  4. Wypełnianie zgłoszeń: https://blog-daneosobowe.pl/powinienes-wiedziec-nowym-wzorze-zgloszenia-powolania-odwolania-administratora-bezpieczenstwa-informacji/
  5. Termin składania zgłoszeń: 30 dni od dnia powołania lub odwołania ABI
  6. Termin zgłaszania zmian: 14 dni od dnia zmiany.

Zgłoszenie zbiorów

  1. Wzór zgłoszenia: załącznik do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r., Nr 229, poz. 1536) – http://www.giodo.gov.pl/233/id_art/2546/j/pl/
  2. Zgłaszanie zmian: stosujemy wzór zgłoszenia, lecz w nagłówku zaznaczamy drugą rubrykę/checkbox (zgłoszenie zmian).
  3. Wypełnianie zgłoszeń:

https://blog-daneosobowe.pl/poradnik-jak-zarejestrowac-zbior-danych-osobowych-do-giodo-cz-1/

https://edugiodo.giodo.gov.pl/mod/resource/view.php?id=70

  1. Termin składania zgłoszeń: przed rozpoczęciem przetwarzania. Uwaga! Jeśli zgłaszamy do rejestracji zbiór danych zawierający tzw. dane wrażliwe, przetwarzanie możemy rozpocząć dopiero po zarejestrowaniu zbioru przez GIODO.
  2. Termin zgłaszania zmian: 30 dni od daty dokonania zmiany w zbiorze, z zastrzeżeniem, iż jeśli zmiana odnosi się do rozszerzenia zakresu przetwarzanych danych o dane wrażliwe, konieczne jest dokonanie zgłoszenia zmian przed dokonaniem zmian w zbiorze.

Jeśli nurtują Państwa jeszcze jakieś zagadnienia związane obowiązkami rejestracyjnymi względem GIODO – zachęcam do zadawania pytań w komentarzach.

7 Odpowiedzi

  1. Anna

    Dzień dobry. Na wstępie przepraszam, że zadałam to pytanie omyłkowo pod innym artykułem 🙂 Chciałabym się dowiedzieć, czy wykorzystując dane swoich kontrahentów w celu promocji własnych usług także mam obowiązek zgłoszenia bazy danych do GIODO? Po lekturze kilku wcześniejszych artykułów wiem już, że nie muszę mieć zgody klienta w tym przypadku, ale nadal nie wiem, czy jest to baza danych podlegająca zgłoszeniu do GIODO, czy też jestem także zwolniona z tego obowiązku? Z góry dziękuję za odpowiedź i pozdrawiam.

    1. Kancelaria Lex Artist

      Na gruncie Ustawy o ochronie danych osobowych, obowiązek rejestracyjny odnosi się do zbiorów danych. Obowiązkowi temu podlegają wszystkie zbiory z wyjątkiem tych, które zostały wskazane w art. 43 ust. 1 i 1a UODO. W przypadku zbiorów wykorzystywanych dla celów marketingowych zastosowanie może znaleźć wyłączenie, o którym mowa w art. 43 ust. 1 pkt 12 (zbiór nie zawiera tzw. danych wrażliwych- wymienionych w art. 27 ust. 1 UODO + zbiór prowadzony jest wyłącznie w wersji papierowej) lub art. 43 ust. 1a UODO (powołano i zgłoszono ABIego + zbiór nie zawiera danych wrażliwych). W związku z tym zazwyczaj – jeśli nie powołano Administratora bezpieczeństwa informacji, zbiór taki musi być zgłoszony do GIODO.

  2. Sylwester

    Dzień dobry. W ostatnim czasie otrzymuję bardzo dużo spamu dotyczącego tematu ochrony danych. Po przeczytaniu kilku artykułów z tej strony stwierdziłem ze nic nie rozumiem w tym temacie. Zadam więc pytanie jako laik, tak na prosty rozum.
    Posiadam firmę jednoosobową, pracuje jako podwykonawca na stanowisku robotniczym z dala od komputerów.
    Jako osoba prywatna od wielu lat sprzedaje na Allegro duże ilości niepotrzebnych przedmiotów. Co się z tym wiąże, przez lata powstała cała masa zapisów w postaci emaili i powiadomień o sprzedanej aukcji z danymi kontrahentów.
    (Imię, nazwisko, adres do wysyłki, email, tel.) Ponieważ jestem typem chomika nie mam zwyczaju kasowania swoich maili.
    Czy mam obowiązek zarejestrować taką bazę danych do GIODO?

    1. Kancelaria Lex Artist

      Z punktu widzenia przepisów z zakresu ochrony danych osobowych, jeśli sprzedaż na Allegro nie jest dokonywana w ramach prowadzonej działalności gospodarczej, lecz wyłącznie w celach osobistych (domowych), do procesu tego nie stosuje się Ustawy o ochronie danych osobowych (w tym przepisów odnoszących się do rejestracji zbiorów danych). Natomiast wszelkie działania dotyczące wykorzystywania danych osobowych (np. osób kontaktowych ze strony klientów czy też kontrahentów), realizowane w celach zawodowych już wskazanej Ustawie podlegają.

  3. Jolanta

    Czy portal informacyjny ( wiadomości lokalne), na którym pojawiają sie komentarze ( w celu dodania go trzeba podać maila) powinien zgłosić zbiór zdobytych adresów do GIODO?

    1. Kancelaria Lex Artist

      Nie, jeśli znajdzie zastosowanie jedna z podstaw zwolnienia z obowiązku rejestracyjnego (art. 43 UODO). Przykładowo, gdy zarejestrowany został ABI (i oczywiście zbierane są wyłącznie tzw. dane zwykłe).

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO