Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Jakie zbiory danych osobowych powinno się zarejestrować do GIODO?

W poprzednich artykułach (cz. 1 i cz. 2) przedstawiliśmy wszystkie wyjątki pozwalające na nierejestrowanie zbiorów danych osobowych. Przypomnijmy – Administratorzy Danych nie są zobowiązani rejestrować do GIODO zbiorów danych osobowych odnoszących się do:  pracowników, potencjalnych pracowników, kontrahentów, osób przebywających na terenie zakładu pracy (wszelkiego rodzaju księgi wejść i wyjść) oraz uczniów iich rodziców (jeśli Administratorem Danych jest szkoła lub przedszkole),. Proszę jednak pamiętać, że jest to pewne uproszczenie. Zdarzają się bowiem pewne zbiory danych osobowych, np. pracowników (choćby tych, których nie zatrudniamy, ale którzy świadczą dla nas usługi), które mimo wszystko trzeba zarejestrować. Zainteresowanych szczegółami na ten temat, odsyłamy do dwóch poprzednich artykułów (cz. 1 i cz. 2).

Nawet pomimo opisanego w poprzednim akapicie zastrzeżenia, lista zbiorów danych osobowych zwolnionych z obowiązku rejestracji jest jednak bardzo rozbudowana. Stąd pojawia się pytanie, czy istnieją jeszcze jakieś zbiory danych osobowych, które Administratorzy Danych będą musieli zarejestrować? Niestety, w 99 proc. przypadków, odpowiedź będzie twierdząca. Proszę pamiętać, że mimo wszystko, omówione powyżej przykłady to jedynie wyjątki od reguły. A regułą jest obowiązek rejestrowania zbiorów danych osobowych, wynikający z art. 40 Ustawy o ochronie danych osobowych, dalej: uodo. Dlatego też, w praktyce przypadki, kiedy Administrator Danych nie musiałby rejestrować żadnego zbioru danych, raczej nie występują. Jakie zbiory danych osobowych podlegają w takim razie obowiązkowi meldunkowemu? W jakim terminie należy ten obowiązek zrealizować? W jaki sposób zarejestrować zbiory danych? Na wszystkie te pytania odpowiemy w niniejszym artykule.

Jakie zbiory danych osobowych podlegają obowiązkowi meldunkowemu?

Niestety, nie da się udzielić jednoznacznej odpowiedzi na to pytanie – stworzenie jednej, uniwersalnej listy zbiorów danych osobowych, które musi zarejestrować każdy Administrator Danych jest w praktyce niemożliwe. Jest to spowodowane tym, że nie ma w Polsce dwóch identycznych zakładów pracy i w przypadku niemal każdej firmy czy instytucji, liczba i rodzaj zgłaszanych do GIODO zbiorów są zupełnie inne. Doskonale zdajemy sobie sprawę, że taka odpowiedź nie będzie dla Państwa wystarczająca. Dlatego postaramy się ją doprecyzować. Najlepszym sposobem na sprawdzenie, jakie zbiory danych osobowych powinien zarejestrować Administrator Danych, byłoby sprawdzenie, jakie zbiory udało się w praktyce zarejestrować u GIODO innym Administratorom Danych z tej samej branży. Pozwoliłoby to Państwu ocenić, które zbiory danych są najczęściej rejestrowane w Polsce i które prawdopodobnie również Państwo powinni zarejestrować. Dlaczego prawdopodobnie? Ponieważ tak jak wspominaliśmy – nie ma dwóch takich samych firm czy instytucji. Nawet jeśli działają w tej samej branży – np. oświaty, to jedna placówka (wyjątkowo duża) powinna wyodrębnić zbiór „Zamówienia Publiczne”, natomiast w przypadku innej placówki (wyjątkowo małej) może nie zaistnieć taka konieczność. Tyle w teorii, ponieważ w praktyce, sprawdzenie, jakie zbiory danych osobowych zarejestrowali w Polsce inni Administratorzy Danych wydaje się niewykonalne. Co by jednak Państwo powiedzieli, jeśli otrzymaliby narzędzie, które to umożliwia?

Tym wyjątkowo pomocnym, ogólnodostępnym narzędziem jest portal e-GIODO. Jest to serwis internetowy prowadzony przez GIODO, który powstał na mocy art. 42 ust. 1 i 2 uodo. Przepisy te stanowią, że „Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych”  oraz, że „każdy ma prawo przeglądać rejestr”. Wynikają z tego dwie bardzo ważne konsekwencje. Po pierwsze – GIODO prowadzi rejestr przesłanych mu zbiorów danych osobowych w związku z realizacją tzw. obowiązku meldunkowego. Można więc powiedzieć, że GIODO prowadzi rejestr wszystkich zarejestrowanych w Polsce zbiorów danych. Czy to oznacza, że ustawa o ochronie danych osobowych doprowadziła do powstania wszechwiedzącego urzędu rodem z książki George’a Orwella „Rok 1984”? Oczywiście, nie. Jest to jeden z bardzo często funkcjonujących mitów, powstałych wokół obowiązku meldunkowego. Wielu Polakom wydaje się, że rejestracja zbioru danych oznacza skopiowanie wszystkich danych osobowych na jakiś nośnik informacji (np. płytę CD), a następnie wysłanie ich do GIODO. Nic bardziej mylnego! Takie rozwiązanie doprowadziłoby do całkowitego wypaczenia idei, dla jakiej postała ustawa o ochronie danych osobowych. W konsekwencji powstałaby ogromna, centralna baza danych, będąca istotnym zagrożeniem dla prywatności obywateli. Dlatego też chcielibyśmy sprostować tę nieprawdziwą informację: do GIODO nie rejestrujemy treści zbiorów danych osobowych (np. Jaś Kowalski, ur. w Warszawie dnia 30 kwietnia 2006, syn Janiny i Ryszarda Kowalskich), a jedynie opis tych zbiorów (np.  Zbiór czytelników przedszkolnej biblioteki. Zbieramy dane osobowe w celu ewidencjonowania wypożyczonych książek. Zakres zbieranych danych osobowych to: imię, nazwisko, wiek, tytuł wypożyczanej książki, itd.). Podobnie jest z rejestrem prowadzonym przez GIODO – nie ujawnia on żadnych konkretnych danych osobowych ani indywidualnych przypadków przetwarzania. Wskazuje wyłącznie na administratora oraz generalne założenia funkcjonowania zbioru.

Po drugie, w konsekwencji zaimplementowania do uodo art. 42 ust 2, rejestr prowadzony przez GIODO jest jawny. Oznacza to, że każdy może go przeglądać – nie trzeba w tym celu wykazywać się interesem prawnym czy też spełniać jakichkolwiek warunków formalnych. Jeszcze w roku 2005, krąg osób mogących uzyskać dostęp do rejestru był w praktyce ograniczony czynnikiem geograficznym (na początku rejestr prowadzono w wersji papierowej, znajdującej się w siedzibie GIODO w Warszawie). W roku 2006 nastąpił jednak przełom. Kosztem 1,6 mln. zł. zinformatyzowano cały rejestr i przeniesiono go do Internetu. Dzięki temu, stał się jawny nie tylko w teorii, ale i w praktyce.

Oficjalnie, miało to służyć „zapewnieniu obywatelom dostępu do informacji o zbiorach danych osobowych zgłoszonych przez poszczególnych administratorów danych. Zgodnie bowiem z art. 42 ust. 1 i 2 ustawy o ochronie danych osobowych, prowadzony przez Generalnego Inspektora rejestr zbiorów danych jest jawny i każdy ma prawo go przeglądać” (https://edugiodo.giodo.gov.pl/).

Nas jednak bardziej interesuje nieoficjalne wykorzystanie rejestru.  Dla administratorów danych osobowych rejestr e-GIODO jest mianowicie doskonałą pomocą – pozwala „podejrzeć” jakie zbiory danych rejestrują inni Administratorzy z tej samej branży oraz w jaki sposób dokonują tej rejestracji. Jak to zrobić w praktyce? Portal e-GIODO znajduje się pod adresem internetowym: http://egiodo.giodo.gov.pl/ . Zachęcamy Państwa do zanotowania tego adresu, ponieważ będzie on pomocny nie tylko w „podglądaniu” zbiorów danych zarejestrowanych przez innych Administratorów Danych, ale i podczas rejestrowania naszych własnych zbiorów danych. Pod wskazanym adresem internetowym, znajduje się portal, którego jedną z bardziej przydatnych funkcji jest wbudowana wyszukiwarka rejestrowanych zbiorów danych (opcja prostego wyszukiwania „Wyszukiwanie” oraz wyszukiwania złożonego „Wyszukiwanie+”). To właśnie dzięki tej wyszukiwarce, jesteśmy w stanie sprawdzić, jakie dokładnie zbiory danych rejestrują inni Administratorzy Danych. Aby ułatwić użytkownikowi zadanie, zbiory danych osobowych można wyszukiwać według wielu kryteriów, takich jak np. nazwa zbioru, nazwa administratora danych, siedziba administratora, czy też REGON. Sprawdźmy w takim razie jakie zbiory danych zarejestrowały polskie przedszkola. Po wpisaniu w pole „nazwa administratora danych”, słowa „przedszkole”, naszym oczom ukazują się następujące wyniki:

– przedszkola zarejestrowały aż 803 zbiory danych osobowych (uwaga, w tym zestawieniu nie liczone są punkty przedszkolne oraz zespoły szkolno przedszkolne!);

– zdecydowana większość zarejestrowanych zbiorów, to zbiory dotyczące: „Czytelników biblioteki nie będących uczniami/wychowankami”, „Upoważnień do odbioru dzieci z przedszkola”, „Zamówień publicznych”, „Ewidencji korespondencji”, czy „Rejestru skarg i wniosków”. Jeśli w Państwa przedszkolu przetwarzane są dane osobowe w ramach jakiegoś z powyższych zbiorów, powinni Państwo zarejestrować taki zbiór do GIODO.

Uwaga nr 1. Proszę pamiętać, że e-GIODO jest bardzo cennym źródłem informacji, ale nie jest źródłem nieomylnym. Tak jak wspominaliśmy w poprzednim artykule, w rejestrze zdarzają się pewne błędy (np. nagminne rejestrowanie zbiorów danych potencjalnych pracowników, który to zbiór jest zwolniony z obowiązku rejestracji, czy też wpisywanie błędnych przesłanek legalności), jakkolwiek jest to zjawisko marginalne. Dodatkowo mogą je Państwo ograniczyć, poprzez skupienie się na przeglądaniu wyłącznie zbiorów danych zarejestrowanych podczas ostatnich 2 lat. Wcześniej (zwłaszcza w początkowych latach funkcjonowania rejestru – od roku 1999), błędy w rejestrze zdarzały się znacznie częściej niż obecnie.

Uwaga nr 2. Rejestr zbiorów danych osobowych nie jest kompletnym źródłem informacji. Generalnie, w centralnym rejestrze GIODO, mieszczą informacje zawarte w poszczególnych zgłoszeniach rejestracyjnych, ale nie wszystkie. Są pewne wyjątki – nie ujawnia się informacji:

– dotyczących opisu środków technicznych i organizacyjnych zastosowanych w celu zabezpieczenia danych osobowych oraz

– informacji o sposobie wypełniania warunków technicznych i organizacyjnych, określonych w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024).

Wszystkie powyższe kategorie informacji nie podlegają ujawnieniu w rejestrze GIODO, ponieważ mają charakter poufny – z reguły są objęte tajemnicą przedsiębiorstwa, a także pracodawcy (por. J. Borowicz, Obowiązek prowadzenia przez pracodawcę dokumentacji osobowej i organizacyjnej z zakresu ochrony danych osobowych, PiZS 2001, nr 3, s. 5). Co ciekawe, w pierwotnym brzmieniu ustawy przyjęto, że ogólnodostępny rejestr powinien zawierać wszystkie informacje objęte obowiązkiem zgłoszenia. Taka praktyka wywołała jednak stanowczy sprzeciw przedsiębiorstw i instytucji państwowych, które nie chciały dopuścić do upublicznienia informacji na temat wdrażanych zabezpieczeń. Mogłoby to spowodować znaczny spadek bezpieczeństwa tych organizacji. Dodatkowo, jak wskazuje doktryna  (np. w: J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Wolters Kluwer Polska, Warszawa 2011), “takie rozwiązanie pozostawało w sprzeczności z odpowiednią regulacją zawartą w dyrektywie 95/46/WE, zgodnie z którą zasada jawności informacji zamieszczonych w rejestrze nie powinna obejmować opisu środków technicznych i organizacyjnych zastosowanych w celach zabezpieczenia zbiorów danych osobowych, w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (…)”. Wymóg powszechnej jawności powyższych informacji został uchylony dopiero nowelizacją uodo z dnia 22 stycznia 2004 r.

Kiedy rejestrować zbiory danych?

Wiedzą już Państwo jakie zbiory danych Administratorzy Danych powinni zgłosić do GIODO. Teraz odpowiemy na pytanie – kiedy powinni Państwo to zrobić? Tak naprawdę, Administrator Danych powinien zgłosić zbiory do rejestracji jeszcze przed rozpoczęciem przetwarzania danych. Jako, że ustawowa definicja zwrotu „przetwarzać dane osobowe” jest bardzo szeroka, to dyrektor placówki powinien dopełnić obowiązku meldunkowego teoretycznie nawet jeszcze przed pozyskaniem pierwszych danych do zbioru. Wynika to z art. 46 ust. 1 uodo – „Administrator danych może (…), rozpocząć ich [danych osobowych – przyp. autora] przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi”. Oznacza to, że wystarczy, że Administrator Danych tylko zgłosi zbiór do GIODO, żeby mógł od tego momentu legalnie przetwarzać dane osobowe. Nie ma potrzeby, żeby Administrator Danych czekał na potwierdzenie od GIODO, udowadniające, że wniosek został już zarejestrowany (jest to o tyle ważne, że czas pomiędzy wysłaniem wniosku, a jego faktycznym zarejestrowaniem często bywa liczony w tygodniach).

Uwaga! Jeśli Administrator Danych zamierza przetwarzać dane szczególnie chronione (tzw. „dane wrażliwe”), wskazane w art. 27 uodo, czyli „dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym”, to musi poczekać z tym aż do momentu otrzymania potwierdzenia z GIODO będącego udokumentowaniem zarejestrowania zbioru (art. 46 ust. 2 uodo). Oczywiście, proszę pamiętać, że większość „danych wrażliwych”, które są przetwarzane w zakładzie pracy (przede wszystkim w ramach zbioru „pracownicy”, “uczniowie”, czy “pacjenci”), nie podlega pod obowiązek rejestracji.

Co w takim przypadku ma zrobić Administrator Danych, który nie dopełnił jeszcze obowiązku meldunkowego,  a mimo to przetwarza jakieś dane osobowe? Odpowiedź brzmi: powinien jak najszybciej zarejestrować taki zbiór. Oczywiście najlepiej by było, gdyby Administrator Danych zrobił to jeszcze przed rozpoczęciem zbierania danych, jednak w praktyce, często się o obowiązku meldunkowym zapomina. Trzeba jednak pamiętać, że niezarejestrowanie zbioru danych do GIODO jest przestępstwem, dlatego należy to uczynić tak szybko jak to tylko możliwe.

Chcielibyśmy tutaj sprostować kolejny mit, który powstał wokół obowiązku rejestracyjnego – GIODO nie będzie wszczynał żadnego postępowania wyjaśniającego/kontrolnego w stosunku do Administratora Danych, który pierwsze zbiory danych osobowych rejestruje dopiero w 2013 r. Wręcz przeciwnie, inspektor GIODO, rozpatrujący taki wniosek ucieszy się, że Administrator Danych spełnił wreszcie obowiązek meldunkowy.

Podsumowując – jeśli Administrator Danych znajduje się w tej niekomfortowej sytuacji, że przetwarza już jakieś dane osobowe, których zapomniał zarejestrować, powinien dopełnić obowiązku meldunkowego jak najszybciej. Zastosowanie znajdzie tu zasada, że „lepiej późno niż wcale”.

Profesjonalne wsparcie

Mamy nadzieję, że artykuł był dla Ciebie pomocny. Jeśli nie masz czasu na samodzielne zajęcie się rejestracją zbiorów do GIODO, zapraszamy do skorzystania z naszej pomocy.
Więcej

Inne artykuły związane z rejestracją zbiorów danych osobowych do GIODO

Zapraszamy do zapoznania się ze wszystkimi częściami cyklu artykułów poświęconych rejestracji zbiorów danych osobowych do GIODO:

– Które zbiory danych osobowych zwolnione są z obowiązku rejestracji:

Część 1. – zbiór danych osobowych pracowników, byłych pracowników i potencjalnych pracowników oraz uczniów

Część 2. – dane księgowe, dane członków rodzin pracowników i uczniów oraz drobne bieżące sprawy życia codziennego

– Jakie zbiory danych osobowych powinno się zarejestrować do GIODO

 Obowiązek rejestracji zbiorów danych osobowych – w jaki sposób uzyskać potwierdzenie rejestracji, odmowa rejestracji zbioru przez GIODO

– Poradnik jak zarejestrować zbiór danych osobowych krok po kroku:

Część 1. – definiowanie administratora danych i nazwy zbioru danych, przedstawiciel Wnioskodawcy (państwo trzecie), powierzenie przetwarzania danych osobowych

Część 2. – wskazanie przesłanki legalności, celu i zakresu przetwarzania danych oraz kategorii osób, których dane są przetwarzane

Część 3. – osoby od których zbierane są dane osobowe, przekazywanie danych do państwa trzeciego

Część 4. – centralne/rozproszone przetwarzanie danych, jaką formę przetwarzania danych wybrać, które z podstawowych zabezpieczeń zaznaczyć

Część 5. – w jaki sposób opisać dodatkowe zabezpieczenia, które stosujemy, aby chronić przetwarzane dane osobowe

Artykuł ukazał się w styczniowym numerze Miesięcznika Dyrektor Przedszkola (nr 01/48 styczeń 2013).

Powiązane artykuły

Monitoring wizyjny a ochrona danych osobowych
My już wiemy jak prowadzić jawny rejestr zbiorów danych osobowych! [wzór Rejestru]
Rejestracja zbiorów danych po 1 stycznia 2015 r.

12 Odpowiedzi

  1. kkj

    Odnośnie fragmentu

    “Uwaga! Jeśli Administrator Danych zamierza przetwarzać dane szczególnie chronione . …… Oczywiście, proszę pamiętać, że większość „danych wrażliwych”, które są przetwarzane w zakładzie pracy (przede wszystkim w ramach zbioru „pracownicy”, „uczniowie”, czy „pacjenci”), nie podlega pod obowiązek rejestracji. ”

    A co w przypadku jak baza danych zawierająca dane wrażliwe “L4” a program kadrowo płacowy jest udostępniany zewnętrznej firmie księgowej poprzez sieć VPN. Jeżeli pracodawca nie musi rejestrować takiej bazy to czy w przypadku “powierzenia” nie ma takiego obowiązku?

    1. admin

      W świetle prawa, powierzenie przetwarzania zewnętrznemu podmiotowi danych wrażliwych nie różni się niczym od powierzenia przetwarzania danych zwykłych. Oczywiście, mając na uwagę, szczególną ochronę jaką objęte są dane wrażliwe, powinniśmy z dużą ostrożnością dobierać Kontrahentów, którym chcielibyśmy powierzyć tego typu informacje. Wskazane (ale nie wymagane!) jest też zastosowanie dodatkowych obostrzeń w umowie powierzenia (np. kary umowne, obowiązek szkolenia pracowników mających dostęp do powierzonych danych, etc.)

      1. Marcin

        Szanowni Państwo, mam wrażenie że także jedna z firm, tym razem windykacyjna ujawniła mi dane osobowe innych osób. Mam sprawę w sądzie w sprawie długu w publicznej placówce, dostałem pismo z sądu, a jako załącznik także kartę, na której znajduje się moje imię, nazwisko, adres, oraz imiona, nazwiska i adresy innych 10 osób, członków tej placówki. Nie mają nic wspólnego ze sprawą, nie jest to pozew zbiorowy. Czy w takim wypadku ustawa o ochronie danych osobowych została naruszona?

        1. Łukasz Zegarek

          Szanowny Panie,

          Zgodnie z ustawą o ochronie danych osobowych ( art. 23 ust. 1 pkt 2 ) przetwarzanie danych jest możliwe m.in. w sytuacji, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Być może dane wskazane w piśmie są to dane osobowe świadków lub osób reprezentujących drugą stronę sporu. Wówczas dane są przetwarzane na podstawie przepisów kodeksu postępowania cywilnego czyli przepisów szczególnych w stosunku do postanowień ustawy o ochronie danych osobowych.
          Zgodnie z art. 258 kodeksu postępowania cywilnego należy wskazać świadków, tak aby ich wezwanie było możliwe ( czyli podjemy m.in. imię, nazwisko, adres). O konieczności wskazania osób reprezentujących powoda/pozwanego ( imię, nazwisko, adres) stanowi art. 126 kodeksu postępowania cywilnego.
          Natomiast na podstawie art. 128 oraz 131 i następne art. kodeksu postępowania cywilnego, Pan jako strona postępowania otrzymał kopie pisma składanego przez drugą stronę postępowania jako załącznik do pisma procesowego.

          Podsumowując: jeśli dane osobowe zostały przekazane na podstawie przepisów postępowania cywilnego to ustawa o ochronie danych osobowych nie została naruszona, gdyż dane są przetwarzanie na podstawie art. 23 ust. 1 pkt. 2.

          Z poważaniem,
          Zespól Lex Artist

  2. Ola

    nie podoba mi się wasz blog, jest nieczytelny, powinien być zwięzły i przejrzysty.. a ten zlepek liter powoduje, że nie chce się tego czytać.

    1. admin

      Olu, dziękujemy bardzo również za krytyczne komentarze. I… przyznajemy dużo racji;) Nasz blog był tworzony parę lat temu. Przez ten czas trochę zmieniły się trendy na rynku blogowym. Królują blogi bardzo ładne, estetyczne, z niedużą ilością tekstu. Dlatego pracujemy właśnie nad nową wersją bloga. Bardziej przejrzystą, czytelną i estetyczną. Prosimy o wyrozumiałość jeszcze przez max 2 miesiące;) Uprzedzamy też z góry, że nasz Blog nigdy nie będzie tak “lekkostrawny” jak np. blogi modowe, czy hi-tech. Wynika to z tego, że po prostu niektórych treści (jak np. ogromny, i tak podzielony na części poradnik rejestracji zbiorów do GIODO) nie da się przedstawić w sposób bardziej zwięzły. Stracilibyśmy na merytoryce.
      Pozdrawiam serdecznie,
      Łukasz Zegarek, współwłaściciel

  3. Anna

    Dzień dobry,

    Chciałabym zapytać o to, czy trzeba zarejestrować kilka zbiorów danych jeśli wykorzystuje się te dane w różnych celach. A konkretniej – jako sklep internetowy otrzymujemy dane do wysyłki produktów. To jest jeden zbiór. Ale niektórzy powierzają nam swoje dane (nieco inne, bo zawierające tylko imię i nazwisko oraz adres mailowy), aby otrzymywać newsletter. Czy to będzie już inny zbiór, który powinien być zgłoszony odrębnym wnioskiem? Czy wystarczy, że jako sklep zgłosimy, że będziemy zbierali dane x, y, z, a już od kogo które dane otrzymamy i czy będą użyte w celach wysyłkowych czy innych nie ma znaczenia, ważne, żeby wniosek uwzględniał wszystkie nasze sposoby wykorzystania i wszystkie rodzaje danych?

    Pozdrawiam serdecznie!

    1. Kancelaria Lex Artist

      Newsletter będzie zbiorem niezależnym od zbioru dane do wysyłki produktów. W związku z tym, zbiór Newsletter powinien zostać zgłoszony odrębnym wnioskiem do rejestru prowadzonego przez GIODO. W każdym wniosku rejestracyjnym w części C pkt. 5 należy wskazać cel przetwarzania danych w zbiorze. Jeżeli Administrator Danych przetwarza tę samą lub podobną kategorię danych np. imię, nazwisko, adres, adres e-mail w różnych celach to wówczas będzie on zobowiązany do rejestracji zbiorów odpowiadającej liczbie celów do jakich dane wykorzystuje, o ile te zbiory nie będą zwolnione z rejestracji na podstawie art. 43 ust. 1 i 1a u.o.d.o.

  4. Kasia

    Dzień dobry,
    dopiero zaczynam przygodę z ABI i chciałabym wiedzieć czy jak mam zgłoszony tylko jeden zbiór do GIODO to czy pozostałe zbiory niezgłoszone też muszę gdzieś wykazać? I czy w tym wykazie mam uwzględnić ten zgłoszony do GIODO?

    1. Kancelaria Lex Artist

      Wszystkie zbiory wyodrębnione w firmie należy wskazać w Polityce Bezpieczeństwa. W tym dokumencie również powinna znaleźć się informacja o tym, które zbiory podlegają rejestracji lub są z niej zwolnione na podstawie art. 43 ust. 1 i 1a u.o.d.o. W związku z powyższym nawet, jeżeli zbiór został zgłoszony do rejestru prowadzonego przez GIODO, to nie zwalnia to z obowiązku ujawnienia tego zbioru w Polityce Bezpieczeństwa. Natomiast w sytuacji powołania ABI-ego wszystkie zbiory z wyjątkiem tych z art. 43 ust. 1 muszą zostać uwzględnione w rejestrze jawnym. Zobowiązanie do prowadzenia jawnego rejestru wynika z art. 36a. ust. 2 pkt. 2 u.o.d.o. Szczegółowe wytyczne w jaki sposób stworzyć rejestr można znaleźć w akcie wykonawczym do ustawy – Rozporządzeniu Ministra Administracji i Cyfryzacji z 11 maja 2015 roku w sprawie sposobu prowadzenia przez Administratora Bezpieczeństwa Informacji rejestru zbiorów danych.

  5. Kinga

    Witam, czy firma produkcyjna powinna zgłaszać bazę danych do GIODO? Dane, które min. posiadamy to: dane pracowników, osób na umowy cywilnoprawne, dane kontrahentów do faktur sprzedażowych i z kosztowych, dane klientów z allegro (kupują akcesoria do naszych maszyn), dane potencjalnych klientów. Czytam na ten temat różne artykuły, ale dla mnie to dalej jest nie jasne.
    Proszę o informację czy muszę zgłaszać firmę do rejestru. Z góry dziękuję!

  6. Piotr

    Martwi mnie to, że kontakty w telefonie – są uporządkowanym zbiorem danych i jeśli są to kontakty np. klientów mogą podchodzić pod rejestracje w GOIDO. Wszak nie zapisuję kontaktów w celu wysłania nagle wszystkim moim klientom spamu, czy też sprzedania/oddania dalej kontaktów ale przecież to GOIDO czy też sąd o tym zadecyduje 😉 Również kontakty w Outlooku/Operze/Gmail. Również kalendarzyk z kontaktami jest zbiorem danych osobowych np. potencjalnych klientów.
    A już kalendarzyk plus poczta plus telefon… to już strasznie dużo kontaktów a wystarczą 2 kontakty, żeby mieć “zbiór uporządkowanych danych”.
    A jak te wszystkie bajki o ochronie mają się do realnej ochrony moich danych? A no tak, że mogę sobie wnieść sprzeciw a mój e-mail nadal będzie atakowany spamem od firm które uzyskały moje dane z CIDG.

Zostaw odpowiedź