Rejestracja zbiorów danych po 1 stycznia 2015 r.

Nowelizacja Ustawy o ochronie danych osobowych wprowadziła kilka bardzo istotnych zmian. Nowe zapisy zmodyfikowały m.in. uregulowania dotyczące obowiązku zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. W niniejszym artykule omówimy obowiązek rejestracyjny po 1 stycznia 2015 r.

Co się zmieniło?

Zarówno w nowym jak i poprzednim stanie prawnym, co do zasady każdy Administrator Danych Osobowych jest zobowiązany zgłosić zbiory danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (art. 40 UODO). Ustawa o ochronie danych osobowych przewiduje jednak pewne zwolnienia z tego obowiązku. Zmiana przepisów Ustawy w odniesieniu do rejestracji polega na dodaniu nowych, dodatkowych wyłączeń, których zaistnienie skutkuje brakiem wymogu zgłoszenia zbioru do rejestracji.

Czy rejestrujemy zbiór prowadzony w wersji papierowej?

Z obowiązku rejestracji zbioru danych zwolnieni są Administratorzy danych wymienionych w art. 43 UODO. Do końca ubiegłego roku Ustawa przewidywała 11 wyłączeń. Przykładowo nie zgłaszało się (i nadal nie zgłasza) zbiorów przetwarzanych w związku z zatrudnieniem u Administratora (np. przetwarzany przez spółkę zbiór danych osobowych pracowników). Od 1 stycznia 2015 r. dodano kolejne – dwunaste wyłączenie. I tak zgodnie z art. 43 ust. 1 pkt 12 UODO, „z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1”. Zatem, aby skorzystać z tego zwolnienia konieczne jest spełnienie łączne dwóch warunków – po pierwsze zbiór nie jest przetwarzany przy użyciu systemu informatycznego (forma papierowa) i po drugie – nie zawiera danych wrażliwych (wymienionych w art. 27 UODO). Np. jeśli w celu rejestrowania korespondencji wychodzącej i przychodzącej prowadzimy ewidencję korespondencji w formie papierowej i nie są do niej wpisywane żadne dane wrażliwe, po 1 stycznia tego roku zbiór „ewidencja korespondencji” jest wyłączony z obowiązku rejestracyjnego.

Powołanie ABIego i zgłoszenie go do GIODO a obowiązek rejestracyjny

Znowelizowane przepisy – oprócz opisanego wyżej wyłączenia dodały jeszcze jedno zwolnienie z obowiązku rejestracyjnego. Zgodnie z art. 43 ust. 1a UODO, „obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ust. 2”. Jest to w rzeczywistości forma „bonusu”, zachęty do wyznaczania Administratora Bezpieczeństwa Informacji. Przypomnijmy bowiem, iż od 1.01.2015 r. powołanie ABIego jest fakultatywne. Nie można zapomnieć jednak, iż dla skorzystania ze wskazanego wyłączenia nie jest wystarczające powołanie i zgłoszenie ABIego. Określony zbiór – podobnie jak w zwolnieniu z obowiązku rejestracji, o którym mowa w art. 43 ust. 1 pkt 12 UODO – nie może zawierać danych wrażliwych (np. informacji o stanie zdrowia).

Czy termin 30 czerwca 2015 r. ma znaczenie dla obowiązku rejestracyjnego?

Wraz ze zmianą przepisów w różnych mediach pojawiły się błędne informacje o tym, iż wnioski zgłoszenia zbiorów danych do rejestracji należy składać do 30 czerwca 2015 r. Termin ten nie odnosi się jednak do obowiązku rejestracyjnego. Dotyczy on wyłącznie tych Administratorów Danych, którzy wyznaczyli Administratora Bezpieczeństwa Informacji przed wejściem w życie znowelizowanych przepisów (czyli przed 1 stycznia 2015 r.). Podmioty te mają czas do 30 czerwca na zgłoszenie dotychczasowego ABIego do Generalnego Inspektora Ochrony Danych Osobowych. Po upływie tego terminu, ABI wyznaczony do końca ubiegłego roku przestanie pełnić swoją funkcję.

Podsumowanie

Zmiana Ustawy o ochronie danych osobowych odnosząca się do obowiązku zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych polega na dodaniu dwóch nowych wyłączeń. W uproszczeniu dotyczą one następujących przypadków:

  • zbiór prowadzony bez wykorzystania systemu informatycznego + brak danych wrażliwych,
  • powołanie Administratora Bezpieczeństwa Informacji i zgłoszenie go Generalnemu Inspektorowi + brak danych wrażliwych.

Mamy nadzieję, iż niniejszy artykuł będzie pomocny w usystematyzowaniu wiedzy na temat zmian wprowadzonych w Ustawie o ochronie danych osobowych. Jeśli mają Państwo dodatkowe pytania dotyczące rejestracji zbiorów danych po 1 stycznia 2015 r. – zachęcamy do ich zadawania w komentarzach.

e-learning RODO

Profesjonalne wsparcie

Mamy nadzieję, że poradnik był dla Ciebie pomocny. Jeśli potrzebujesz wsparcia w komunikacji z Urzędem Ochrony Danych Osobowych, zapraszamy do skorzystania z naszej pomocy.

Zobacz, w jaki sposób możemy Ci pomóc:

Sprawdź

61 Odpowiedzi

  1. ciekaw

    a co jeśli mamy już zarejestrowane zbiory? po wyznaczeniu abi należy je wykreślić? czy zostawić i aktualizować (pkt 16 – że wyznaczono adi)?

    1. Kancelaria Lex Artist

      Jeśli Administrator danych powołał ABI i zgłosił go GIODO nie ma obowiązku wnioskowania o wykreślenie lub zaktualizowanie wcześniej zarejestrowanych zbiorów danych (chyba, że zachodzą podstawy złożenia wniosku o wykreślenie wskazane w art. 44a Ustawy, np. zaprzestano przetwarzania danych).

      W przypadku, gdy mamy Administratora Bezpieczeństwa Informacji, aktualizacji będą podlegały bowiem wyłącznie zbiory danych zawierające dane wrażliwe, a więc niezwolnione z obowiązku rejestracyjnego. Zatem rejestr zbiorów prowadzony przez GIODO w odniesieniu do Administratorów danych, którzy zarejestrowali ABI, będzie się dezaktualizował.

  2. abi p.o.

    Proszę o informację czy jeżeli w firmie temat ochrony danych osobowych nie istniał przez poprzednie lata i obecnie zaczyna się go wdrażać to zgłoszenie abi do GIODO może spowodować jakieś sankcje za ten poprzedni okres (brak Polityki Bezp. upoważnień, Instrukcji IT itd.) Daty na dokumentach będą aktualne, tegoroczne.
    Dziękuję

    1. Kancelaria Lex Artist

      Nie skutkuje to nakładaniem sankcji za czas, w którym dany podmiot nie spełniał wszystkich wymogów ustawy, oceniany jest stan obecny. Należy zatem w dokumentacji, upoważnieniach itd. wskazywać datę rzeczywistą.

  3. Abi przed 01.01.2015

    Proszę o informację, czy należy zgłosić do GIODO ABI powołanego przed 01.01.2015r. w jednostce służby zdrowia, która jest zgodnie z Art. 43 pkt.1 (podpunkt 5) zwolniona z rejestracji zbioru danych osobowych?

    1. Kancelaria Lex Artist

      Obowiązek zgłoszenia zbiorów danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych i obowiązek zgłoszenia powołania ABI to dwa niezależne od siebie wymagania Ustawy. Jeśli zatem jednostka służby zdrowia powołała ABI przed 1 stycznia 2015 r. i chce, aby dalej pełnił on swoją funkcję, musi zgłosić go do GIODO do 30 czerwca br. Bez znaczenia jest w tym wypadku to, iż podmiot ten jest zwolniony z obowiązku zgłoszenia do rejestracji zbioru danych osób korzystających z usług medycznych

  4. Krzysiek

    Witam,
    Jak zwolnienie z obowiązku rejestracyjnego na podstawie art. 43 ust. 1 pkt 12 ma się do wykazu zbiorów danych prowadzonym przez ABI. W praktyce – czy zgłaszamy w wykazie zbiorów danych prowadzonym przez ABI powinna znaleźć się „książka kancelaryjna” prowadzona w formie tradycyjnej?
    pozdrawiam

    1. Kancelaria Lex Artist

      Na wstępie krótkie wyjaśnienie – informacje o zbiorach danych przetwarzanych przez określony podmiot są uwzględniane w różnych rejestrach i dokumentach, tzn. w:
      1. wykazie zbiorów stanowiącym obligatoryjny element Polityki Bezpieczeństwa –wpisujemy wszystkie zbiory prowadzone przez Administratora,
      2. rejestrze zbiorów prowadzonym przez GIODO, chyba, że zbiór jest zwolniony z tego obowiązku na podstawie art. 43 ust. 1 (punkty 1-12) lub art. 43 ust. 1a UODO,
      3. jawnym rejestrze zbiorów prowadzonym przez ABI – pod warunkiem, iż powołano Administratora Bezpieczeństwa Informacji i dany zbiór nie jest zbiorem, o którym mowa w art. 43 ust. 1 UODO.
      Odnosząc powyższe informacje do zbioru „Książka kancelaryjna” – zbiór ten musi być wskazany w Polityce Bezpieczeństwa. Jeśli prowadzony jest w wersji papierowej i nie zawiera danych wrażliwych – nie zgłaszamy go do rejestracji GIODO i ABI nie wpisuje go do prowadzonego przez siebie jawnego rejestru.

  5. abi-gops

    Witam. Czy dzięki nowym uregulowaniom prawnym, co do powołania ABI istnieje jakikolwiek przepis umożliwiający dołożenie Abi w jednostce samorządowej (ośrodek pomocy społecznej) np: dodatku funkcyjnego, czyli niedelikatnie mówiąc wymuszenie na pracodawcy dodatkowych pieniędzy za pełnienie funkcji ABI-ego? Z góry dziękuję Pozdrawiam

    1. Kancelaria Lex Artist

      Przepisy nie przewidują obowiązku zwiększenia wysokości wynagrodzenia w zw. z pełnieniem funkcji ABI. Bez wątpienia jednak realizacja zadań ABI skutkuje zwiększeniem zakresu obowiązków i większą odpowiedzialnością. Dodatkowo, należy pamiętać o tym, iż zgodnie z art. 36a ust. 4 UODO, Administratorowi Bezpieczeństwa Informacji można powierzyć wykonywanie innych obowiązków tylko w przypadku, gdy nie naruszy to prawidłowego wykonywania zadań spoczywających na ABI.

  6. Fuzonka

    Witam! Zwracam się z prośbą o rozwiązanie problemu: gdy do naszej firmy klienci zwracają się z zapytaniami (podobnie jak ja to robię teraz) poprzez formularz kontaktowy lub po prostu piszą do nas maila, to czy my jesteśmy Administratorem ich danych, skoro po naszej odpowiedzi maile i adresy mailowe są usuwane z programu pocztowego? Nie możemy zatem w Polityce Prywatności wpisać, że klient ma prawo dostępu do treści swoich danych oraz ich poprawiania, bo ich nie przechowujemy – nie tworzymy żadnej bazy danych klientów – adresy mailowe i ewentualne dane zawarte w mailach nie są nam już później potrzebne, dlatego wszystko usuwamy. I jak się to ma do rejestracji w GIODO? Dodam, że dokumentację z danymi klientów (umowy) prowadzimy w formie papierowej, więc zwolnionej z obowiązku rejestracji.

    1. Kancelaria Lex Artist

      Zamieszczając na swojej stronie internetowej formularz kontaktowy i zbierając za jego pośrednictwem dane osobowe, stają się Państwo ich Administratorem. Niezależnie jednak od tego, jeśli rzeczywiście dane z formularza nie są przez Państwa wykorzystywane w innym celu, niż udzielenie odpowiedzi na zadane pytanie i są niezwłocznie usuwane, można zakwalifikować je jako zbiory doraźne, niepodlegające zgłoszeniu do GIODO. Zgodnie bowiem z art. 2 ust. 3 Ustawy o ochronie danych osobowych, do tego rodzaju zbiorów mają zastosowanie wyłącznie przepisy rozdziału 5 Ustawy (odnoszące się do zabezpieczeń).

  7. rouche

    Witam, mam następujące pytanie – jeśli ktoś już jest zgłoszony jako ABI i figuruje w wykazie GIODO – rozumiem, że wpada w nowe przepisy prosiłbym więc o następującą informację:

    1)Co powołany ABI powinien zrobić jeśli jest sytuacja, że np. część zbiorów nie była w ogóle zgłoszonych do giodo, część wymaga aktualizacji, a część powinno się wykreślić.? Mówię o zbiorach, które nie zawierają danych wrażliwych.
    2)W ramach nowych przepisów powinno się zamieścić jawny rejestr zbiorów danych osobowych na www – czy w związku z tym nawiązując do pyt nr 1 powinno się zamieścić taki rejestr na www mimo tego, że wcześniej się tego niezaktualizowało?
    3) Czy poza jawnym rejestrem danych osobowych – powołany ABI musi jeszcze prowadzić jakiś wewnętrzny rejestr zbiorów? – mam tu na myśli to, że przy zgłoszeniu zbioru do GIODO podawało się mnóstwo informacji teraz to w ogóle nie jest już wymagane?
    Z tego co zrozumiałem – ABI jest zwolniony z rejestracji zbiorów z wyjątkiem zbiorów z danymi wrażliwymi.
    4) Co w sytuacji gdy ABI został zgłoszony a nie wysłał sprawozdania na czas
    Z góry dziękuję za informację

    1. Kancelaria Lex Artist

      1. Niezależnie od tego, czy:
      a) zbiór do 31 grudnia 2015 r. podlegał obowiązkowi zgłoszenia, lecz nie został zgłoszony
      b) zbiór został zgłoszony, a obecnie korzysta ze zwolnienia
      c) zbiór został zgłoszony, a obecnie korzysta ze zwolnienia – dodatkowo zaszły zmiany w przetwarzanym zbiorze
      oceniamy zbiory z punktu widzenia obecnie obowiązujących przepisów. W związku z powyższym, jeśli ABI został zarejestrowany i zbiór nie zawiera danych wrażliwych, nie zgłaszamy już dotychczas niezgłoszonego zbioru (a), nie wnosimy o jego wykreślenie (b) i nie dokonujemy aktualizacji (c).
      2. Opublikowanie jawnego rejestru na stronie internetowej nie stanowi jedynej dopuszczalnej formy zapewnienia jawności rejestru prowadzonego przez ABI. Możliwości udostępnienia wskazuje § 5 rozporządzenia w sprawie sposobu prowadzenia jawnego rejestru.

      W przypadku zbioru zwolnionego z obowiązku zgłoszenia do rejestracji GIODO (na podstawie art. 43 ust. 1 pkt. 1-12 lub art. 43 ust. 1a UODO), ujawnieniu w jawnym rejestrze prowadzonym przez ABI podlegają wyłącznie te zbiory, które korzystają ze zwolnienia z obowiązku rejestracyjnego na podstawie art. 43 ust. 1a UODO. I tak analogicznie jak w odpowiedzi na pyt. 1, oceniamy zbiory na podstawie aktualnie obowiązujących przepisów.

      3. Zakres wniosku zgłoszenia zbioru do rejestracji GIODO i informacje, jakie należy uwzględnić w jawnym rejestrze prowadzonym przez ABI nie różnią się znacznie. Zasadniczą różnicą jest brak w jawnym rejestrze ABI informacji o zabezpieczeniach.
      Oprócz jawnego rejestru, zbiory opisywane są również w dokumentacji z zakresu ochrony danych osobowych, w tym przede wszystkim w Polityce Bezpieczeństwa (wykaz zbiorów, opis struktury zbiorów).
      Aby móc powołać się na zwolnienie z art. 43 ust 1a UODO, konieczne jest łączne spełnienie dwóch warunków: zarejestrowano ABI i zbiór nie zawiera danych wrażliwych.
      4. Ustawa o ochronie danych osobowych nie przewiduje żadnych sankcji karnych w tym zakresie.

  8. rouche

    Jeszcze jedno pytanko – jeśli by chciało się odwołać ABI według wzoru odwołania ABI – jest okienko gdzie trzeba podać „Przyczynę odwołania” Jaką powinno podać się przyczynę? i czy informacja powinna być szczegółowa.

    1. Kancelaria Lex Artist

      Jako przyczynę można podać np. zakończenie współpracy – w przypadku zwolnienia, zmiany organizacyjne itd. Nie ma konieczności szczegółowego uzasadniania powodu odwołania.

  9. adk

    Prowadzę serwis sprzętu sportowego, wystawiam dokumenty zlecenia wykonania usługi zawierające dane osobowe klientów – obecnie w formie papierowej, więc nie muszę rejestrować zbioru.
    Jednak klienci domagają się abym stworzył bazę klientów w systemie komputerowym (żeby za każdym razem nie podawać wszystkich danych) jak rozumiem wtedy stanę się administratorem danych osobowy i baza taka musi zostać zgłoszona do GIODO?

    1. Kancelaria Lex Artist

      Na wstępie warto zaznaczyć, iż niezależnie od formy, w jakiej przetwarza Pan dane osobowe klientów (wyłącznie papierowa czy również elektroniczna) jest Pan Administratorem danych. W związku z tym ciążą na Panu obowiązki przewidziane przez Ustawę o ochronie danych osobowych. Natomiast dla realizacji omawianego w powyższym artykule obowiązku, tj. zgłoszenia zbiorów do rejestracji GIODO, rzeczywiście forma przetwarzania danych ma znaczenie. Jeśli bowiem zacząłby Pan przetwarzać dane klientów przy użyciu systemu informatycznego, zbiór ten nie będzie zwolniony z obowiązku rejestracyjnego na podstawie art. 43 ust. 1 pkt 12 UODO. Proszę jednak pamiętać, iż art. 43 UODO zawiera również inne przypadki, gdy zbiorów nie trzeba rejestrować – np. art. 43 ust. 1a UODO.

      Niezależnie od powyższego nie należy obawiać się zgłaszania zbiorów do rejestracji GIODO – wniosek nie jest skomplikowany, a jego złożenie w Biurze GIODO nie skutkuje kontrolą GIODO.

      Poradnik, jak krok po kroku wypełnić wniosek znajdzie Pan tutaj:

      https://blog-daneosobowe.pl/poradnik-jak-zarejestrowac-zbior-danych-osobowych-do-giodo-cz-1/

  10. Monika

    Witam.
    Chce wysłać do GIODO rejestr punktów sprzedaży, które mają w swojej ofercie towary mojej marki. Na stronie internetowej widnieją nazwy salonów oraz adresy.
    Oprócz strony internetowej nie prowadzę żadnych baz danych.
    Czy strona internetowa jest systemem informatycznym i muszę to zgłosić do GIODO?
    Bardzo proszę o odpowiedź.

    1. Kancelaria Lex Artist

      Publikowanie listy salonów na stronie internetowej czy też np. tworzenie zestawienia punktów sprzedaży w formie tabeli w programie EXCEL oznacza, iż zbiór powadzony jest z wykorzystaniem systemów informatycznych. Jeśli zatem nie mają zastosowania żadne inne zwolnienia z obowiązku zgłoszenia zbioru danych do rejestracji GIODO, zbiór musi zostać zgłoszony.

  11. Asia

    Witam, czy jako ABI powinnam do naszego rejestru zbiorów danych osobowych wprowadzić zbiory udostępnione przez naszych klientów dla potrzeb WFM ( grafikowania pracowników ) ?

    1. Kancelaria Lex Artist

      Zbiory przetwarzane w związku z zatrudnieniem u danego Administratora danych są zwolnione z obowiązku zgłoszenia do rejestracji GIODO (art. 43 ust. 1 pkt 4 UODO) i nie podlegają ujawnieniu w jawnym rejestrze prowadzonym przez ABI (art. 36a ust. 2 pkt 2 UODO).

      Niezależnie od powyższego warto zwrócić uwagę na to, czy dane są Państwu powierzane (a więc, nie są Państwo ich Administratorem, nie przetwarzają ich Państwo dla własnych celów i nie spoczywają na Państwu obowiązki przewidziane dla Administratora danych), czy też są one udostępniane (a więc stają się Państwo ich Administratorem).

  12. olo78

    Witam. Jak wygląda sprawa upoważnień. Zbiór prowadzony w formie tradycyjnej, nie podlega zgłoszeniu, nie zamieszczam go w wykazie a ma do niego dostęp 3 pracowników. Muszę każdemu z nich nadać upoważnienie do przetwarzania?

    1. Kancelaria Lex Artist

      Tak, każda osoba mająca dostęp do danych osobowych musi mieć nadane upoważnienie do ich przetwarzania. Obowiązek ten wynika wprost z art. 37 Ustawy ochronie danych osobowych. Dodatkowo, konieczne jest prowadzenie ewidencji upoważnień.

  13. zbynek

    Od września 2015r. zostałem powołany na stanowisko ABI-ego w szpitalu i w ustawowym terminie zostało wysłane zgłoszenie do GIODO. Proszę o rozwianie moich wątpliwości wynikających z zapisu Art. 43. ust. 1. pkt 5 w odniesieniu do zapisu w Art. 43. ust.1a.(zbiory osób korzystających z usług medycznych są zbiorami z danymi wrażliwymi – Art.27.ust.1. zawierają dane o stanie zdrowia).

    1. Kancelaria Lex Artist

      Każda z podstaw zwolnienia z obowiązku zgłoszenia zbioru do rejestracji wymieniona w art. 43 ust. 1 pkt. 1-12 i 43 ust. 1a UODO jest odrębna. Oznacza to, iż wystarczy spełnienie jednej z nich. Ponadto, wyłączenia przewidziane w art. 43 ust. 1 pkt 1-11 UODO obejmują zbiory jako całość, tzn. nie uzależniają możliwości powołania się na nie, od tego, jaki rodzaj danych wchodzi w zakres zbioru. Inaczej jest w przypadku zwolnień z obowiązku rejestracji, o których mowa w art. 43 ust. 1 pkt 12 UODO i art. 43 ust. 1a UODO – zastrzeżono to jednak w samej treści powołanych przepisów.

      Odnosząc się zatem do Pana pytania – zbiór danych osób korzystających z usług medycznych (zawierający zarówno dane zwykłe, jak i wrażliwe) nie podlega zgłoszeniu do GIODO na podstawie art. 43 ust. 1 pkt 5 UODO.

  14. Zen

    Witam,
    mam firmę jednoosobową usługową i sklep internetowy.
    Prowadzę księgowość przy pomocy programu informatycznego „Mała Księgowość”
    Bazę klientów mam w formie papierowej w zeszycie, na fakturach papierowych i w programie księgowym.
    Nie wysyłam maili i listów do klientów w innym celu niż związanym z transakcją zakupu, czyli adresowanie paczek i przekazanie ich do przewoźnika. / poczta/firma kurierska/. Niekiedy przesyłam dane adresowe klienta do producenta towaru zamówionego przez klienta sklepu internetowego i producent z polski lub z Włoch wysyła ten produkt bezpośrednio do klienta.
    1 – Czy podlegam zgłoszeniu do GIODO ?
    2 – jeśli tak to czy ABI może być osoba pracująca u mnie na umowę zlecenie?
    3 – co zabiera mniej czasu: obowiązki Administratora danych po zgłoszeniu do GIODO czy obowiązki ABI?

    1. Kancelaria Lex Artist

      Powyższy opis wskazuje na przetwarzanie zbioru „Klienci” i „Kontrahenci”. Oba zbiory prowadzone są przy użyciu systemu informatycznego. Najprawdopodobniej nie zawierają one żadnych danych wrażliwych wskazanych w art. 27 ust. 1 UODO.

      Odnosząc się do kwestii obowiązku zgłoszenia zbiorów do rejestracji GIODO – jeśli powoła Pan/Pani Administratora Bezpieczeństwa Informacji, zbiory będą zwolnione z omawianego obowiązku na podstawie art. 43 ust. 1a UODO. W przeciwny wypadku oba zbiory należy zgłosić do rejestracji. Dane te są zapewne przetwarzane w celu zamawiania towaru od kontrahentów, rozpatrywania ewentualnych reklamacji itp., w związku z czym nie można powołać się na zwolnienie z art. 43 ust. 1 pkt. 8 (zbiory przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej).

      W kwestii drugiego pytania – ABI może pełnić swoją funkcję na podstawie umowy zlecenia. Odpowiadając natomiast na trzecie pytanie – sądzę, iż korzystniejsze byłoby w Pani/Pana przypadku niepowoływanie ABI. Mniej czasochłonne jest bowiem jednorazowe zgłoszenie zbiorów do rejestracji (lub ewentualna aktualizacja zgłoszeń jeśli zaistniałyby jakiekolwiek zmiany), niż np. dodatkowe zadanie w postaci prowadzenia rejestru zbiorów, ponoszenie kosztu współpracy z ABI, zgłoszenie powołania ABI do GIODO, cykliczne przeprowadzanie sprawdzeń i sporządzanie z nich sprawozdań.

  15. Dan

    Witam. Mam pytanie o nauczycieli w szkołach – czy każdy z nich musi posiadać upoważnienie? Chodzi o to, że w wykazie zbiorów w formie papierowej widnieją np dzienniki lekcyjne czy dzienniki nauczania indywidualnego.
    Pozdrawiam

    1. Kancelaria Lex Artist

      Każda osoba, która uzyskuje dostęp do danych osobowych musi posiadać upoważnienie. Nauczycielom bez wątpienia należy takie upoważnienia nadać, gdyż z bieżącej pracy przetwarzają dane zawarte, np. w dziennikach.

  16. Marta

    Witam serdecznie.
    Czy prowadząc małą działalność jednoosobową jako fotograf trzeba rejestrować dane klientów w GIODO? Na stronie firmowej nie ma formularza kontaktowego, nie ma newslettera, nie są gromadzone dane w komputerze, ani adresy klientów i emaile. Klienci głównie dzwonią i umawiają się na sesje (wtedy wyświetla się ich nr tel, ale nie jest przechowywany). Wyjątek stanowi ślub, kiedy przy spisywaniu umowy zlecenia są zapisywane dane (tylko na papierze), które są konieczne do wykonania zlecenia i późniejszego wystawienia faktury, jeżeli tego zażyczy sobie klient.
    Pozdrawiam serdecznie i bardzo proszę o odpowiedź

  17. Marzena

    Witam, mam pytanie, jeżeli w firmie dwa najważniejsze dokumenty Instrukcja i polityka bezpieczeństwa zostały opracowane 30.12.2014 roku, a do tej pory nie maja pracownicy podpisanych oświadczeń o zapoznaniu się z polityką bezpieczeństwa oraz instrukcją zarządzania i upoważnień do przetwarzania danych osobowych, czy: można z datą bieżącą uzupełnić te dokumenty?
    czy: są grożą jakieś konsekwencje z tego tytułu?
    W Firmie nie ma ABI, szkolenia przeprowadziłby administrator danych.

    1. Kancelaria Lex Artist

      Co do zasady pracownicy nie powinni być zapoznawani z treścią całej Polityki i Instrukcji – są tam bowiem informacje dotyczące m.in. stosowanych zabezpieczeń, o czym nie wszystkie osoby powinny wiedzieć. Można z kolei – i to w mojej ocenie jest dobrym rozwiązaniem – opracować wyciąg ze wskazanych dokumentów, zawierający najważniejsze z punktu widzenia pracowników zasady.
      Obowiązkiem jest natomiast zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych (art. 36a ust. 2 pkt 1 lit. c) Ustawy o ochronie danych osobowych).
      W kwestii dat – zalecam wpisanie w treści upoważnienia i oświadczeń o zapoznaniu z przepisami, rzeczywistej daty. W trakcie ewentualnej kontroli GIODO weryfikowany jest bowiem zazwyczaj stan na dzień kontroli (a więc to, czy pracownicy mają upoważnienia)

  18. lexia

    Witam, mam pytanie – prowadzę stronę www firmową, a także blog i stronę www informacyjną na temat działalności firmy. Na stronach są obecne formularze kontaktowe oraz na jednej zapis do informacji o nowościach, newslettera, którego jeszcze nie publikuję. Informacje jakie się podaję w formularzach dotyczą – nicka (lub Imienia) oraz maila. Czy w związku w powyższym muszę dokonać rejestracji w GIODO? Dodam, że obecnie nikt nie figuruje w mojej bazie, oprócz testowych moich maili. I drugie pytanie, czy usunięcie tych wątków usuwa ewentualny obowiązek rejestracji (o ile zachodzi taka potrzeba)?

    1. Kancelaria Lex Artist

      Obowiązkowi rejestracji nie podlegają strony internetowe, lecz zbiory danych, a więc zestawy danych zbieranych w związku z podejmowaniem różnych działań.
      Przykładowo, dane zbierane za pośrednictwem formularza kontaktowego będą stanowiły dane potencjalnych klientów/kontrahentów. Z kolei w przypadku uruchomienia Newslettera, powstałby nowy zbiór danych lub dane subskrybentów mogłyby wchodzić w zakres zbioru marketingowego (jeśli oprócz Newslettera podejmowane są jeszcze inne działania o charakterze marketingowym -np. za pośrednictwem bloga organizowane są konkursy, w związku realizacją których zbierane są dane uczestników lub laureatów). Dopiero po wyróżnieniu zbiorów każdy z nich należy ocenić z punktu widzenia zwolnień z obowiązku zgłoszenia zbiorów do rejestracji GIODO (art. 43 UODO). Jeśli nie został powołany i zarejestrowany ABI

  19. Jagoda

    Mam pytanie – pracuję w szkole, jest powołany ABI i zgłoszony do 30.06.2015 do GIODO
    jakie obowiązki powinien wykonywać powołany ABI . Czy powinien przesyłać jakieś sprawozdania do GIODO? proszę o wyjaśnienie tej kwestii.

    1. Kancelaria Lex Artist

      Kwestię zadań ABI reguluje przede wszystkim Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji. Na stronie internetowej GIODO został opublikowany bardzo przydatny ABI – informator (https://abi.giodo.gov.pl/), w którym można znaleźć najważniejsze informacje na temat pełnienia funkcji ABI.

      Odnosząc się z kolei do przesyłania do GIODO sprawozdań ze sprawdzeń – dotyczy to wyłącznie sytuacji, gdy sprawdzenie zostało dokonane na żądanie GIODO (a więc GIODO musiałby zobowiązać placówkę do przeprowadzenia takiego dodatkowego sprawdzenia).

  20. Anna

    Witam,
    Jesteśmy firmą doradczą, spółką zoo, nie mamy u siebie ABI, dane, jakie mamy to jedynie dane pracowników z umów o pracę lub umów cywilnoprawnych. Czy w takiej sytuacji potrzebna jest rejestracja danych w GIODO?
    Dodatkowo mamy w wersji elektronicznej bazę kontaktów ze spotkań biznesowych, ale to są dane przepisane z wizytówek, więc nie wiem czy to podlega wpisowi?
    Bardzo proszę o informację jak to wygląda w takich przypadkach?

    1. Kancelaria Lex Artist

      Zbiory zawierające dane osób współpracujących z Państwem (zarówno na podstawie umów o pracę, jak i umów cywilnych) są zwolnione z obowiązku rejestracji. Natomiast dane potencjalnych klientów/kontrahentów – jeśli są powszechnie dostępne (tzn. np. dotyczą osób uprawnionych do reprezentacji klienta/kontrahenta), również ze zwolnienia ze wskazanego obowiązku.

  21. Dzień dobry,
    jesteśmy firmą sprzedającą książki. Na stronie www dostępny jest formularz zamówieniowy w którym podaje się dane adresowe wymagane do wysłania wybranych książek do klientów. Oczywiście dzięki tym danym wystawiamy faktury vat. Dane adresowe podane przez klientów nie są wykorzystywane do innych celów. Czy musimy zgłaszać to do GIODO?

    1. Kancelaria Lex Artist

      Zalecałabym zgłoszenie zbioru do rejestracji GIODO (chyba, że powołano i zarejestrowano ABI). Dane te przetwarzane są bowiem nie tylko w celu wystawienia faktury, ale przede wszystkim realizacji umów.

  22. Grzegorz

    Dzień Dobry.
    Prowadzę firmę spedycyjną. Posiadam stronę internetową www na której znajduje się formularz kontaktowy który przekierowuje wiadomości na firmowego maila. Gdzie wymaganymi są imię i nazwisko oraz adres e-maili.Bez konieczności rejestracji.
    Wszelkie dane klientów i podwykonawców są gromadzone w odrębnym programie zainstalowanym na komputerze. Faktury, są wystawiane w programie komputerowym, drukowane i wysyłane pocztą. Czy w tym przypadku mam obowiązek rejestracji w GIODO

    1. Kancelaria Lex Artist

      Analogicznie jak w odpowiedzi na poprzednie pytanie – jeśli nie powołano ABI, najlepiej zgłosić zbiory do rejestracji GIODO. Dane klientów, podwykonawców czy też potencjalnych klientów, przetwarzane są zapewne nie tylko w celu wystawienia faktury, ale również w celach kontaktowych i zw. z realizacją umów.

  23. Witam,

    jesteśmy firmą produkcyjną, wykonujemy usługi, nie prowadzimy handlu – nie sprzedajemy gotowych produktów, nie posiadamy sklepu internetowego. Na naszej stronie www nie ma możliwości zamówienia newslettera, ani wypełnienia formularza kontaktowego.
    Dane klientów służą tylko do wystawienia faktury, czasami na życzenie klienta jest wysyłana drogą elektroniczną.
    Prowadzimy korespondencję mailową z klientami.
    Czy mamy obowiązek zarejestrować się w GIODO?

    1. Kancelaria Lex Artist

      Jeśli dane klientów przetwarzają Państwo rzeczywiście wyłącznie w celu wystawienia faktury (zakres danych ograniczony jest do tych, które umieszczane są na wskazanym dokumencie), zbioru „klienci” nie trzeba zgłaszać. Nie oznacza to jednak, iż nie występują u Państwa inne zbiory, podlegające obowiązkowi zarejestrowania. Najlepiej zatem najpierw wyróżnić zbiory, a później każdy z nich zweryfikować z punktu widzenia art. 43 UODO (zwolnienia z obowiązku rejestracyjnego). Jak wyróżnić zbiory? Pomocne mogą być następujące pytania:

      1. Czyje dane przetwarzamy? np. klienci, kontrahenci, potencjalni klienci, pracownicy, potencjalni pracownicy, nadawcy/odbiorcy korespondencji, osoby wysyłające zgłoszenie za pośrednictwem formularza kontaktowego, subskrybenci newslettera itp.

      2. W jakim celu przetwarzamy dane? np. współpraca z klientami/kontrahentami, pozyskiwanie klientów, zatrudnienie, prowadzenie procesu rekrutacji, rejestrowanie korespondencji, cele kontaktowe, wysyłka newslettera itd.

      3. Kto ma dostęp do danych? (często pomocna jest struktura organizacyjna): np. dział obsługi klienta, dział księgowości, dział HR, sekretariat, dział marketingu itp.

  24. Zainteresowana

    Moje pytanie dotyczy windykacji.
    Nie ma potrzeby zgłaszania zbioru danych przetwarzanych wyłącznie w celu wystawienia faktury. A jak to wygląda, gdy wierzyciel nie płaci i przekazujemy te informacje do firmy windykacyjnej. Powinien zostać zgłoszony zbiór danych?

    1. Kancelaria Lex Artist

      Dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej trudno kwalifikować jako przetwarzanie danych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. W związku z tym, jeśli zbiór, np. danych klientów lub kontrahentów nie może skorzystać z innego wyłączenia z obowiązku rejestracyjnego (art. 43 ust. 1 i 1a UODO), należy go zarejestrować.

  25. Sabina

    Witam!

    Mam pytanie jak powinna wyglądać ochrona danych osobowych w spółce cywilnej:
    jeżeli prowadzimy sklep internetowy i mamy na stronie formularz kontaktowy. Jakie informacje na stronie internetowej nakazują powołanie ABI i zgłoszenie do GIODO (realizujemy zamówienia, wysyłamy towar, nie wysyłamy informacji o zachęcie do kupna towarów)
    zatrudniamy pracowników na podstawie umowy o pracę, jakie mamy względem tego obowiązki

    Czy są jakieś zwolnienia?

    Pozdrawiam

    Sabina

    1. Kancelaria Lex Artist

      Pani Sylwio,

      W ramach wyjaśnienia – od 1 stycznia 2015 r. powołanie ABIego jest uprawnieniem, a nie obowiązkiem, tzn. można, lecz nie trzeba powoływać takiej osoby. Nie zgłaszamy również do rejestracji GIODO stron internetowych (obowiązkowi temu podlegają zbiory danych). Warto to wiedzieć, gdyż obecnie do wielu podmiotów kierowane są wiadomości e-mail zawierające informacje wprowadzające w błąd w tym zakresie (komunikat w tej sprawie został nawet opublikowany przez GIODO: http://giodo.gov.pl/560/id_art/9197/j/pl).

      Odnosząc się z kolei do Pani pytań – z pewnością występuje u Państwa zbiór danych pracowników, klientów i potencjalnych klientów (dane zbierane za pośrednictwem formularza na stronie www). Zbiorów danych zawierających dane osobowe pracowników, przetwarzanych w zw. z zatrudnieniem nie zgłaszamy – wyłączenie z art. 43 ust. 1 pkt 4 UODO. Z kolei zbiory danych potencjalnych klientów i klientów zazwyczaj są rejestrowane, chyba że został powołany ABI. Trudno bowiem w odniesieniu do tych zbiorów znaleźć jakiekolwiek inne zwolnienie, na które można byłoby się powołać (art. 43 ust. 1 UODO).

  26. Iwona

    Witam,
    prowadzimy firmę zajmującą się usługami budowlanymi, pozyskujemy potencjalnych klientów między innymi za pomocą wysyłania ofert na adresy mailowe umieszczone na stronach internetowych lub za pośrednictwem formularzy umieszczonych na tych stronach.
    Na stronie firmowej również umieściliśmy formularz, który służy do kontaktu z nami. W formularzy obowiązkowe jest podanie imienia, maila oraz treści. Czy w związku z powyższym jesteśmy zobowiązani do rejestracji danych osobowych w GIODO?

    1. Kancelaria Lex Artist

      Jak wynika z powyższego, występuje u Państwa zbiór danych osobowych potencjalnych klientów (zbieranych zarówno za pośrednictwem formularza kontaktowego, jak i uzyskanych w wyniku podejmowania innych działań marketingowych). Zbiór taki – jeśli nie powołano ABIego, należałoby zgłosić do rejestracji.

      Niezależnie od ochrony danych osobowych, proszę zwrócić uwagę na kwestię kierowania ofert handlowych drogą elektroniczną. Zgodnie z art. 10 ust. 1 Ustawą o świadczeniu usług drogą elektroniczną, „zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej”. Ponadto, w myśl art. 172 ust. 1 Ustawy Prawo telekomunikacyjne, „zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę”. Tego rodzaju działania muszą być zatem poprzedzone uzyskaniem zgody.

  27. Ula

    Witam,

    bardzo proszę o odpowiedź na kilka pytań:
    1) Czy należy rejestrować wykaz korespondencji nie zawierajacych tresci pism, a jedynie ich oznaczenie np nr wysyłanej klientowi faktury?
    2)Czy należy rejestrować zbiór umów, ofert oraz zamówień klientów przechowywanych na serwerach komputerowych? oraz czy kazda osoba posiadajaca dostep do nich powinna otrzymac upowaznienie?
    3)jeśli wykaz danych osob wchodzących i wychodzących na teren zakladu jesli przeprowadzony jest jedynie w formie pisemnej musi byc rejestrowany?

    1. Kancelaria Lex Artist

      1. Zazwyczaj rejestry/wykazy/księgi korespondencji tworzą zbiór danych (jako zestaw informacji o nadawcach i odbiorcach korespondencji). Wyłączenia z obowiązku rejestracji, jakie w mojej ocenie można zastosować to w tym przypadku art. 43 ust. 1a UODO (powołano ABI i zgłoszono go do GIODO + zbiór nie zawiera danych wymienionych w art. 27 ust. 1 UODO) lub art. 43 ust. 1 pkt 12 UODO (zbiór prowadzony jest wyłącznie w wersji papierowej i nie zawiera danych wymienionych w art. 27 ust. 1 UODO).

      2. Dane zawarte w umowach, ofertach i zamówieniach klientów można zakwalifikować jako tworzące zbiór danych dotyczących klientów, które należy zgłosić do rejestracji GIODO, chyba że mogą się Państwo powołać na jedno ze zwolnień wskazanych w odpowiedzi na poprzednie pytanie. Natomiast w odniesieniu do upoważnień – musi je posiadać każda osoba mająca dostęp do danych osobowych. Nie ma jednak konieczności wydawania odrębnych upoważnień dla każdego zbioru. Prawidłowe będzie również wydanie danej osobie jednego upoważnienia, w którego treści wskazujemy zakres wszystkich dostępów.

      3. W kwestii wykazu osób wchodzących i wychodzących – jeśli prowadzony jest on wyłącznie w wersji papierowej i nie wpisują Państwo tam żadnych danych wrażliwych (art. 27 UODO), zbiór ten nie podlega obowiązkowi rejestracji (zgodnie z art. 43 ust. 1 pkt 12 UODO).

  28. Magdalena

    Dzień dobry,

    Jak wygląda kwestia zgłaszania zbiorów danych w przypadku świadczenia usługi rejestracji czasu pracy z transmisją danych do serwera usługodawcy? Czy zbiór danych o pracownikach klienta (imię, nazwisko, godziny wejść i wyjść, liczba przepracowanych godzin, absencje, stanowisko) podlega zgłoszeniu, jeżeli jest tylko przechowywany na danym serwerze, a firma świadcząca usługę elektronicznej ewidencji czasu pracy nie ma żadnego wpływu na umieszczane przez klienta w aplikacji dane? Zbierane są również dane nt. osób upoważnionych do zarządzania danymi pracowników w aplikacji – od których wymagane jest podanie dodatkowo adresu e-mail, na którym wysyłane są dane uwierzytelniające służące do logowania do aplikacji.
    Będę wdzięczna za wskazówkę, jak dotąd nie znalazłam informacji, która wskazywałaby jednoznacznie odpowiedź.

    1. Kancelaria Lex Artist

      Obowiązek zgłoszenia zbiorów danych do rejestracji spoczywa na Administratorze danych. W przypadku danych pracowników zbieranych na potrzeby prowadzenia ewidencji czasu pracy, ich Administratorem jest pracodawca. Usługodawca nie jest zatem Administratorem danych zawartych w ewidencjach klientów (pracodawców korzystających z jego aplikacji), lecz podmiotem, któremu dane te są powierzane. Na Usługodawcy nie spoczywa w związku z tym obowiązek zgłoszenia do rejestracji zbioru zawierającego dane pracowników klientów, korzystających z dostarczanej przez niego aplikacji. Konieczne jest jednak zawarcie pisemnej umowy powierzenia przetwarzania danych pomiędzy pracodawcą i dostawcą usługi. Więcej informacji na temat powierzenia przetwarzania danych osobowych znajdzie Pani tutaj:

      https://blog-daneosobowe.pl/powierzenie-danych-osobowych-odpowiedzialnosc-i-orzecznictwo/

  29. Magda

    Witam. Prowadzę sklep internetowy, posiadam 3 zbiory: zbiór użytkowników rejestrujących się w sklepie (adresy e-mail), zbiór danych używanych do realizacji zamówień i wysyłek (imię, nazwisko, adres, numer telefonu) oraz zbiór danych z formularza kontaktowego (Nick-opcjonalnie, e-mail oraz telefon – opcjonalnie).
    1. Czy muszę te zbiory zapisywać w jakichś programach czy choćby w Excelu, czy wystarczy, że mam te dane pogrupowane w panelu administratora mojego sklepu. Danych nie przetwarzam do żadnych ofert, newsletterów, nie przekazuje nikomu, po prostu się zapisują w adminie. A później nie są mi do niczego potrzebne.
    2. Jeśli te dane nie byłyby gromadzone, tylko np. na bieżąco usuwane z admina to czy nie trzeba by było dokonywać rejestracji zbiorów GIODO?

    1. Kancelaria Lex Artist

      Ustawa o ochronie danych osobowych nie narzuca formy przetwarzania danych (papierowej/elektronicznej) czy też korzystania z określonych systemów informatycznych.

      Ponadto, „zbiór danych” to pojecie abstrakcyjne – zazwyczaj nie odnosi się do danych zawartych w określonych systemach, zapisanych na pojedynczym nośniku itp. Inaczej mówiąc, odrębnym zbiorem danych nie musi być każdy prowadzony wykaz, czy używany system informatyczny. Bardzo często jeden zbiór danych przetwarzany jest przy użyciu kilku systemów, a jeden system służy do przetwarzania więcej niż jednego zbioru.

      Z powyższego opisu wynika, iż zbiór jest prowadzony – stale zbierane są bowiem imiona, nazwiska itd. Powstania zbioru nie wyklucza to, iż zmianie ulega to, czyje dane aktualnie są przetwarzane – kategoria osób pozostaje niezmienna i są to osoby korzystające ze sklepu, tzn. wypełniające formularz kontaktowy, rejestrujące się, dokonujące zakupów. Jeśli zatem nie powołano ABIego, zbiór dot. prowadzonego sklepu internetowego należałoby zarejestrować.

  30. Magdalena

    Witam, jakie obowiązki nakłada RODO na pracodawcę zatrudniającego 52 osoby. Firma z branży budowlanej, realizuje umowy (w których podawane są dane (imię, nazwisko i tel) osób do kontaktu w celu realizacji umowy, zleca część prac podwykonawcom (w umowach także zawarte są dane podwykonawców). Umowy zawarte są w formie papierowej. Na stronie internetowej nie ma formularza kontaktowego.

    1. Kancelaria Lex Artist

      Dzień dobry. Pytanie składa się tak naprawdę z wielu szczegółowych, na które bez szerszej analizy/audytu nie sposób odpowiedzieć. 🙂 Na pewno warto zwrócić uwagę na politykę prywatności i/lub cookies na stronie internetowej oraz na dopełnienie obowiązku informacyjnego w procesach przetwarzania danych osobowych, a także przejrzeć dokumentację pod kątem ewentualnych powierzeń przetwarzania danych osobowych. Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO