Ustawa o ochronie danych osobowych (UODO) zawiera szereg regulacji, których celem jest zabezpieczenie informacji umożliwiających zidentyfikowanie osób fizycznych. Jednym z najważniejszych obowiązków administratora danych jest konieczność rejestrowania zbiorów danych u Generalnego Inspektora Ochrony Danych Osobowych. Co powinno zawierać zgłoszenie? Czy ustawa przewiduje możliwość zwolnienia z tego obowiązku?
Czym jest zbiór danych osobowych – definicja ustawowa
Zbiór danych osobowych to według art. 7 UODO „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.
Oznacza to, że za zbiór danych będziemy uznawać każdy zbiór posiadający strukturę umożliwiającą wyszukiwanie konkretnych informacji, np. na podstawie numeru PESEL, imienia, nazwiska lub daty urodzenia, ale również daty zamieszczenia danych.
Obowiązek zgłoszenia zbioru danych osobowych do rejestracji w GIODO należy do administratora danych i wynika wprost z art. 40 UODO. Za administratora będziemy uznawać nie konkretne osoby zajmujące się zarządzaniem danymi (np. pracowników czy dyrektora), a podmiot – zarówno publiczny, jak i prywatny.
Rejestracja w GIODO – co powinno zawierać zgłoszenie?
Zgodnie z art. 41 ust. 1 UODO, zgłoszenie danych do GIODO powinno zawierać:
- wniosek o wpisanie zbioru do rejestru;
- oznaczenie administratora danych oraz wskazanie adresu jego siedziby;
- cel przetwarzania danych wraz z opisem kategorii osób, których dotyczą oraz zakresu przetwarzanych danych;
- sposób zbierania i udostępniania danych;
- opis środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych;
- informację o sposobie wypełnienia warunków technicznych i organizacyjnych;
- informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Przed zgłoszeniem zbioru danych osobowych do rejestracji warto sprawdzić zapisy art. 41 ust. 1 pkt 1-7 wspomnianej ustawy, ponieważ zgłoszenie powinno zawierać wszystkie wskazane tam informacje. Jednocześnie warto zauważyć, że GIODO może odmówić rejestracji zbioru danych, np. w sytuacji, gdy zgłoszenie jest niekompletne (nie zawiera informacji określonych w art. 41 ust. 1) lub gdy urządzenia i systemy informatyczne służące do przetwarzania zbioru nie spełniają wymaganych warunków technicznych.
Czy istnieje możliwość zwolnienia z obowiązku rejestracji zbioru danych?
Tak, UODO przewiduje kilkanaście takich przypadków. Według art. 43 z obowiązku zwolnieni są administratorzy danych, m.in. zawierających informacje niejawne; przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego; dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego; powszechnie dostępnych; przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego albo przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
Jeśli chcesz wiedzieć więcej o rejestracji danych osobowych, to zapraszamy do przeczytania wpisu Rejestracja Zbiorów Danych Osobowych – Jak Legalnie Ominąć Obowiązek?