Jak zarejestrować zbiór danych w GIODO?

• Rafał Stępniewski
• /
• 27 września 2017

Kwestia zgłaszania zbioru danych do GIODO sprawia przedsiębiorcom kilka problemów — między innymi ze względu na skomplikowaną procedurę wypełniania wniosku. Szczególnie dwa obszary sprawiają właścicielom firm spory problem — różnica pomiędzy udostępnieniem danych osobowych a ich powierzeniem oraz pytania odnośnie zabezpieczeń technicznych, o które pytani są przedsiębiorcy we wnioskach dla GIODO.

 

Powierzenie i udostępnienie danych osobowych — najważniejsze różnice

Pojęcia te są często mylone i błędnie używane zamiennie. Należy pamiętać, że oznaczają one dwie różne sytuacje. Pierwsza z nich — powierzenie danych osobowych — to okoliczność, w której firma zleca (na podstawie umowy) pewien zakres obowiązków związany z przetwarzaniem danych osobowych firmie zewnętrznej.

Przykładem może być przechowywanie danych osobowych klientów sklepu internetowego na serwerach firmy hostingowej. Pracownicy takiej firmy są odpowiedzialni za zabezpieczenie tych danych czy wykonywanie kopii bezpieczeństwa — innymi słowy wykonują część obowiązków związanych z danymi osobowymi za firmę, która wykupiła u nich usługę hostingu.

Drugim przykładem powierzenia danych osobowych są także biura księgowe, którym inne firmy zlecają zadania związane z prowadzeniem spraw kadrowo-płacowych. Właśnie w tych biurach są przechowywane wszystkie dokumenty zawierające dane osobowe pracowników czy klientów firmy.

Ostatnim przykładem może być natomiast korzystanie z zewnętrznej firmy świadczącej usługi mailingowe. Jej również powierzane są dane osobowe klientów, przy czym firma wykupująca tę usługę wciąż pozostaje Administratorem tego zbioru danych.

Udostępnienie danych osobowych to natomiast jednorazowa czynność przekazania danych osobowych innej firmie. W tym przypadku wyraźnie zostaje określony zakres przetwarzania tych danych oraz czas, przez jaki czynność ta może być wykonywana.

Dla przykładu można podać sytuację wysyłki towaru, przy wykorzystaniu usług firmy kurierskiej — dane odbiorcy są udostępniane jednorazowo, w celu doręczenia przesyłki w określonym terminie. Jeszcze jednym przykładem może być obsługa płatności w sklepie internetowym przez dostawcę takiego rozwiązania — otrzymuje on dane o kupującym wyłącznie w celu realizacji płatności.

Zabezpieczenia techniczne

Jeden z ostatnich formularzy rejestracji zbioru danych osobowych w GIODO dotyczy kwestii zabezpieczeń technicznych. Mają one na celu określenie, jakie techniczne oraz fizyczne zabezpieczenia są obecne w firmie, która przetwarza dane osobowe.

Niektóre z tych pytań mogą być niezrozumiałe, jednak należy pamiętać, że ich obecność nie oznacza, że każde przedsiębiorstwo, które składa wniosek do GIODO o rejestrację bazy danych osobowych musi te zabezpieczenia posiadać. Przepisy nie nakazują zatem posiadania zaawansowanych zabezpieczeń biometrycznych, sejfów czy rozbudowanych zapór sieciowych (zwanych “firewall”).

Najważniejsze jest to, by zabezpieczenia w firmie były adekwatne do tego, na jaką skalę przetwarza ona dane osobowe i na jakie niebezpieczeństwa są one narażone. Inne zabezpieczenia będą zatem stosowane w bankach, a inne w małych, kilkuosobowych firmach.

Warto pamiętać jednak, aby zewnętrzna firma, której zamierzamy powierzyć dane osobowe naszych klientów czy pracowników, była godna zaufania i przykładała dużą wagę do bezpieczeństwa tych informacji.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Aby dowiedzieć się, jak prawidłowo wdrożyć w swojej firmie założenia wprowadzane przez RODO, kliknij tutaj i pobierz bezpłatny poradnik.

 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.