Zgłoszenie zbioru danych osobowych w GIODO

Rejestracja zbioru danych osobowych to obowiązek Administratora Danych Osobowych (ADO). Jak wypełnić wniosek do GIODO? Co oznaczają pytania i pola w formularzu zgłoszenia do GIODO? Zapraszamy do lektury — praktyczny poradnik jak wypełnić wniosek do GIODO.

  • Rafał Stępniewski
  • /
  • 1 września 2016

Złożenie wniosku rejestrującego zbiór danych osobowych w GIODO jest obowiązkiem ustawowym, każdego Administratora Danych Osobowych (ADO), jeżeli w firmie nie został wyznaczony Administrator Bezpieczeństwa Informacji (ABI) oraz w sytuacji, gdy zbiór nie podlega pod wyjątki zwolnienia z obowiązku rejestracji.

Sama procedura zgłoszenia jest oświadczeniem ADO. Wniosek GIODO można złożyć papierowo, tj. pobrać ze strony internetowej GIODO formularz, który trzeba następnie wypełnić w edytorze tekstów, później wydrukować, podpisać i wysłać na adres GIODO.

Wygodniejszą metodą jest wypełnienie formularza elektronicznego na stronie GIODO i wysłanie go za pośrednictwem strony internetowej. Jeżeli nie masz podpisu elektronicznego trzeba będzie finalnie również wniosek wydrukować i wysłać pocztą na adres GIODO, ale zaletą tego formularza jest to, że wniosek będzie szybciej przetworzony, ponieważ będzie w wersji elektronicznej zarejestrowany w systemie informatycznym GIODO.

Sam wniosek składa się z kilkunastu mniejszych formularzy, które trzeba wypełnić, jeżeli mają zastosowanie.

Krok 0 — Podstawa prawna zgłoszenia w GIODO

W pierwszym formularzu wniosku określamy podstawę prawną na bazie, której dokonywane jest zgłoszenie.

Do wyboru są trzy opcje – trzy podstawy prawne:

  • zgłoszenie zbioru na podstawie art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.),
  • zgłoszenie zmian na podstawie art. 41 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
  • zgłoszenie zbioru, w którym będą przetwarzane dane określone w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

krok1.png

Opcja 1

Pierwszą opcję należy zaznaczyć jeżeli dokonujemy zgłoszenia zbioru przy założeniu, że nie zbieramy i nie przetwarzamy danych wrażliwych.

Podstawa prawna: Art.  40. [Zgłoszenie zbioru danych do rejestracji]

Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 i 1a.

Opcja 2

Druga opcja ma zastosowanie jeżeli mamy już zarejestrowany zbiór, ale zaszły zmiany w informacjach jakie podawaliśmy rejestrując zbiór. Wówczas ma zastosowanie jak niżej:

Podstawa prawna: Art. 41 ust. 2.

Administrator danych jest obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji, o której mowa w ust. 1, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych, z zastrzeżeniem ust. 3.

Opcja 3

Opcja trzecia ma zastosowanie wówczas, gdy dokonujemy zgłoszenia zbioru danych osobowych, który zawiera dane wrażliwe.

Danymi wrażliwy są dane, które zawierają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i o mandatach karnych, a także zawierające inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym.

Krok 1 – Dane Administratora Danych Osobowych

W pierwszej kolejności należy podać nazwę zbioru. Odnośnie wymagań w zakresie nazwy zbioru, to powinna ona być adekwatna do rodzaju danych przetwarzanych w zbiorze.

krok2.png

Jeżeli chcesz zarejestrować zbiór klientów firmy można użyć nazwy „Baza klientów firmy” lub „Klienci firmy”. Jeżeli rejestrujesz zbiór w celu marketingowych możesz użyć nazwy „Baza marketingowa”. Rejestrując zbiór klientów sklepu internetowego można użyć nazwy „Klienci sklepu internetowego nazwasklepu.pl”. Pamiętać należy, że nazwa ta będzie później publicznie udostępniona w wyszukiwarce GIODO, w której prezentowane są zarejestrowane zbiory.

W kolejnej sekcji formularza należy podać dane firmy, która dokonuje zgłoszenia. Należy podać nazwę firmy, numer REGON, miejscowość, w której firma jest zarejestrowana, kod pocztowy oraz ulicę, numer domu/budynku wraz z numerem lokalu.

Ważne, aby dane podane w tym miejscu zgadzały się z danymi rejestrowymi firmy dostępnymi w rejestrach takich jak REGON, CEIDG oraz KRS. Jeżeli firma jest zarejestrowana pod adresem X, natomiast prowadzi działalność operacyjnie pod adresem Y, wówczas należy podać adres Y. Niestety zmieniając adres prowadzenia działalności konieczna będzie aktualizacja wniosku GIODO.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Krok 2 – Dane przedstawiciela ADO

Podstawa prawna: Art.  31a. [Przetwarzanie danych przez podmioty mające siedzibę albo miejsce zamieszkania w państwie trzecim]

W przypadku przetwarzania danych osobowych przez podmioty mające siedzibę albo miejsce zamieszkania w państwie trzecim, administrator danych jest obowiązany wyznaczyć swojego przedstawiciela w Rzeczypospolitej Polskiej.

Jeżeli Twoja firma ma siedzibę w państwie trzecim, a więc w kraju nienależącym do Europejskiego Obszaru Gospodarczego oraz jeżeli przetwarza dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium naszego kraju, wówczas jest obowiązek wyznaczenia przedstawiciela na ternie Polski.

krok3.png

W praktyce ten scenariusz występuje niezwykle rzadko. Jeżeli nie są spełnione w/w warunki wówczas nie musisz podawać w tym formularzu żadnych informacji i można przejść do kolejnego kroku.

Krok 3 — Powierzenie przetwarzania danych osobowych

Bardzo częstym zjawiskiem z jakim mamy do czynienia jest powierzenie danych osobowych innemu podmiotowi.

Podstawa prawna Art.  31. [Powierzenie przetwarzania danych innemu podmiotowi]

1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.

2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

2a. Nie wymaga zawarcia umowy między administratorem a podmiotem, o którym mowa w ust. 1, powierzenie przetwarzania danych, w tym przekazywanie danych, jeżeli ma miejsce między podmiotami, o których mowa w art. 3 ust. 1.

3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.

4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.

Co w praktyce oznaczają powyższe zapisy?

Należy zaznaczyć, że zagadnienie określenia podmiotów jakim powierza się dane osobowe nie jest proste. ADO może powierzyć przetwarzanie danych osobowych innej firmie. Robi to na własną odpowiedzialność. Jest to pierwsza z bardzo ważnych kwestii. Trzeba wybierać takie podmioty (firmy trzecie), które zapewnią odpowiedni poziom bezpieczeństwa i dadzą gwarancję nam jako ADO, że powierzone dane osobowe będą przetwarzane oraz zabezpieczone zgodnie z wymogami ustawy.

Główną intencją art. 31 u.o.d.o. jest zapobieżenie sytuacji, w której powierzenie przez ADO innemu podmiotowi przetwarzania danych prowadziłoby do osłabienia ochrony, uszczuplałoby uprawnienia osób, których dane te dotyczą.

Krok%204a.png

Umowa powierzenia danych osobowych

Jest to ważny dokument dla ADO. Umowa taka przede wszystkim zabezpiecza samego ADO. W umowie powinien znaleźć się zakres i cel przetwarzania danych przez firmę trzecią, której przetwarzanie danych powierzamy. Powinna znaleźć się tam również odpowiedzialność tej firmy do spełnienia wymogów ustawowych, o których mowa w art. 36-39 u.o.d.o.

W praktyce, jeżeli firma trzecia źle wywiąże się z w/w obowiązków, zapisy umowne oraz kryteria wyboru firmy mogą być znaczącym aspektem łagodzącym konsekwencje naruszenia przepisów prawa, które nie nastąpiły z winy ADO, ale z winy zaniechań ze strony firmy, której dane osobowe zostały powierzone.

Kiedy powierzamy dane osobowe firmie trzeciej?

Gromadzeniem i przetwarzaniem danych na zlecenie zajmują się często np. firmy marketingowe oraz reklamowe, starające się oznaczyć i zebrać potencjalnych nabywców określonych towarów czy usług.

Przedmiotem zlecenia mogą być też niektóre firmy wspierające ADO w wypełnianiu jego obowiązków proceduralnych. Przykładowo zlecić można jedynie usunięcie danych (zniszczenie kartotek, usunięcie zawartości z elektronicznych nośników danych itp.).

Kolejnym przykładem jest firma hostingowa z którą współpracuje ADO w zakresie dzierżawy infrastruktury informatycznej np. serwera WWW, oprogramowania działającego w modelu SaaS.

Uzupełnienie formularza

Jeżeli Twoja firma powierza dane osobowe innej firmie, korzystając z jej usług, w trakcie przetwarzania danych, należy zaznaczyć pierwszy z checkboxów, a w polu tekstowym wypisać wszystkie firmy podając następujące dane:

nazwa firmy, adres (ulica, miasto, kod pocztowy), NIP, REGON

Krok 4 Podstawa prawna upoważniająca do prowadzenia zbioru danych

W tym kroku należy określić podstawę prawną na bazie której przetwarzamy dane osobowe.

krok%205.png

Opcji jakie są dostępne jest pięć tj.:

  • zgoda osoby, której dane dotyczą, na przetwarzanie danych jej dotyczących,
  • przetwarzanie jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa
  • przetwarzanie jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  • przetwarzanie jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego
  • przetwarzanie jest niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

W firmie komercyjnej w praktyce możemy mieć do czynienia z opcją 1 lub 3.

Pierwsza opcja odnosi się do sytuacji, gdy klient podający swoje dane osobowe wyrazi zgodę na ich przetwarzanie w określonym celu. Może to być zaznaczenie zgody w umowie, którą dana osoba fizyczna podpisuje albo zaznaczenie pola zgody na stronie internetowej.

Trzecia opcja odnosi się do sytuacji, gdy zawieramy umowę z osobą fizyczną i aby ją móc zrealizować musimy mieć możliwość przetwarzania jej danych osobowych. W tym przypadku klient nie musi wyrażać nam zgody na przetwarzanie danych osobowych w celu realizacji umowy. W praktyce jeżeli zawieramy z klientem umowę np. w formie papierowej albo telefonicznie nie musimy uzyskiwać od niego zgody na przetwarzanie jego danych osobowych w celu realizacji tej umowy. Analogicznie jest w sklepie internetowym – jeżeli klient składa zamówienie (zawiera umowę sprzedaży), nie trzeba uzyskiwać od niego zgody na przetwarzanie jego danych w celu realizacji tej umowy. Podobnie jest w przypadku rejestracji konta w sklepie lub w serwisie, gdzie celem jest realizacja umowy na świadczenie usług drogą elektroniczną.

Należy w tym miejscu pamiętać, że nie możemy wykorzystywać tych danych w innych celach niż realizacja umowy. Jeżeli będziemy chcieli wysyłać w późniejszym czasie wiadomości reklamowe lub newsletter wówczas nie podlega to pod przypadek związany z realizacją innej umowy.

Krok 5 – Cel przetwarzania danych osobowych w zbiorze

W kolejnym kroku należy określić cel w jakim gromadzimy i przetwarzamy dane osobowe.

krok%206.png

Należy w polu tekstowym zamieścić, którą i zwięzłą informację przykładowo:

  • „marketing i promocja produktów/usług” – jeżeli baza danych osobowych będzie wykorzystywana do wysyłki newsletter
  • „świadczenie usług drogą elektroniczną” – jeżeli tworzona baza danych jest bazą użytkowników serwisu internetowego lub sklepu internetowego;
  • „realizacja umów sprzedaży” – jeżeli mamy do czynienia z bazą danych klientów, którym sprzedajemy nasze towary lub usługi.

Opis celu powinien w sposób jednoznaczny wskazywać cel przetwarzania. Ważne jest aby nie łączyć celów przetwarzania w jednym wniosku. Może to być powód jego odrzucenia lub pojawi się konieczność sprostowania lub wyjaśnienia jaki jest faktyczny cel przetwarzania danych osobowych.

Krok 6 — Opis kategorii osób, których dane dotyczą

Następną informację jaką należy podać jest informacja w zakresie kategorii osób, których dane dotyczą. W praktyce należy nazwać zbiór osób docelowych z pkt. widzenia biznesowego.

krok7.png

Może być to przykładowo:

  • Klienci firmy;
  • Osoby składające reklamację;
  • Osoby ubiegające się o kredyt;
  • Osoby, które dążą do zawarcia umowy lub zawarły umowę z administratorem danych o świadczenie usług lub współpracy.

Ważne, aby nazwa obejmowała swoim zakresem kompletny zakres osób w odniesieniu do celu przetwarzania danych osobowych.

Krok 7 — Zakres przetwarzanych w zbiorze danych o osobach

W formularzu należy wskazać jakiego typu standardowe dane osobowe składają się na rejestrowany zbiór danych osobowych. Jeżeli na liście nie ma danych osobowych, które są gromadzone w kolejnym kroku będzie możliwość ich wskazania.

krok8.png

Podczas rejestracji należy pamiętać o kilku ważnych szczegółach tj. zastąpienie NIP numerem PESEL. W świetle obecnie obowiązujących przepisów nie każda osoba fizyczna musi posiadać NIP. Może posługiwać się numerem PESEL jako numerem identyfikacji podatkowej.

Krok 8 — Inne dane osobowe, oprócz wymienionych w pkt 7, przetwarzane w zbiorze

W tym miejscu należy wskazać dodatkowe kategorie danych osobowych jakie są gromadzone w zbiorze. Należy w polu tekstowym wskazać w/w rodzaj danych jaki jest gromadzony, oddzielając je średnikiem lub przecinkiem.

krok9.png

Krok 9 – Dane wrażliwe

Jeżeli w zbiorze danych osobowych są gromadzone i przetwarzane dane wrażliwe wówczas w tym miejscu należy określić jakie rodzaje tych danych są gromadzone.

krok9a.png

W tym miejscu należy mieć na uwadze konsekwencję w zakresie informacji podanych w Kroku 0, gdzie wskazywany był typ wniosku.

Dane wrażliwe są to dane ujawniające:

  • pochodzenie rasowe,
  • pochodzenie etniczne,
  • poglądy polityczne,
  • przekonania religijne,
  • przekonania filozoficzne,
  • przynależność wyznaniową,
  • przynależność partyjną,
  • przynależność związkową,
  • stan zdrowia,
  • kod genetyczny,
  • nałogi,
  • życie seksualne,

oraz dotyczące:

  • skazań,
  • mandatów karnych,
  • orzeczeń o ukaraniu,
  • innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Wbrew pozorom z wrażliwymi danymi osobowymi można mieć do czynienia częściej niż się wydaje. Wielu ADO nie zdaje sobie sprawy prowadząc różnego rodzaju serwisy internetowe, że gromadzi wrażliwe dane osobowe.

Przykładowo, w przypadku prowadzenia serwisu społecznościowego lub randkowego mamy do czynienia, oprócz standardowych danych osobowych, z danymi wrażliwymi, które między innymi mogą dotyczyć stanu zdrowia, preferencji seksualnych, a także nałogów. Analogicznie jest w przypadku różnego rodzaju serwisów ogłoszeniowych, które zawierają ogłoszenia towarzyskie.

Prowadząc serwis internetowy, którego tematem przewodnim jest tematyka związana ze zdrowiem, za pośrednictwem którego, zbierane są informacje o stanie zdrowia użytkownika, mające na celu np. przedstawienie odpowiedniej diety – mamy do czynienia z danymi wrażliwymi.

Kolejną analogię można znaleźć w przypadku działalności prowadzonych stacjonarnie. Przykładem jest salon masażu, gdzie wypełniana jest ankieta chociażby o tym, czy klient nie choruje na choroby sercowe, czy nie ma rozrusznika serca, a kobieta, czy nie jest w ciąży. W praktyce występuje wiele sytuacji, gdzie osoby fizyczne wypełniają standardowe ankiety, mające na celu zebranie oświadczenia o stanie zdrowia, które potencjalnie może mieć wpływ na możliwość realizacji usługi, a co za tym idzie odpowiedzialność za jej wykonanie.

Krok 10 — Podstawa prawna przetwarzania danych wskazanych w pkt 9

Jeżeli w kroku poprzednim została zaznaczona jakakolwiek opcja wskazująca na zbieranie danych osobowych wrażliwych wówczas należy w tym miejscu wskazać podstawę prawną na bazie, której są gromadzone i przetwarzane dane osobowe.

krok10.png

Jeżeli w kroku 9 nie została wskazana żadna kategoria danych wrażliwych wówczas krok ten jest pomijany w nawigacji formularza.

Krok 11 — Źródło danych osobowych

W tym miejscu należy wskazać skąd pozyskiwane są dane osobowe. Możliwe są dwa przypadki:

  • bezpośrednio od osoby, której dane dotyczą
  • ze źródła zewnętrznego

krok11.png

Przykładem bezpośredniego uzyskania danych jest sytuacja, gdzie dane są przekazywane np. poprzez formularz na stornie internetowej albo w trakcie zawierania umowy w biurze firmy poprzez ich podanie przez klienta. Przykładem innego źródła jest zakupienie bazy danych osobowych od firmy trzeciej. W tym miejscu warto zwrócić uwagę, czy firma od której dokonywany jest zakup uzyskała zgodę na przekazanie danych osobowych (domyślnie: w celach marketingowych) przez firmy trzecie względem firmy, której dane osobowe zostały powierzone.

Krok 12 – Czy dane ze zbioru będą udostępniane?

W tym miejscu należy zaznaczyć opcję, jeżeli dane osobowe są udostępniane podmiotom trzecim.

krok12.png

Określając listę podmiotów, którym dane są udostępniane należy wiedzieć czym różni się powierzenie danych osobowych od udostępnienia danych osobowych?

Powierzenie danych osobowych polega na tym, że ADO powierza w drodze pisemnej umowy przetwarzanie danych osobowych – w całości lub w części — innemu podmiotowi. Oznacza to, że ADO nie musi osobiście wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. W praktyce umowa powierzenia przetwarzania danych zawierana jest np. w celu dochodzenia wierzytelności lub w związku ze zleceniem innemu podmiotowi realizacji części zadań administratora, korzystanie z usług hostingu, czyli infrastruktury informatycznej, w której przechowywane są dane osobowe (tzw. outsourcing).

Udostępnianie danych osobowych określić można natomiast jako wszelkie działania stwarzające innym osobom możliwość zapoznania się z danymi osobowymi. Udostępnianie może polegać na przekazaniu danych osobowych w sposób ustny, pisemny lub za pomocą innych środków, np. poprzez internet.

Z zakresu objętego udostępnieniem wyłącza się organy państwowe i organy samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

Przykładami firm, którym dane osobowe są udostępniane, a nie powierzane są:

  • firmy realizujące dostawy towarów,
  • firmy realizujące obsługę płatności zarówno poprzez przelew bankowy jak e-płatności – płatności internetowe.

Krok 13 — Odbiorcy lub kategorie odbiorców, którym dane mogą być przekazywane

Jeżeli w poprzednim kroku została zaznaczona opcja, wówczas w tym miejscu w polu tekstowym należy wymieć dane firmy, której dane osobowe są udostępniane.

krok13.png

Wystarczy podać dane takie jak: nazwa firmy, ulica, kod pocztowy, miejscowość oraz REGON firmy, której dane osobowe zostały udostępnione.

Krok 14 – państwo trzecie

W tym miejscu należy wskazać podmioty trzecie, których lokalizacją jest państwo nie należące do Europejskiego Obszaru Gospodarczego, któremu przekazywane są dane osobowe.

krok14.png

Sytuacja taka może mieć miejsce, w przypadku, gdy firma korzysta z hostingu np. firmy z siedzibą w USA albo korzysta z narzędzi analitycznych lub innych, które są obsługiwane przez firmę z poza EOG – przykładowo narzędzie chatu na stronie internetowej, gdzie usługi świadczy firma z USA.

Jeżeli taka sytuacja ma miejsce wówczas należy podać pełne dane firmy, której przekazywane są dane osobowe tj. nazwa firmy, ulica, kod pocztowy, miejscowość, kraj.

Krok 15 – środki techniczne i organizacyjne

W tym miejscu należy określić, czy zbiór jest prowadzony centralnie, czy w architekturze rozproszonej. Centralne prowadzenie zbioru danych, zarówno w przypadku przetwarzania danych w systemie informatycznym jak i w tzw. systemie tradycyjnym (papierowym), oznacza zlokalizowanie danych w jednym miejscu. Zbiór prowadzony jest centralnie w sytuacji zgromadzenia danych (zarówno w postaci papierowej jak i zamieszczonych na serwerze) w jednym pomieszczeniu lub budynku.

Krok15.png

Prowadzenie zbioru w architekturze rozproszonej, zarówno w przypadku przetwarzania danych w systemie informatycznym jak i w tzw. systemie tradycyjnym (papierowym), oznacza że dane są przetwarzane w sposób zdecentralizwany. Zbiór prowadzony jest w architekturze rozproszonej (w przypadku przetwarzania danych w systemie informatycznym) np. w sytuacji gromadzenia danych na dwóch serwerach zlokalizowanych w odrębnych budynkach. W kolejnym punkcie określić należy, czy zbiór jest prowadzony w formie papierowej, czy elektronicznej. Może być sytuacja, gdzie zbiór jest prowadzony w obu formach. Przykładowo dane są zbierane poprzez formularze papierowe, a następnie są wprowadzane do systemu IT.

W kolejnym punkcie należy zaznaczyć właściwe środowisko informatyczne, w którym przetwarzane są dane osobowe kierując się kryteriami dostępu urządzeń przetwarzających dane osobowe do internetu. Obecnie ciężko sobie wyobrazić sytuację, gdzie urządzenia są całkowicie odłączone od sieci internet. Może to mieć miejsce, ale w praktyce rzadko występuje. W tym momencie należy mieć na uwadze, że jeżeli komputer, za pośrednictwem, którego przetwarzamy dane osobowe – np. korzystamy z oprogramowania, dzięki, któremu mamy dostęp do danych i jednocześnie jest to urządzenie do codziennej pracy, tj. z dostępem do sieci internet, należy odznaczyć odpowiednio pole „z użyciem co najmniej jednego urządzenia systemu informatycznego służącego do przetwarzania danych osobowych połączonego z siecią publiczną (np. Internetem)”.

Należy uznać, że system używany do przetwarzania danych osobowych jest połączony z siecią publiczną jeżeli co najmniej jedno urządzenie (komputer, router, modem) będące jego częścią jest połączone z siecią publiczna tzn. z siecią telekomunikacyjną wykorzystywaną głównie do świadczenia publicznie dostępnych usług telekomunikacyjnych w rozumieniu przepisów ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (DZ.U. 2014.243 z późn. zm.).

Krok 16 — Spełnienie wymogów określonych w art. 36-39 ustawy ODO

Formularz w tym kroku jest bardzo rozbudowany. W pierwszej części musimy podać informację, kto pełni obowiązki ABI (administratora bezpieczeństwa informacji), tj. czy została wyznaczona osoba fizyczna jako ABI, czy sam ADO pełni te obowiązki.

Krok16a.png

W praktyce jeżeli w firmie został wyznaczony ABI, wówczas jeżeli w zbiorze nie ma wrażliwych danych osobowych, nie ma obowiązku rejestracji zbiorów w GIODO.

W kolejnej części należy wskazać, czy do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych oraz czy prowadzona jest ewidencja osób upoważnionych do przetwarzania danych. Są to jedne z wielu elementów wdrożenia w firmie polityki bezpieczeństwa, gdzie pracownicy firmy powinni mieć stosowne upoważnienia, a ADO lub ABI powinien prowadzić stosowny rejestr.

Dwa kolejne pytania tj. czy została opracowana i wdrożona polityka bezpieczeństwa oraz czy została opracowana i wdrożona instrukcja zarządzania systemem informatycznym, są oświadczeniem ADO o tym, że w firmie została przygotowana dokumentacja tj. polityka bezpieczeństwa wraz z instrukcją. Są to dwa bardzo ważne dokumenty jaki w razie kontroli GIODO powinny być okazane. Opracowanie i posiadane tych dokumentów jest wymogiem ustawowym.

dokumentacja.png

W kolejnych punktach formularza należy określić jakie inne środki, oprócz wymienionych wyżej, zostały zastosowane w celu zabezpieczenia danych osobowych.

W kolejnych sekcjach należy odpowiednio zaznaczać pola zgodnie ze stanem faktycznym jaki jest w firmie.

Krok 17 – poziomy bezpieczeństwa ODO

W tym miejscu należy określić jakie poziomy bezpieczeństwa są stosowane przez ADO.

Krok17.png

Generalnie poziomów bezpieczeństwa jest trzy:

  • poziom podstawowy,
  • poziom podwyższony,
  • poziom wysoki.

Jeżeli zbiór danych osobowych nie zawiera danych wrażliwych i żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną, wówczas ADO powinien spełnić wymogi techniczno-organizacyjne na poziomie podstawowym.

Jeżeli zbiór danych osobowych zawiera wrażliwe dane osobowe i żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną, wówczas ADO powinien spełnić wymogi techniczno-organizacyjne na poziomie podwyższonym.

Poziom wysoki będziemy zawsze wtedy, gdy choć jedno urządzenie systemu informatycznego będzie połączone z siecią publiczną. Fakt przetwarza danych wrażliwych nie ma w tym momencie żadnego znaczenia.

Krok 18 – dane kontaktowe

W tym miejscu należy podać adres e-mail do korespondencji z GIODO. Jest to e-mail tylko i wyłącznie do komunikacji z GIODO w celu wysłania wniosku. Na ten adres e-mail po wysłaniu wniosku przez stronę zostanie wysłany login i hasło do logowania się na stronie GIODO w celu monitorowania statusu wniosku.

Krok18.png

Nie ma konieczności załączania dokumentów tj. polityka bezpieczeństwa, czy też instrukcji zarządzania.

Jeśli nie dysponujesz kwalifikowanym certyfikatem lub profilem zaufanym ePUAP należy zaznaczyć opcję rezygnacji z doręczania pism za pomocą środków komunikacji elektronicznej  

Krok 19 – wysłanie wniosku

W tym miejscu można wysłać wniosek do GIODO. Jeżeli wniosek ma być wysłany bez podpisu elektronicznego należy wybrać odpowiednią opcję. Nastąpi rejestracja wniosku w systemie informatycznym GIODO.

Krok19.png

Ważne!

Po wysłaniu wniosku będzie możliwość wydrukowania wniosku. Należy to zrobić by dokończyć wysyłane wniosku bez podpisu elektronicznego. Po wydrukowaniu wniosku należy go podpisać (ADO) i wysłać na wskazany na stronie adres, za pośrednictwem poczty. Warto wysłać wniosek co najmniej listem poleconym, tak aby mieć pewność, że dokument dotarł do GIODO.

Po wysłaniu wniosku na adres e-mail powinna przyjść korespondencja z GIODO w zakresie danych dostępowych do profilu w GIODO, gdzie można monitorować status wniosku.

Niestety GIODO nie informuje o tym, że zbiór został zarejestrowany. Trzeba regularnie sprawdzać status, ale czas oczekiwania na rejestrację jest dość długi i wynosi kilkanaście miesięcy.

Sam fakt wysłania wniosku, jeżeli w zbiorze nie ma danych wrażliwych, uprawnia ADO do przetwarzania danych osobowych. Nie ma konieczności oczekiwania na rejestrację zbioru.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

O autorze

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!