Xevin Consulting - Blog Blog

Przed nami długi majowy weekend, a to oznacza być może nieco więcej czasu. Dlatego też zapraszam do trochę dłuższej notki poświęconej wnioskom rejestracyjnym do GIODO.

Wypełniając nowy wniosek, na początek musimy zdecydować czy rejestrujemy nowy zbiór, w którym przetwarzane są dane zwykłe (zgłoszenie na podstawie art. 40 UODO) czy też wrażliwe (zgłoszenie danych przetwarzanych na podstawie jednej z przesłanek wskazanych w art. 27 UODO). Natomiast jeżeli nasze zgłoszenie ma na celu dokonanie aktualizacji istniejącego już zbioru, wówczas zaznaczamy opcję nr 2, gdzie mowa jest o aktualizacji z art. 41 ust. 2 UODO.

Kolejnym krokiem będzie nazwanie zgłaszanego zbioru np. newsletter, baza marketingowa etc. Następnie wskazujemy administratora danych, a więc firmę, która dokonuje zgłoszenia, określając jej nazwę i adres siedziby oraz podając nr REGON.

Część B (pytanie nr 2) wypełniana jest tylko wtedy, gdy mamy do czynienia z przedstawicielstwem firmy mającej siedzibę za granicą, a ściślej w tzw. państwie trzecim, czyli państwie, które nie należy do Europejskiego Obszaru Gospodarczego.

Następnym zagadnieniem, do którego musimy ustosunkować się we wniosku jest określenie, czy nasza firma powierza dane z rejestrowanego zbioru innym podmiotom np. firmie hostingowej, call center. Jeśli powierza, wpisujemy ich nazwy i adresy siedzib.

Ostatnie pytanie z części B jest jednym z najważniejszych w całym wniosku rejestracyjnym, ponieważ to właśnie tutaj wskazujemy przesłankę, na podstawie której przetwarzamy dane osobowe z rejestrowanego zbioru. Omówienie tego tematu stanowi materiał na zupełnie nową notkę, w tym miejscu nadmienię jednak, że warto pamiętać o tym, że każda z przesłanek ma charakter w pełni autonomiczny i samodzielny. Wystarczy więc, że firma legitymuje się chociaż jedną z nich, by móc zgodnie z prawem przetwarzać dane osobowe.

W pierwszym pytaniu części C musimy określić cel, dla którego przetwarzane są dane osobowe. Takim celem może być np. wysyłka newslettera czy obsługa reklamacji.

Gdy poradzimy sobie ze wskazaniem celu, musimy określić kategorię osób, których dane przetwarzamy. Wystarczy jak w tym miejscu napiszemy np. klienci, dłużnicy, osoby składające reklamacje etc.

W następnej sekcji określamy jakie dane są przetwarzane w ramach zgłaszanego zbioru. Część danych zostało zasugerowanych w formularzu, a jeśli ich tam nie ma np. adresu e-mail (który może być uznany za daną osobową), to możemy to ręcznie dopisać w kolejnej części.

Dwa ostatnie pytania w części C dotyczą danych wrażliwych. W pierwszym z nich wskazujemy jakie dane będą przetwarzane w ramach zgłaszanego zbioru np. informacje o nałogach albo o stanie zdrowia. Jeżeli takich danych firma nie przetwarza, zostawia te pola puste (podobnie jak następne, w którym wskazuje się przesłankę legalizującą przetwarzanie danych wrażliwych).

Część D wniosku zaczyna się od pytania, w jaki sposób dane są zbierane. Przewidziane są tylko dwie odpowiedzi: albo bezpośrednio od osoby, której dane dotyczą (np. osoba taka wypełnia formularz rejestracyjny umożliwiający korzystanie z portalu społecznościowego) albo z innego źródła (np. z zakupionej legalnie bazy danych).

Po wskazaniu sposobu pozyskiwania danych jesteśmy pytani o to, czy udostępniamy dane osobowe innym podmiotom niż tzw. podmioty uprawnione (przykładowo urzędom skarbowym, komornikom). Innym podmiotem może być firma, z którą administrator danych współpracuje, przy czym należy pamiętać o tym, by takie udostępnianie odbywało się w sposób legalny. Jeżeli udostępniamy, to w kolejnym pytaniu jesteśmy proszeni o to, by wskazać te podmioty (nazwa i siedziba bądź przynajmniej określenie kategorii takiego podmiotu).

Ostatnie pytanie z części D dotyczy sytuacji, w której administrator danych przekazuje dane z rejestrowanego zbioru do państw trzecich. Jeżeli takie przekazywanie ma miejsce, to wpisujemy tu nazwy tych państw. Należy jednak pamiętać o tym, że ustawa o ochronie danych osobowych przewiduje szereg obostrzeń związanych z takim transferem danych za granicę.

Część E wniosku rejestracyjnego poświęcona jest zabezpieczeniom stosowanym przez administratora danych osobowych. Na początek należy wskazać czy dane przetwarzane są centralnie (upraszczając trochę: w jednym miejscu np. w siedzibie firmy) czy w tzw. architekturze rozproszonej (np. firma ma kilka lokalizacji, a dodatkowo dane są powierzone do przetwarzania innym podmiotom). Następnie musimy zaznaczyć, czy dane przetwarzane są wyłącznie w wersji papierowej, czy też przy wykorzystaniu systemów informatycznych. Pierwsza sekcja z części E kończy się pytaniem czy komputer służący do przetwarzania danych połączony jest z Internetem. Po odznaczeniu powyższych informacji przechodzimy do wskazania konkretnych zabezpieczeń jakie stosuje firma zgłaszająca zbiór. Zabezpieczenia podzielone są na kilka rodzajów – od typowo fizycznych (np. monitoring, ochrona, zamykane szafy), poprzez środki sprzętowe (np. niszczarki), narzędzia służące do ochrony baz danych (np. stosowanie różnych poziomów uprawnień, kwestie związane z uwierzytelnianiem), a skończywszy na opisie środków organizacyjnych (np. przeszkolony personel, obowiązek zachowania danych osobowych w tajemnicy). Jeszcze przed wypełnieniem tej części należy również wskazać, czy został powołany administrator bezpieczeństwa informacji (funkcję tę może pełnić osobiście administrator danych), a także czy wdrożono dokumenty – m.in. politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.

Część F to ostatnia część wniosku rejestracyjnego. Znajduje się tam tylko jedno pytanie, a mianowicie administrator danych proszony jest o wskazanie poziomu stosowanych zabezpieczeń. Zgodnie z wcześniej przywoływanym rozporządzeniem istnieją trzy poziomy: podstawowy, podwyższony i wysoki. Tym co decyduje o tym, jakie zabezpieczenia musi zastosować firma, wynika właśnie z ww. poziomów, które z kolei powiązane są m.in. z tym jakie dane przetwarza administrator danych, a także czy system informatyczny połączony jest np. z Internetem.

Po wypełnieniu wniosku należy go wysłać do GIODO. Co do zasady należy zrobić to w sposób tradycyjny (za pośrednictwem poczty albo osobiście w Biurze GIODO). Natomiast jeśli przedsiębiorca posiada kwalifikowany podpis elektroniczny, może to również uczynić przez Internet.

Jeśli ktoś od jakiegoś już czasu zajmuje się tematyką danych osobowych, doskonale zdaje sobie sprawę jak łatwo przeoczyć jakiś zbiór danych. W niniejszej notatce chciałbym zwrócić uwagę na taki właśnie, wydawałoby się niepozorny, zbiór. Zgodnie z wymogami przepisów kodeksu spółek handlowych spółki akcyjne mają obowiązek prowadzić dla swych akcjonariuszy tzw. księgę akcyjną. Księga taka, o ile akcjonariusze są osobami fizycznymi (mogą być nimi także inne firmy!), z oczywistych względów zawiera dane osobowe (np. takie jak imię, nazwisko, adres, nr NIP, miejsce pracy etc.). Dane te przetwarzane są, rzecz jasna, w sposób legalnych, gdyż wynika to z przepisów wspomnianego wyżej ksh. Powstaje jednak pytanie czy taki zbiór wymaga rejestracji.
Ustawa o ochronie danych osobowych określa w art. 43 jakie zbiory nie wymagają zgłoszenia do GIODO. Wydawać by się mogło, że do ksiąg akcyjnych zastosowanie będzie miała przesłanka mówiąca o danych powszechnie dostępnych. Jednak nie jest to prawdą. Dane zawarte w księdze akcyjnej znane są tylko innym akcjonariuszom, a więc ciężko nazwać je danymi powszechnie znanymi, stąd też konkluzja jest taka, że zbiór danych zawarty w księdze akcyjnej podlega rejestracji w GIODO.