Obowiązki związane ze zgłaszaniem zbioru danych osobowych do Generalnego Inspektora Ochrony Danych Osobowych

Przedmiotem niniejszego wpisu są rozważania dotyczące wymagań przewidzianych przez przepisy powszechnie obowiązującego prawa, a dotyczące obowiązków związanych ze zgłaszaniem zbiorów danych osobowych do Generalnego Inspektora Danych Osobowych. Coraz częstszym pytaniem zadawanym przez Klientów jest kwestia obowiązku zgłoszenia prowadzonego zbioru danych osobowych. Świadomość tego obowiązku zwiększa się wraz z ilością prowadzonych kontroli przez Inspektoraty Generalnego Inspektora Ochrony Danych Osobowych. Stąd, prowadząc działalność gospodarczą, w ramach której dochodzi do gromadzenia danych osobowych, jak również ich przetwarzania, istotną kwestią jest ustalenie, czy i jeśli tak – jakie obowiązki należy spełnić, aby nie narazić się na ryzyko sankcji wynikłych z niezastosowania się do przepisów powszechnie obowiązującego prawa.

Szczególną uwagę zwrócić należy na przepisy dotyczące podmiotu pełniącego funkcje administratora danych osobowych. Należy na początku wyjść od przybliżenia najważniejszych pojęć, jak również krótkiego omówienia obowiązujących aktów prawnych dotykających sfery ochrony danych osobowych i mających znaczenie dla tematu.

Administrator Danych Osobowych

Kim zatem jest administrator danych osobowych? Zgodnie z ustawą o ochronie danych osobowych z dnia 29 sierpnia 1998 roku (Dz.U. 1997 Nr 133, poz. 883) jest to organ, jednostka organizacyjna, podmiot, lub osoba decydująca samodzielnie o celach i środkach przetwarzania danych osobowych. Posiada on pieczę nad przetwarzaniem danych osobowych. W praktyce istnieje rozróżnienie, ze względu na typ administratora danych osobowych – może nim być podmiot prywatny lub publiczny. Zważywszy na zasadę praworządności – jedną z naczelnych zasad, którymi kierują się organy administracji publicznej – według której podmioty publiczne mogą działać jedynie w granicach i na podstawie prawa, zakres „swobody” przetwarzania przez nie danych osobowych jest ograniczony. Inaczej ma się sytuacja w przypadku podmiotów prywatnych, gdzie administratorem danych osobowych może być np. pracodawca.

Pod kątem niniejszych rozważań najistotniejsze pojęcia, które mogą budzić wątpliwości, to przede wszystkim „zbiór danych osobowych”, jak również „przetwarzanie danych”.

Zbiór danych osobowych oraz przetwarzanie danych osobowych

Ustawa o ochronie danych osobowych wprost formułuje definicje powyższych zwrotów. I tak, zbiór danych oznacza każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Natomiast przetwarzanie danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Przechodząc zatem do sedna sprawy – jakie ustawa nakłada obowiązki na administratora danych w przypadkach zgłaszania zbiorów osobowych do GIODO? Rozdział 6 ustawy statuuje dokładnie pozycję administratora danych i konkretyzuje działania, które musi on podjąć. Już na samym wstępie do omawianego rozdziału ustawodawca wskazuje wprost, że administrator danych osobowych jest zobowiązany zgłosić zbiór danych do rejestracji GIODO. Wyłączenie z takiego obowiązku dotyczy zbiorów danych zawierających informacje niejawne.

Dalej, ustawa przewiduje, że zgłoszenie takie odbyć się musi na wniosek administratora danych wraz z formularzem, który powinien zawierać:

  • Oznaczenie administratora danych i adres jego siedziby, a także podanie podstawy prawnej, która upoważnia go do prowadzenia zbioru danych, numer REGON, i innych informacji;
  • Wskazanie celu przetwarzania danych osobowych;
  • Opis kategorii osób, których dane dotyczą, a także zakres przetwarzania danych;
  • Wskazanie sposobu zbierania i przetwarzania danych;
  • Informacje o odbiorcach jakim mogą być przekazywane dane;
  • Co ważne, należy wskazać jakie środki techniczne i organizacyjne podjęto aby chronić zbiór danych osobowych;
  • Informację co do ewentualnego przekazania danych osobowych do państwa trzeciego.

Ponadto, administrator danych jest obowiązany zgłaszać do GIODO każdą zmianę informacji w terminie 30 dni od daty zgłoszenia. Do zgłaszania zmian stosuje się odpowiednio tryb zgłaszania zbiorów, a więc tryb wyżej opisany.

Generalny Inspektor Danych Osobowych został ustawowo upoważniony do prowadzenia ogólnokrajowego, jawnego rejestru zbiorów danych. Co istotne, jako że rejestry są jawne, każdy ma prawo do wglądu do rejestru zawierającego jawne dane osobowe i jego przeglądania.

Zgłaszanie zbiorów, zwolnienia ustawowe.

Inaczej ma się sytuacja w przypadku zbiorów danych, których administratorzy są zwolnieni z obowiązku zgłaszania rejestrów. Są to na przykład zbiory zawierające informacje niejawne, lub przetwarzane przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym; dotyczące osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzane na potrzeby tego kościoła lub związku wyznaniowego, lub inne wymienione bezpośrednio w ustawie. Zbiory te są niejawne.

Warto w tym momencie zwrócić uwagę na to, że GIODO może, w formie decyzji, odmówić rejestracji zbioru danych. Taka sytuacja ma miejsce, gdy nie zostały spełnione przesłanki formalne dla rejestracji, przetwarzanie danych naruszałoby inne przepisy ustawy (np. zgłoszenie odbywałoby się bez wyrażenia zgody na przetwarzanie danych osoby, której one dotyczą), oraz gdy urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych.

Zaznaczyć należy, że administrator danych może rozpocząć ich przetwarzanie po zgłoszeniu zbioru (a więc nie wymaga się wydania decyzji o zarejestrowaniu lub decyzji odmownej), natomiast jeżeli mowa jest o administratorze danych takich jak pochodzenie rasowe, etniczne, światopogląd, przekonania religijne lub preferencje seksualne, może on rozpocząć przetwarzanie danych po uzyskaniu wpisu do rejestru.

Podsumowując, istotne jest aby zwrócić uwagę na rodzaj danych osobowych, które podlegają zgłoszeniu do GIODO, jak też dopełnienie prawem wymaganych kwestii formalnych takiego zgłoszenia i uczynienie zadość innym przepisom ustawy.

Prawnicy Kancelarii MHS prowadzą w imieniu Klientów sprawy związane ze zgłaszaniem zbiorów danych osobowych do GIODO, pomagają w kompletowaniu zgłoszeń, a także, w szczególności reprezentują Klientów na etapie postępowania przed organem administracji.