Rejestracja zbiorów

Pomoc w rejestracji zbioru danych osobowych w rejestrze GIODO

Obowiązek zgłoszenia zbioru danych osobowych do rejestru Generalnego Inspektora Ochrony Danych Osobowych (GIODO) wynika z art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Obowiązek zgłoszenia zbioru do rejestracji GIODO ciąży na administratorze danych, czyli podmiocie decydującym o celach i środkach przetwarzania danych osobowych. Status administratora danych może przysługiwać zarówno podmiotom publicznym, jak i prywatnym. Administratorem danych może być organ państwowy, organ samorządu terytorialnego, państwowa i komunalna jednostka organizacyjna, a także podmiot niepubliczny realizujący zadania publiczne, osoba fizyczna, osoba prawna oraz jednostka organizacyjna niebędąca osobą prawną, jeżeli przetwarza dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

Czy zbiór danych wymaga obowiązkowej rejestracji wynika z art. 43 ustawy o ochronie danych osobowych. Czy zbiór wymaga rejestracji  można sprawdzić wypełniając test on-line: 

Zgłoszenia zbioru do rejestracji należy dokonać przed rozpoczęciem przetwarzania danych, czyli przed pierwszą czynnością, jaką administrator może wykonać na danych, tj. przed pozyskaniem pierwszych danych do zbioru. Zgodnie bowiem z art. 46 ust. 1 ustawy o ochronie danych osobowych, administrator danych może rozpocząć ich przetwarzanie w zbiorze po zgłoszeniu tego zbioru do rejestracji GIODO.

W ramach pomocy przy rejestracji zbioru, MEMEX realizuje niezbędne czynności gwarantujące spełnienie wymogów formalno-prawnych do których zalicza się:

  • audyt bezpieczeństwa informacji
  • opracuje zalecenie audytorskie pod kątem dostosowania procesu przetwarzania danych osobowych wymogów ustawowych
  • opracowanie niezbędnej dokumentacji rejestracyjnej związanej z ochroną danych osobowych (w tym Politykę bezpieczeństwa),
  • wdrożenie  w firmie funkcji Administratora Bezpieczeństwa Informacji (ABI),
  • szkolenie  pracowników w zakresie ochrony danych osobowych,
  • opracowanie zgłoszenia rejestracyjnego do GIODO.

Jednak gdy administrator danych osobowych zamierza przetwarzać tzw. dane szczególnie chronione, wskazane w art. 27 ustawy, tj. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (…), może rozpocząć dopiero po zarejestrowaniu zbioru.

Procedura rejestracji nie jest skomplikowana, jednak zanim administrator danych dokona zgłoszenia rejestracyjnego, musi spełnić szereg wymogów przewidzianych w ustawie o ochronie danych osobowych m. in.:

  • posiadać podstawę prawną do przetwarzania danych osobowych (art. 23 ust. pkt. od 1 do 5, lub art. 27 ust. 2),
  • zabezpieczyć dane osobowe zgodnie z wymogami art. 36-39 ustawy o ochronie danych osobowych, a więc zadbać o to, by zostały wdrożone odpowiednie (adekwatne do zagrożeń) środki techniczne
  • stosować oprogramowanie, które spełnia wymogi rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dn. 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
  • zawrzeć stosowne umowy powierzenia przetwarzania danych z podmiotami, z którymi administrator danych współpracuje powierzając im swoje dane osobowe (art. 31 uodo),