Co, jak i kiedy zgłaszać do GIODO?

Przeczytaj także: Rejestracja zbiorów danych osobowych (procedura, wyłączenia, odpowiedzialność)

Co, jak i kiedy zgłaszać do GIODO – poradnik

Razem z ekspertem prawnym w skrócie przypominamy o najważniejszych obowiązkach przedsiębiorców wobec GIODO.

1. Administrator Bezpieczeństwa Informacji

Pierwszą możliwością – nie obowiązkiem – jest powołanie Administratora Bezpieczeństwa Informacji (ABI) przez Administratora Danych Osobowych (ADO) – podmiot lub instytucję decydującą o celach i środkach przetwarzania wiadomości o osobach. W przypadku spółek funkcję ADO pełni sama spółka, nie jej organy. Natomiast w wypadku działalności gospodarczej ADO to właściciel firmy. Nawet jeśli faktyczne operowanie danymi o osobach powierza się firmie zewnętrznej czy pracownikowi, są oni jedynie jednostkami administrującymi danymi osobowymi. Organem decyzyjnym i odpowiedzialnym za prawidłowe przetwarzanie danych osobowych wciąż jest ADO. Przysługuje mu jednak prawo wyznaczenia ABI.

– Może nim być zarówno podmiot wewnętrzny (wspólnik, pracownik), jak i zewnętrzny. Pierwsze rozwiązanie jest praktyką bardziej powszechną, gdyż łatwiej wtedy ukształtować podległość ABI wobec ADO, którą zakładają przepisy – objaśnia prawnik i dodaje: – Ważne, by zgodnie z ustawą była to osoba niekarana za umyślne przestępstwo, mająca pełną zdolność do czynności prawnych, korzystająca z pełni praw publicznych oraz posiadająca odpowiednią wiedzę w zakresie ochrony danych osobowych.

ABI powierza się bowiem sprawdzanie zgodności przetwarzania danych osobowych z przepisami, tworzenie/aktualizowanie dokumentów, sporządzanie sprawozdań dla ADO oraz prowadzenie szkoleń pracowników z zakresu ochrony danych osobowych. Jednocześnie na podstawie art. 43 ust. 1a Ochr.Dan.Os.U., powołując ABI, jesteśmy zwolnieni z obowiązku zgłaszania zbiorów danych osobowych do GIODO (oprócz tzw. danych wrażliwych opisanych w art. 27 ust. 1 rzeczonej ustawy). Wymagane jest tylko zgłoszenie ABI do rejestru GIODO do 30 dni od jego powołania (podobnie w przypadku odwołania). Natomiast do 14 dni zawiadamiamy o zmianach informacji podanych na formularzu zgłoszenia ABI.

2. Zbiory danych osobowych i ich modyfikacje

Przy braku ABI to ADO ma obowiązek zgłosić zbiór danych osobowych do rejestru GIODO (z wyjątkiem przypadków opisanych w art. 43 ust. 1 i 1a, np. zbiory doraźne tworzone w celu wystawiania faktur, zbiory danych pracowników). Dlatego dysponując danymi typu nazwiska, adresy, e-maile, numery PESEL czy daty urodzenia, gromadząc je, utrwalając, przechowując, udostępniając, usuwając czy wykonując jakiekolwiek inne operacje, winniśmy je zgłosić w postaci zbiorów. Tak, zbiorów – nie zbioru, gdyż nawet te same dane wykorzystywane w różnych celach, np. w celu wysyłania newslettera i prowadzenia statystyk, to już dwa osobne zbiory. Przedmiotem zgłoszenia nie jest też lista danych w zbiorze, ale jego usystematyzowany opis.

– Zgłaszając zbiór, wskazujemy, co wchodzi w jego zakres, jaka jest podstawa pozyskania tych danych osobowych, w jakim celu są one przetwarzane, jakim podmiotom je powierzamy i udostępniamy oraz jakimi środkami je chronimy – wyjaśnia ekspert.

Ponadto o każdej zmianie informacji podanej w formularzu należy zawiadomić GIODO w terminie do 30 dni od jej wprowadzenia.

– Najczęściej są to zmiany danych ADO, nazwy zbioru, zawartości, zakresu i celu przetwarzania danych oraz podmiotów, którym je powierzono. Zgłaszanie ich jest konieczne, gdyż zapewnia to aktualność rejestru danych osobowych, który może spełniać swoje funkcje tylko wtedy, gdy zawiera wyłącznie informacje zgodne ze stanem rzeczywistym – stwierdza radca prawny.

3. Polityka bezpieczeństwa i instrukcja zarządzania

W myśl art. 46 Ochr.Dan.Os.U. ADO może rozpocząć przetwarzanie danych osobowych po zgłoszeniu zbioru, a w przypadku danych sensywnych (takich jak np. pochodzenie rasowe, etniczne, poglądy polityczne, dane o stanie zdrowia) – po jego zarejestrowaniu. Przed rozpoczęciem działalności konieczne jest również posiadanie, wdrożenie i utrzymywanie dokumentacji wewnętrznej, takiej jak Polityka Bezpieczeństwa Informacji i Instrukcja Zarządzania Systemem Informatycznym. Nadzór nad ich opracowaniem i aktualizowaniem powierza się ABI, a przy jego braku – pozostawia ADO.

– Oczywiście tych dokumentów nie zgłasza się do GIODO. Jednak w przypadku kontroli ze strony tego organu, ADO powinien je okazać – uczula prawnik.

Dokumenty te określają sposób zarządzania, ochrony i dystrybucji danych osobowych w przedsiębiorstwie. Zawierają procedury postępowania dla właścicieli i pracowników oraz instrukcje działania w razie wycieku danych. Muszą więc wynikać z głębokiej analizy specyfiki firmy i być zgodne z prawdą. Nawet jeśli w obiegu funkcjonują wzory do uzupełnienia, pewnych informacji (wymagane są np.: wykaz budynków/pomieszczeń, gdzie przetwarza się dane osobowe, lista programów do operowania nimi, opis sposobu ich przepływu między systemami, zabezpieczeń technicznych i organizacyjnych) nie da się zamknąć w szablonach.

Dopełnianie formalności – fachowa pomoc prawna

Jeśli nie czujemy się na siłach, by samemu zmierzyć się z formalnościami w GIODO, oczywiście możemy skorzystać z porad doświadczonych w tej dziedzinie prawników.

– Obowiązki nałożone ustawą o ochronie danych osobowych często są niezrozumiałe dla przedsiębiorców. Myślą oni, że muszą zgłosić stronę www do GIODO, a nie poszczególne zbiory. Mylą Politykę Bezpieczeństwa Informacji z Polityką Prywatności obecną w ich serwisie. Mają trudności z samodzielnym przygotowaniem i wdrożeniem dokumentacji z zakresu ochrony danych osobowych, przeszkoleniem personelu i odpowiednim zabezpieczeniem danych osobowych czy wręcz identyfikacją ilości zbiorów – przyznaje M. Strzelec-Gwóźdź z GP Kancelarii Radców Prawnych.

Nie jest to rzecz jasna powód do kompleksów. Nikt z nas nie jest alfą i omegą, dlatego mamy prawo pytać i szukać fachowego wsparcia. Eksperci przygotują odpowiednią dla naszej firmy dokumentację z zakresu ochrony danych osobowych, wskażą ewentualne nieprawidłowości i sposoby ich eliminacji oraz będą reprezentować nas w trakcie zgłaszania zbiorów do GIODO lub podczas jego kontroli. A kiedy w takim razie możemy czuć się przysłowiowo „bezpiecznie”?

– Już sam moment złożenia wniosku jest równoznaczny z wywiązaniem się z ustawowych obowiązków. Natomiast jego publikację na platformie e-GIODO możemy uznać za jednoznaczne potwierdzenie naszego zgłoszenia – konkluduje prawnik.

Miłosława Strzelec-Gwóźdź