Skontaktuj się z nami tel: 537 447 347
GIODO

Kiedy zgłaszać bazy do GIODO

 

Na łamach tego artykułu postaram się przedstawić i wyjaśnić informacje dotyczące zgłaszania zbiorów danych osobowych do GIODO. Wiele osób prowadzących biznes i nie tylko słyszało coś na ten temat ale nie bardzo wie o co chodzi. Bazując na moim doświadczeniu jako ABI postaram się to trochę wyjaśnić.
Generalny Inspektorat Ochrony Danych Osobpowych (GIODO) wymaga by Administrator Bezpieczeństwa Informacji (ABI) zgłosił każdą bazę danych zawierającą dane osobowe. Należałoby w tym momencie zastanowić się co rozumiemy przez dane osobowe.

Dane osobowe:

W myśl ustawy za dane osobowe uważa się wszystkie informacje dotyczące osoby fizycznej, pozwalające na określenie tożsamości tej osoby bez zaangażowania znaczących środków. O ile numer telefonu czy adres bezsprzecznie jest daną osobową to należy się zastanowić nad adresem e-mail. Według prawników GIODO adres taki jest daną osobową. Można by tu dyskutować gdyż e-mail dajmy na to młTen adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. może być daną osobową, przecież nie istnieje łatwy sposób na określenie do kogo on należy. Sytuacja zmienia się diametralnie gdy mamy odczynienia z e-mailem Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript., w tym przypadku bardzo łatwo możemy określić do kogo należy i zidentyfikować taką osobę.

Kiedy nie musimy zgłaszać bazy do GIODO:


Art. 43. 1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
1) objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,
1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej,
3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej,
adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
9) powszechnie dostępnych,
10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
12) przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem danych wrażliwych
13) administrator danych który powołał administratora bezpieczeństwa informacji (ABI) chyba że przetwarza dane wrażliwe.

Jak zgłosić zbiór danych osobowych / ABI :


Ażeby zgłosić zbiór danych osobowych należy przygotować następujące dokumenty:

  • Wniosek rejestracyjny bazy / ABI do GIODO
  • Politykę bezpieczeństwa informacji
  • Instrukcję zarządzania systemem informatycznym

O ile pierwszy dokument można bez problemu wypełnić samodzielnie to następne dwa obejmują wszystkie zabezpieczenia oraz procedury dotyczące zabezpieczeń oraz dostępu do danych. Najlepiej jest to zlecić firmie która ma doświadczenie w tworzeniu dokumentów i procedur GIODO .
UWAGA: W przypadku gdy dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, należy każdy z zakresów zgłosić jako oddzielny zbiór przetwarzanych danych.
Administratorem bezpieczeństwa informacji (ABI) może być osoba, która:

  • ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
  • posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
  • nie była karana za umyślne przestępstwo.



ABI może powołać swoich zastępców pod warunkiem, że spełniają kryteria określone dla administratora bezpieczeństwa informacji.
Administrator danych jest zobligowany zgłosić do rejestracji w GIODO powołanie i odwołanie ABI w terminie 30 dni od dnia jego powołania lub odwołania.

Sklepy internetowe:


Zastanówmy się teraz nad bazami tworzonymi przez sklepy internetowe. Przecież w myśl punktu 8 (przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej) sklep taki powinien być zwolniony z konieczności rejestracji zbioru danych.
Otóż nic bardziej mylnego, właściciele sklepów internetowych są zobligowani do rejestracji baz danych gdyż dane pozyskane od klientów są wykorzystywanie nie tylko do wystawiania rachunków, ale również w celu dostarczenie towaru, marketingu itp
Oczywiście w przypadku powołania ABI nie ma wymogu rejestracji.

stat4u