Zgłoszenie zbioru danych osobowych do rejestracji GIODO

Zgodnie z art. 40 ustawy o ochronie danych osobowych, administrator danych osobowych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Ustawodawca przewidział pewne wyjątki od tej zasady, jednak w przypadku większości przedsiębiorców obowiązek ten powinien zostać wypełniony. Dlatego warto wiedzieć w jaki sposób można dokonać rejestracji.

W jakich sytuacjach musisz zgłosić zbiór danych do GIODO?

Podstawowa zasada jest taka: Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych” (art. 40 ustawy o ochronie danych osobowych). Są jednak trzy grupy wyjątków.

Grupa pierwsza

Art. 43 ust. 1 ustawy wskazuje sytuacje, w których administrator jest zwolniony z obowiązku rejestracji. Dotyczy to następujących danych:

  • dane zawierające informacje niejawne;
  • dane, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności;
  • dane przetwarzane przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym;
  • dane przetwarzane przez Generalnego Inspektora Informacji Finansowej;
  • dane przetwarzane przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;
  • dane przetwarzane przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej;
  • dane dotyczące osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzane na potrzeby tego kościoła lub związku wyznaniowego;
  • dane przetwarzane w związku z zatrudnieniem u administratora, świadczeniem mu usług na podstawie umów cywilnoprawnych, a także dotyczące osób zrzeszonych lub uczących się u administratora;
  • dane dotyczące osób korzystających z usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;
  • dane tworzone na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczące referendum ogólnokrajowego i referendum lokalnego;
  • dane dotyczące osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności;
  • dane przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
  • dane powszechnie dostępne;
  • dane przetwarzane w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;
  • dane przetwarzane w zakresie drobnych bieżących spraw życia codziennego;
  • dane przetwarzane w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających tzw. wrażliwe dane osobowe (określone w art. 27 ust. 1 ustawy).

Grupa druga

Druga grupa wyjątków dotyczy administratorów, którzy powołali w swojej firmie administratora bezpieczeństwa informacji (ABI). W takiej sytuacji, to ABI prowadzi rejestr zbiorów danych osobowych takiego administratora, a do GIODO należy zgłosić tylko zbiory zawierające dane osobowe wrażliwe (o których mowa w art. 27 ust. 1 ustawy).

Grupa trzecia

Trzecia grupa wyjątków, to sytuacje, w których mamy do czynienia z tzw. doraźnym zbiorem danych osobowych. Co to jest i jak z taki zbiorem postępować, wyjaśnimy w jednym z kolejnych artykułów.

W jaki sposób zgłosić zbiór do GIODO?

Zbiór danych osobowych najlepiej zgłosić do Generalnego Inspektora Ochrony Danych Osobowych wypełniając formularz dostępny pod adresem: https://egiodo.giodo.gov.pl/formular_ImporterExporter.dhtml?action=clean. Wypełniając wniosek należy stosować się do zawartych w nim wskazówek. Trzeba także pamiętać, żeby wypełnić wszystkie wymagane pola. Po wypełnieniu wniosku są cztery możliwości:

  1. podpisać wniosek certyfikatem kwalifikowanym i wysłać go w formie elektronicznej do Generalnego Inspektora Ochrony Danych Osobowych poprzez platformę e-GIODO;
  2. podpisać wniosek profilem zaufanym ePUAP i wysłać go w formie elektronicznej do Generalnego Inspektora Ochrony Danych Osobowych poprzez platformę e-GIODO.
  3. wydrukować wypełniony wniosek, podpisać (przez administratora będącego osobą fizyczną albo przez osobę upoważnioną do reprezentacji – w przypadku administratora będącego jednostką organizacyjną) i dostarczyć do biura GIODO w Warszawie osobiście lub za pomocą poczty (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa); w przypadku administratorów wpisanych do Krajowego Rejestru Sądowego, należy dołączyć odpis, z którego będzie wynikało, że wniosek podpisała osoba upoważniona do reprezentacji administratora;
  4. wysłać wniosek do Generalnego Inspektora Ochrony Danych Osobowych bez podpisywania, w formie elektronicznej, poprzez platformę e-GIODO, a następnie wydrukować wniosek, podpisać i złożyć w biurze GIODO zgodnie ze wskazówkami, o których napisałem w pkt 3 powyżej; jeżeli GIODO nie otrzyma wniosku w formie papierowej, podpisanego przez odpowiednią osobę, wezwie wnioskodawcę do uzupełnienia braków w trybie art. 64 kodeksu postępowania administracyjnego.

W przypadku składania wniosku w formie papierowej, może on zostać podpisany przez pełnomocnika. Do wniosku należy wtedy dołączyć pełnomocnictwo wraz z dowodem uiszczenia opłaty skarbowej w wysokości 17 zł.

Kiedy zgłosić zbiór danych do rejestracji?

Na koniec przestroga – nie warto zwlekać z rejestracją zbioru danych osobowych, gdyż zgodnie z art. 46 ustawy o ochronie danych osobowych, administrator może rozpocząć przetwarzanie danych osobowych dopiero po zgłoszeniu zbioru do GIODO. No chyba, że zachodzi jeden z przypadków wymienionych na początku tego artykułu (zwolnienia z rejestracji określone w art. 43 ust. 1 ustawy, administrator powołał ABI, albo mamy do czynienia z tzw. doraźnym zbiorem danych osobowych). Jeżeli jednak zwolnienia nie ma, niedopełnienie obowiązku rejestracji zbioru danych osobowych stanowi przestępstwo zagrożone karą nawet pozbawienia wolności do roku (art. 54 ustawy).

Tomasz Korolko

Partner

Podobne posty

28 marca 2023

Inspektor ochrony danych osobowcyh

RODO przewiduje funkcję inspektora ochrony danych, którego administrator w określonych sytuacjach powinien powołać. Wyjaśniam kiedy jest to obowiązkowe oraz kogo i jak powołać na to stanowisko, a także jakie stoją przed nim zadania.

Czytaj więcej

Back To Top