Kiedy firmy mają obowiązek rejestrować bazy danych osobowych

,

prawnik, absolwent Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie, były zastępca burmistrza dzielnicy Warszawa-Wola

Zgłoszenie zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych to obowiązek administratora danych, czyli podmiotu decydującego o celach i środkach przetwarzania danych osobowych. Co do zasady obowiązku zgłoszenia powinni dopełnić wszyscy administratorzy, choć ustawa o ochronie danych osobowych ustanawia pewne wyjątki od tej zasady. Nie trzeba na przykład rejestrować zbiorów tworzonych w związku z zatrudnieniem (a więc zarówno kandydatów do pracy, jak i pracowników) czy w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Obowiązkowi temu nie podlegają również zbiory prowadzone w zakresie drobnych, bieżących spraw życia codziennego, dlatego nie trzeba rejestrować zbiorów danych powstałych w związku z prowadzeniem księgi wejść do budynków.

Zgłoszenie zbioru do rejestracji jest bezpłatne i coraz łatwiejsze, zwłaszcza od tego roku, gdy z naszej inicjatywy uproszczony został obowiązujący formularz zgłoszeniowy.

Formularz zgłoszenia można przesyłać listownie albo elektronicznie. Jest to możliwe nawet wówczas, gdy przedsiębiorca nie ma bezpiecznego podpisu elektronicznego, jednak wtedy musi on przesłać zgłoszenie w formie papierowej uzupełnione o podpis.

Zgłaszając zbiór do rejestracji, warto skorzystać z działającej od połowy 2006 roku platformy e-GIODO, która znacznie to ułatwia. Dużym udogodnieniem jest zwłaszcza specjalny program komputerowy wspomagający prawidłowe wypełnienie formularza zgłoszenia zbioru danych osobowych do rejestracji, który jednocześnie minimalizuje ryzyko popełnienia błędów. Program wymusza bowiem podanie wszystkich informacji, które zgodnie z przepisami powinny znaleźć się we wniosku zgłoszenia. Ponadto – dzięki systemowi podpowiedzi i komunikatów o popełnionych błędach – ogranicza możliwość podania informacji nieprecyzyjnych lub sprzecznych. Na naszej stronie internetowej – www.giodo.gov.pl – wystarczy wybrać zakładkę Rejestracja, a następnie platforma e-GIODO, by móc znaleźć odnośnik Wspomaganie wypełniania wniosku i skorzystać z powyższych udogodnień.

Jednym z najczęściej popełnianych błędów jest niezamieszczenie podpisu pod treścią zgłoszenia. Często dochodzi też do złożenia nieczytelnego podpisu, który nie jest opatrzony pieczęcią imienną. Zdarza się również, że trafiają do nas podpisane zgłoszenia wysłane przez pełnomocnika, jednak w załącznikach brakuje stosownego pełnomocnictwa.

Nieprawidłowe jest także zgłaszanie na jednym formularzu dwóch lub więcej zbiorów danych. Tymczasem zgłoszenie powinno dotyczyć tylko jednego zbioru. Administrator danych, dokonując zgłoszenia zbioru danych do rejestracji, powinien mieć na uwadze, iż poszczególne zbiory danych osobowych różnią się między sobą m.in. zakresem przetwarzanych danych, celem przetwarzania danych oraz podstawą prawną prowadzenia zbioru. Przykładem takiego błędu może być zgłoszenie na jednym formularzu zbioru danych klientów, prowadzonego w celu realizacji umowy, oraz zbioru danych potencjalnych klientów, który prowadzony jest w celu marketingowym.

Zdarzają się także zgłoszenia zbiorów danych przez podmioty, które nie są administratorami danych, lecz przetwarzają te dane na podstawie umowy powierzenia zawartej z administratorem. Tymczasem obowiązek zgłoszenia zbioru do rejestracji spoczywa wyłącznie na administratorze danych. Przykładem może być zgłoszenie przez agencję nieruchomości zbioru danych osób, które za jej pośrednictwem zawarły umowę kredytową, podczas gdy administratorem tych danych jest bank, zaś agencja nieruchomości jest podmiotem, któremu bank powierzył przetwarzanie danych.

Podmiot, który – mimo ciążącego na nim obowiązku w tym zakresie – nie zgłosi zbioru Generalnemu Inspektorowi Ochrony Danych Osobowych do rejestracji, naraża się na odpowiedzialność karną. Ustawa o ochronie danych osobowych za niedopełnienie tego obowiązku przewiduje grzywnę, karę ograniczenia albo pozbawienia wolności do roku. Postępowanie w tym zakresie jest wszczynane przez organy ścigania (prokuratura, policja) z urzędu, po uzyskaniu przez nie wiarygodnej informacji na temat popełnienia takiego przestępstwa. Tak więc postępowanie przeciwko niewypełniającemu ustawowych obowiązków przedsiębiorcy może zostać zainicjowane nie tylko po przekazaniu odpowiednich informacji przez Generalnego Inspektora Ochrony Danych Osobowych, ale także na skutek interwencji każdego obywatela.

Generalny Inspektor Ochrony Danych Osobowych odmawia rejestracji zgłoszonego zbioru danych jeżeli: zgłoszenie nie zawiera wszystkich wymaganych informacji, przetwarzanie danych naruszałoby określone w ustawie o ochronie danych osobowych zasady, a ponadto gdy urządzenia i systemy informatyczne służące do przetwarzania zbioru danych nie spełniają podstawowych warunków technicznych i organizacyjnych.

Konsekwencją odmowy rejestracji zbioru jest wydanie przez Generalnego Inspektora nakazu ograniczenia przetwarzania danych wyłącznie do ich przechowywania lub zastosowanie innych środków, włącznie z usunięciem danych osobowych. Zatem skutki odmowy rejestracji mogą mieć negatywny wpływ na całą działalność wnioskodawcy, często wręcz uniemożliwiając jej kontynuowanie. Wnioskodawca ma jednak możliwość ponownego zgłoszenia zbioru do rejestracji po usunięciu uchybień, z tym że przetwarzanie danych w tym zbiorze może rozpocząć dopiero po jego zarejestrowaniu.

Tu trzeba rozróżnić dwie sytuacje. Jedna to ta, gdy przetwarzane będą tzw. dane zwykłe, i druga, gdy w grę wchodzić będzie przetwarzanie danych tzw. szczególnie chronionych.

W pierwszym przypadku wystarczy, że podmioty zobowiązane dopełnią tylko obowiązku zgłoszenia zbioru do rejestracji przed rozpoczęciem przetwarzania danych, czyli przed pierwszą czynnością, jaką administrator może wykonać na danych, tj. przed pozyskaniem pierwszych danych do zbioru. Zgodnie bowiem z ustawą o ochronie danych osobowych administrator może rozpocząć przetwarzanie danych w zbiorze po zgłoszeniu go do rejestracji.

Jednak gdy administrator danych osobowych zamierza przetwarzać dane szczególnie chronione, tj. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, to zbieranie tego typu danych, może rozpocząć dopiero po zarejestrowaniu zbioru, chyba że ustawa zwalnia go z tego obowiązku.

Zgłoszenie zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych powinno zostać podpisane przez administratora danych bądź upoważnioną przez niego osobę. Jeżeli w imieniu administratora zbiór zgłasza osoba upoważniona, to powinna załączyć do zgłoszenia oryginał stosownego pełnomocnictwa. Należy pamiętać, że pełnomocnictwo podlega opłacie skarbowej (obecnie to 17 zł), a dowód uiszczenia opłaty powinien zostać załączony do pełnomocnictwa.

Ustawa o ochronie danych osobowych enumeratywnie wymienia sytuacje, w których administratorzy danych osobowych zwolnieni są z obowiązku rejestracji. Wśród nich została wymieniona także ta sytuacja. Przedsiębiorcy nie muszą rejestrować zbiorów danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się.

Te zbiory tak jak każde inne, co do zasady, podlegają obowiązkowi zgłoszenia do rejestracji, chyba że ustawa zwalnia je z takiego obowiązku. Rozwój nowoczesnych technologii doprowadził do powstania wielu nowych problemów związanych z ochroną prywatności i danych osobowych. Już sam fakt, że ostatnio coraz więcej informacji zaczynamy traktować jako dane osobowe, czyli dane dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby, powoduje, że w niektórych przypadkach na nowo musimy przeanalizować obowiązki związane z rejestracją. A sprawa nie jest taka prosta, bo na przykład uwzględniając specyfikę Internetu, który zapewnia jego użytkownikom dużą anonimowość, wypracować trzeba ostateczne stanowisko co do traktowania informacji wprowadzanych przez samych użytkowników forów i portali internetowych. Dostawca usługi w zasadzie nie ma bowiem możliwości zweryfikowania prawdziwości danych, które podają internauci. Jednak ostateczne rozstrzygnięcie wielu kwestii dopiero przed nami.