Dane Osobowe - GIODO w ogniu pytań!

Artykuł ten jest podyktowany popularnością pytania „A tak właściwie, to po co mi to GIODO?”. No właśnie po co? Brak zgłoszenia zbiorów baz danych w rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) powoduje, że nie figuruję w rejestrze, a tym samym nie narażam się na kontrolę – tak myśli przeciętny właściciel sklepu lub serwisu internetowego. Muszę uważać, żeby w regulaminie nie było klauzul niedozwolonych oraz spełnić wszystkie obowiązki informacyjne wynikające z ustawy o prawach konsumenta, a dane osobowe klientów? Przecież o tym nikt nie ma pojęcia!

Dlaczego warto zgłaszać zbiory danych osobowych w GIODO oraz jakie jest są najczęstsze błędne wyobrażenia na temat GIODO, postaramy się wyjaśnić w pytaniach i odpowiedziach.

Pytanie nr 1
Czy zgłoszenie w GIODO jest obowiązkiem? Czy musimy to zrobić?

Odpowiedź. Zgłoszenie w GIODO jest obowiązkowe. Obowiązek ten wynika bezpośrednio z ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Oczywiście istnieje alternatywa polegająca na zgłoszeniu do rejestru prowadzonego przez GIODO Administratora Bezpieczeństwa Informacji.

Pytanie nr 2
Zgłaszając się do GIODO będę świetnym celem do skontrolowania! Czy zgłoszenie nie powoduje wystawienia się na strzał?!

Odpowiedź. Nie ma mowy o żadnym wystawianiu się na strzał. Zgłoszenie w GIODO to obowiązek i tylko przedsiębiorcy, którzy nie uregulowali kwestii dotyczącej ochrony danych osobowych mogą się obawiać kontroli.

Pytanie nr 3
Czy powołanie Administratora Bezpieczeństwa Informacji jest obowiązkowe?

Odpowiedź. Nie, powołanie Administratora Bezpieczeństwa Informacji (dalej: ABI) nie jest obowiązkowe. Nowelizacja ustawy o ochronie danych osobowych z dnia 1 stycznia 2015 r. daje przedsiębiorcy wybór. Jeżeli powołasz ABI nie musisz zgłaszać zbiorów danych w GIODO. Jednocześnie należy pamiętać, iż zgłoszenie ABI polega na zgłoszeniu konkretnej osoby fizycznej w rejestrze GIODO. Osoba pełniąca funkcję ABI jest razem z Administratorem Danych Osobowych współodpowiedzialna za przestrzegania danych osobowych.

Pytanie nr 4
Jak zgłoszę Administratora Bezpieczeństwa Informacji to nie muszę zgłaszać zbiorów w GIODO?

Odpowiedź. Tak. Natomiast osoba pełniąca funkcję Administratora Bezpieczeństwa Informacji musi zostać zgłoszona w GIODO.

Pytanie nr 5
My jesteśmy małą firmą nie mamy pieniędzy do wdrożenia procedur ochrony danych osobowych!?

Odpowiedź. Zgłoszenie w GIODO nie musi wiązać z kosztownymi inwestycjami w system ochronny. Zgłoszenie w GIODO to przede wszystkim potwierdzenie przez przedsiębiorcę znajomości przepisów o ochronie danych osobowych. Przedsiębiorca świadomy ochrony danych osobowych wprowadzi procedury ochrony danych osobowych, natomiast nie muszą się one wiązać z uciążliwymi kosztami po jego stronie. Chodzi przede wszystkim o procedury organizacyjne np. poinformowanie wszystkich pracowników o obowiązku ochrony danych osobowych oraz procedury informatyczne np. określenie sposobu tworzenia haseł dostępu do systemu informatycznego za pośrednictwem którego są przetwarzane dane osobowe itd.

Pytanie nr 6
Mam zgłaszać konkretne dane klientów? Przecież to sprawi, że codziennie będę zmuszony do aktualizacji zbioru!

Odpowiedź. Do GIODO nie są zgłaszane konkretne dane osobowe np. Jan Kowalski. Do GIODO są zgłaszane wyłącznie kategorie danych osobowych, które będą zbierane przez przedsiębiorcę np. imię i nazwisko, adres zamieszania itd.

Pytanie nr 7
Kiedy muszę zgłosić zbiór do GIODO?

Odpowiedź. Zgłoszenia zbioru do rejestracji należy dokonać́ przed rozpoczęciem przetwarzania danych, czyli przed pierwszą czynnością̨, jaką administrator może wykonać na danych, tj. przed pozyskaniem pierwszych danych do zbioru.

Pytanie 8
A co jak nie zgłoszę? Co mi grozi za brak zgłoszenia?

Odpowiedź. Brak zgłoszenia wiąże się zarówno z odpowiedzialnością karną, jak i finansową. Na odpowiedzialność karną będzie narażony ten, kto administrując zbiorem danych lub będąc zobowiązanym do ochrony danych osobowych, udostępni je lub umożliwi do nich dostęp osobom nieupoważnionym, sankcją jest kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2

Pytanie nr 9
Co oprócz wniosków do GIODO muszę stworzyć jeszcze jakieś dokumenty?

Odpowiedź. Tak. Oprócz wniosków o rejestrację zbiorów danych osobowych. Każdy przedsiębiorca przetwarzający dane osobowe musi wdrożyć niezbędne dokumenty. Chodzi przede wszystkim o politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym. Oba wspomniane wyżej dokumenty mają charakter wewnętrzny, co oznacza, że ich upublicznienie naraża przedsiębiorcę na poważną szkodę. Z dokumentów tych wynikają procedury ochrony danych osobowych.