Artykuł ten jest podyktowany popularnością pytania „A tak właściwie, to po co mi to GIODO?”. No właśnie po co? Brak zgłoszenia zbiorów baz danych w rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) powoduje, że nie figuruję w rejestrze, a tym samym nie narażam się na kontrolę – tak myśli przeciętny właściciel sklepu lub serwisu internetowego. Muszę uważać, żeby w regulaminie nie było klauzul niedozwolonych oraz spełnić wszystkie obowiązki informacyjne wynikające z ustawy o prawach konsumenta, a dane osobowe klientów? Przecież o tym nikt nie ma pojęcia!
Artykuł ten jest podyktowany popularnością pytania „A tak właściwie, to po co mi to GIODO?”. No właśnie po co? Brak zgłoszenia zbiorów baz danych w rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) powoduje, że nie figuruję w rejestrze, a tym samym nie narażam się na kontrolę – tak myśli przeciętny właściciel sklepu lub serwisu internetowego. Muszę uważać, żeby w regulaminie nie było klauzul niedozwolonych oraz spełnić wszystkie obowiązki informacyjne wynikające z ustawy o prawach konsumenta, a dane osobowe klientów? Przecież o tym nikt nie ma pojęcia!
Dlaczego warto zgłaszać zbiory danych osobowych w GIODO oraz jakie jest są najczęstsze błędne wyobrażenia na temat GIODO, postaramy się wyjaśnić w pytaniach i odpowiedziach.
Odpowiedź. Zgłoszenie w GIODO jest obowiązkowe. Obowiązek ten wynika bezpośrednio z ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Oczywiście istnieje alternatywa polegająca na zgłoszeniu do rejestru prowadzonego przez GIODO Administratora Bezpieczeństwa Informacji.
Odpowiedź. Nie ma mowy o żadnym wystawianiu się na strzał. Zgłoszenie w GIODO to obowiązek i tylko przedsiębiorcy, którzy nie uregulowali kwestii dotyczącej ochrony danych osobowych mogą się obawiać kontroli.
Odpowiedź. Nie, powołanie Administratora Bezpieczeństwa Informacji (dalej: ABI) nie jest obowiązkowe. Nowelizacja ustawy o ochronie danych osobowych z dnia 1 stycznia 2015 r. daje przedsiębiorcy wybór. Jeżeli powołasz ABI nie musisz zgłaszać zbiorów danych w GIODO. Jednocześnie należy pamiętać, iż zgłoszenie ABI polega na zgłoszeniu konkretnej osoby fizycznej w rejestrze GIODO. Osoba pełniąca funkcję ABI jest razem z Administratorem Danych Osobowych współodpowiedzialna za przestrzegania danych osobowych.
Odpowiedź. Tak. Natomiast osoba pełniąca funkcję Administratora Bezpieczeństwa Informacji musi zostać zgłoszona w GIODO.
Odpowiedź. Zgłoszenie w GIODO nie musi wiązać z kosztownymi inwestycjami w system ochronny. Zgłoszenie w GIODO to przede wszystkim potwierdzenie przez przedsiębiorcę znajomości przepisów o ochronie danych osobowych. Przedsiębiorca świadomy ochrony danych osobowych wprowadzi procedury ochrony danych osobowych, natomiast nie muszą się one wiązać z uciążliwymi kosztami po jego stronie. Chodzi przede wszystkim o procedury organizacyjne np. poinformowanie wszystkich pracowników o obowiązku ochrony danych osobowych oraz procedury informatyczne np. określenie sposobu tworzenia haseł dostępu do systemu informatycznego za pośrednictwem którego są przetwarzane dane osobowe itd.
Odpowiedź. Do GIODO nie są zgłaszane konkretne dane osobowe np. Jan Kowalski. Do GIODO są zgłaszane wyłącznie kategorie danych osobowych, które będą zbierane przez przedsiębiorcę np. imię i nazwisko, adres zamieszania itd.
Odpowiedź. Zgłoszenia zbioru do rejestracji należy dokonać́ przed rozpoczęciem przetwarzania danych, czyli przed pierwszą czynnością̨, jaką administrator może wykonać na danych, tj. przed pozyskaniem pierwszych danych do zbioru.
Odpowiedź. Brak zgłoszenia wiąże się zarówno z odpowiedzialnością karną, jak i finansową. Na odpowiedzialność karną będzie narażony ten, kto administrując zbiorem danych lub będąc zobowiązanym do ochrony danych osobowych, udostępni je lub umożliwi do nich dostęp osobom nieupoważnionym, sankcją jest kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2
Odpowiedź. Tak. Oprócz wniosków o rejestrację zbiorów danych osobowych. Każdy przedsiębiorca przetwarzający dane osobowe musi wdrożyć niezbędne dokumenty. Chodzi przede wszystkim o politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym. Oba wspomniane wyżej dokumenty mają charakter wewnętrzny, co oznacza, że ich upublicznienie naraża przedsiębiorcę na poważną szkodę. Z dokumentów tych wynikają procedury ochrony danych osobowych.
Komentarze