Czas na StartUp!

Prowadzisz własny biznes i potrzebujesz jednoznacznych odpowiedzi? Zapraszamy do lektury bloga i kontaktu z nami!

Kto nie musi zgłaszać zbioru danych do GIODO?

stamp-143799_640

 

O GIODO pisałyśmy już tutaj. Wspomniane wówczas zostało, że administratorzy danych osobowych zobowiązani są do zgłaszania zbiorów danych osobowych do GIODO. Ustawa o ochronie danych osobowych w art. 43 przewiduje kilka wyjątków, które pozwalają wyłączyć ten obowiązek. Katalog zwolnień został sprecyzowany w uwzględnieniu interesu publicznego lub niewielkiego stopnia zagrożenia praw i wolności osób, których dane przetwarzane są w określonych kategoriach zbiorów danych.

 

Informacje strategiczne

Ze zgłaszania zbioru danych osobowych zwolnieni są administratorzy danych zawierających informacje niejawne. Ma to uniemożliwić dostęp niepowołanych osób do ważnych danych. Definicja informacji niejawnej została ujęta w  ustawie z dnia 5 sierpnia 2010 roku o ochronie informacji niejawnych (Dz.U. Nr 182, poz. 1228).

 

Informacje wykorzystywane przez organy

Nadto, z obowiązku rejestracji zostały wyłączone również zbiory zawierające informacje uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności. Przepis ten odnosi się do zbiorów tworzonych przez takie organy jak Policja, Agencja Bezpieczeństwa Wewnętrznego czy Agencja Wywiadu.

Zgłoszeń nie muszą dokonywać administratorzy danych przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym. Pewne wątpliwości budzi, czy obowiązkowi rejestracyjnemu podlegają zbiory danych osób ukaranych za popełnienie wykroczenia w postępowaniu mandatowym prowadzone przez Straże Miejskie. Zgodnie ze stanowiskiem GIODO zbiory te nie podlegają jednak rejestracji. Co jednak ciekawe, obowiązkowi takiemu są poddane akta postępowania administracyjnego, o ile spełniają definicję zbioru danych. Zgłoszenie powinno zostać dokonane również w odniesieniu wszelkich ewidencji (np. ewidencja zarejestrowanych spraw).

Ze zwolnienia w przedmiocie zgłoszenia zbioru danych osobowych korzystają ponadto wszelkie zbiory tworzone przez Generalnego Inspektora Informacji Finansowej.

Podobnie wygląda sytuacja odnośnie danych przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym. Systemy te zapewniają dostęp do informacji dotyczących osób i przedmiotów w celu kontroli granicznej oraz innych kontroli policyjnych i celnych prowadzonych w ramach danego kraju, a także w celu wydawania wiz, dokumentów pobytowych i wykonywania przepisów prawnych o cudzoziemcach.

Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych przez właściwe organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej. Informacje te wymieniane są w celu wykrywania i ścigania sprawców przestępstw lub przestępstw skarbowych, zapobiegania przestępczości i jej zwalczania oraz przetwarzania informacji.

Kolejnym przykładem zwolnienia jest wyłączenie w stosunku do zbiorów danych tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego.

W celu sprawnego i prawidłowego wykonania tymczasowego aresztowania lub kary pozbawienia wolności, ustawodawca przewidział w tym zakresie zwolnienie z obowiązku zgłoszenia zbioru danych. Należy przy tym jednak zaznaczyć, iż zwolnieniem tym objęte są wyłącznie dane w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności. Inne zbiory danych dotyczące osób pozbawionych wolności będą podlegały zgłoszeniu zgodnie z przepisami ogólnymi.

 

Informacje dotyczące udziału w związkach wyznaniowych

Ustawodawca zwolnił z obowiązku rejestracji administratorów przetwarzających dane dotyczące osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego. W takiej sytuacji obowiązek rejestracji jednak występuje w przypadku, gdy:

- administrowane są dane osób niebędących członkami;

- prowadzona jest działalność inna niż statutowa (np. działalność gospodarcza);

- przetwarzanie danych osobowych będzie niezgodne z prawem wewnętrznym związku wyznaniowego;

- dane osobowe będą chronione w sposób niewłaściwy.

 

Informacje dotyczące świadczenia pracy i usług

Pracodawco! Teraz coś dla Ciebie! Z obowiązku zgłaszania zbiorów danych osobowych zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się. Pewne wątpliwości budziło, czy istnieje obowiązek zgłaszania zbiorów danych osobowych byłych pracowników, ale przyjmuje się w tym zakresie szerokie rozumienie pojęcia „w związku z zatrudnieniem”. Z tego względu należy przyjąć, iż zbiory takie również nie podlegają zgłoszeniu.

Ze zwolnienia korzystają również przedstawiciele tzw. wolnych zawodów. Z obowiązku rejestracji zwolnieni są administratorzy danych dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta.

 

Informacje związane z działalnością gospodarczą

Wyobraźmy sobie sytuację, że każdy dokument finansowy musiałby być uwzględniany w zbiorze danych a następnie zgłaszany do GIODO. Zgroza! Na szczęście z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej.

 

Pozostałe informacje

Zgłoszenia zbioru danych nie trzeba również dokonywać w odniesieniu do danych, które są powszechnie dostępne. Danymi „powszechnie dostępnymi” są  dane zawarte w zbiorze danych, z którymi nieograniczony krąg podmiotów może zapoznać się bez szczególnego nakładu sił i środków.

Nadto, z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego.

Niewielkie zagrożenie dla naruszenia prywatności osób fizycznych było również przyczyną zwolnienia administratorów danych z obowiązku zgłaszania zbioru danych w zakresie drobnych bieżących spraw życia codziennego. Dane w tym przypadku wykorzystywane są w sposób ograniczony, co uzasadnia małe ryzyko ich naruszenia.

Ostatnie zwolnienie z obowiązku rejestracji zbioru danych dotyczy danych przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych. Należy jednak zaznaczyć, iż jeżeli zbiór danych będzie zawierał dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także o innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym – obligatoryjnie będzie podlegał zgłoszeniu.

 

Podsumowanie

Brak obowiązku rejestracji zbioru danych w zakresie niektórych wyłączeń jest zapewne dla wielu tak oczywisty, że nie zastanawiali się nad samym powstaniem zbioru danych i ewentualną koniecznością jego rejestracji. W jakich zbiorach danych wykorzystywane są Wasze dane osobowe? Czy zbiory danych zostały zarejestrowane?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *