2018.01.24

Zgłoszenie zbioru danych osobowych do rejestracji GIODO

Czy Twoja firma jest administratorem danych osobowych? Jeśli dane Twoich pracowników czy klientów stanowią zbiór danych, czyli mają uporządkowaną strukturę (np. w postaci arkusza w Excelu), odpowiedź brzmi „tak”. Z wyjątkiem kilku sytuacji – np. używania zbioru danych tylko do wystawienia faktur, rachunków lub prowadzenia sprawozdawczości finansowej – Twój zbiór danych musi zostać zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO). 

GIODO oddaje do dyspozycji administratora danych osobowych portal e-GIODO, za pomocą którego wypełnisz zgłoszenie online. Jeśli masz Profil Zaufany, zgłoszenie elektroniczne do GIODO wystarczy. Jeśli zgłaszasz zbiór, nie mając Profilu, możesz wypełnić formularz wniosku rejestracji w GIODO online. Dodatkowo jednak musisz wydrukować wypełniony wniosek do GIODO, opatrzyć podpisem i pieczątką oraz przekazać do GIODO tradycyjnie (pocztą lub osobiście). 

Składanie wniosku do GIODO krok po kroku 

Wejdź na stronę egiodo.giodo.gov.pl 

 

Wybierz i kliknij Rejestr Zbiorów Danych Osobowych 

 

Wybierz i kliknij Wspomaganie wypełniania wniosku 

Po przejściu do kolejnego kroku wyświetla się komunikat: 

Uwaga! W celu usprawnienia procesu rejestracji zgłoszenie wypełnione za pomocą tego programu wnioskodawca powinien wysłać drogą elektroniczną również wtedy, gdy nie dysponuje bezpiecznym podpisem elektronicznym. W takim przypadku należy dodatkowo opatrzyć wydruk zgłoszenia przesłanego elektronicznie podpisem i pieczątką wnioskodawcy, i przesłać pocztą lub złożyć w siedzibie Generalnego Inspektora Ochrony Danych Osobowych. 

Możesz go bezpiecznie zamknąć – Profil Zaufany traktowany jest jako bezpieczny podpis elektroniczny i nie musisz drukować i wysyłać wniosku. 

 

Zanim omówimy kolejne kroki, zwróć uwagę na trzy ułatwienia przy wypełnianiu wniosku: 

  1. Ikonka  zdjecie_20_32       pozwala uzyskać wskazówkę, jak      rozumieć dany punkt.
  2. Jeśli nie wypełnisz pól      obowiązkowych albo wypełnisz je niezgodnie z wymogami formalnymi,      aplikacja wyświetli odpowiedni komunikat. Co ważne, aplikacja nie      weryfikuje poprawności wprowadzonych danych!
  3. Na każdym etapie wypełniania wniosku      możesz go zapisać [przycisk: ZAPISZ WNIOSEK] jako plik .xml na Twoim      komputerze i przerwać wypełnianie. Po pewnym czasie możesz do niego wrócić      i wczytać zapisany wniosek [przycisk: WCZYTAJ WNIOSEK], po czym      kontynuować pracę. 

Wróćmy do wypełniania. 

Jeśli zgłaszasz zbiór danych osobowych do GIODO, wybierz pierwszą możliwość: 

zgłoszenie zbioru na podstawie art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.)

Jeśli jednak Twój zbiór danych zawiera następujące informacje (zgodnie z art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych): 

dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym

wybierz 

zgłoszenie zbioru, w którym będą przetwarzane dane określone w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.  

Możesz przejść do wypełnienia właściwego wniosku.

 

Na górze strony widzisz pasek z częściami wniosku (A-F) i kolejnymi ekranami (0-18). Numer ekranu, na którym aktualnie się znajdujesz, jest podświetlony. 

Część A. Wniosek

W punkcie 1 nadaj nazwę swojemu zbiorowi (np. kampanie_marketing) – krótką i jasno określającą, co zawiera zbiór. 

Część B. Charakterystyka administratora danych

Na czterech kolejnych ekranach podajesz dane swojej firmy. Ekrany 2 i 3 nie są obowiązkowe, sprawdź jednak, czy Cię nie dotyczą.

Punkt 2 służy do wskazania przedstawiciela w Rzeczypospolitej Polskiej, jeśli Twoja siedziba albo miejsce zamieszkania jest w państwie trzecim, tj. państwie nie należącym do Europejskiego Obszaru Gospodarczego

Punkt 3 wypełniasz, jeśli powierzasz innej firmie przetwarzanie danych. 

 

W punkcie B4 musisz wskazać, na jakiej podstawie prawnej przetwarzasz dane z Twojego zbioru. Jeśli są to np. dane klientów firmy bądź osób zapisanych do newslettera, wskaż opcję: zgoda osoby, której dane dotyczą, na przetwarzanie danych jej dotyczących. Jeśli przetwarzasz dane, bo wynika to z Twojego prawnego obowiązku, wybierz pasującą opcję – wówczas konieczne musisz podać podstawę prawną, czyli przynajmniej pełny tytuł aktu prawnego, który do przetwarzania danych Cię zobowiązuje. 

 

Część C. Cel przetwarzania danych, opis kategorii osób, których dane dotyczą, oraz zakres przetwarzania danych

W punktach 5 i 6 wskazujesz, po co przetwarzasz dane oraz wskazujesz, jakiej grupy osób dotyczą (np. klienci firmy). Na poniższych ekranach widać przykładowy sposób wypełnienia rubryk.

Punkty 7 i 8 to informacja o danych, które przetwarzasz. W punkcie 8 zaznaczasz wszystkie przetwarzane dane. Jeśli na liście brakuje danych, które przetwarzasz (np. adresy e-mail), wskazujesz je w punkcie 8. 

 

Punkt 9 służy do stwierdzenia, czy nie przetwarzasz danych, których przetwarzanie zgodnie z art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych jest zabronione, chyba że masz do tego podstawę prawną. 

 

Jeśli nie wskażesz żadnych z tych danych, przechodzisz bezpośrednio do punktu 11. 

 

Część D. Sposób zbierania oraz udostępniania danych
W punkcie 11 wskazujesz, skąd pochodzą dane – jeśli ze źródeł innych niż osoba, której te dane dotyczą, musisz wskazać te źródła.

Punkt 12 służy do wskazania, komu dane udostępniasz. Chodzi o podmioty inne niż upoważnione na podstawie prawa (np. policja lub prokuratura podczas prowadzenia czynności), np. o Twoich partnerów. 

 

Jeśli przekazujesz dane innym podmiotom, w punkcie 13 musisz wskazać, jakie to podmioty. Zwróć uwagę, że „odbiorcą danych” nie jest osoba, której dane dotyczą; osoba upoważnionej do przetwarzania danych; przedstawiciel lub podmiot wskazanych w punkcie 2 i 3 oraz wspominane wcześniej organy państwowe lub organy samorządu terytorialnego, jeśli prowadzą odpowiednie postępowanie. Liczba znaków w tym formularzu nie może przekraczać 3000. 

 

W punkcie 14 wskazujesz, czy przekazujesz dane do państwa trzeciego (czyli leżącego poza Europejskim Obszarem Gospodarczym). 

Część E. Opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 ustawy z dn. 29 sierpnia 1997 roku o ochronie danych osobowych

W punkcie 15 wskazujesz, jak przechowujesz dane. Urzędowa instrukcja jest dość skomplikowana, ale w uproszczeniu:

Podpunkt a) – zbiór prowadzisz centralnie, jeśli wszystkie dane masz w jednym pomieszczeniu lub budynku. Architektura rozproszona oznacza np. korzystanie z dwóch serwerów zlokalizowanych w dwóch budynkach.

Podpunkt c) – używasz „co najmniej jednego urządzenia informatycznego służącego do przetwarzania danych osobowych połączonego z siecią publiczną”, jeśli masz dostęp do internetu (a nie np. tylko do wewnętrznej sieci firmowej)

To, jak wypełnisz punkt 16 wiąże się z tym, co zostało podane w punkcie 15 – niektóre wymagania są obowiązkowe, jeśli korzystasz z systemu informatycznego do przechowywania danych. Jeśli nie wskażesz spełnienia tych wymogów, aplikacja poinformuje Cię o nieprawidłowości, wyświetlając na górze ekranu (nad treścią punktu) informację o wymogach.

Przykład: nie wskazano, że „prowadzona jest ewidencja osób upoważnionych do przedstawiania danych”, a jest to wymóg wobec administratora.

Oprócz środków bezpieczeństwa, które wymieniono w podpunktach a – e, możesz (jeśli je stosujesz) wskazać środki zastosowane w celu zabezpieczenia danych:          

  • Środki ochrony fizycznej danych
  • Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej             
  • Środki ochrony w ramach narzędzi programowych i baz danych
  • Środki organizacyjne

Do każdej grupy środków istnieje lista rozwijalna, z której wybierasz środki rzeczywiście stosowane w Twojej firmie.

Część F. Informacja o sposobie wypełnienia warunków technicznych i organizacyjnych, o których mowa w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024). W punkcie 17 wskazujesz, jaki poziom bezpieczeństwa stosujesz. Zwróć uwagę, że jeśli przetwarzasz dane w systemie informatycznym połączonym z internetem, musisz wybrać środki bezpieczeństwa na poziomie wysokim. Jeśli poziom zabezpieczeń jest niewłaściwy, aplikacja poda odpowiedni komunikat, wyświetlając na górze ekranu (nad treścią punktu) informację o wymogach.

W punkcie 18 podajesz adres poczty elektronicznej administratora danych, na który wysłana zostanie informacja o wpłynięciu do Generalnego Inspektora Ochrony Danych Osobowych zgłoszenia dotyczącego zbioru danych. Adres ten służyć będzie także jako login do konta, za pośrednictwem będzie można uzyskać informację o stanie załatwiania wniosku przesłanego drogą elektroniczną.

Do wniosku możesz załączyć dowolną liczbę załączników.

Kolejny krok to podpisanie wniosku Profilem Zaufanym.

Jeśli wybierzesz podpisanie wniosku Profilem Zaufanym, przejdziesz do swojego konta w ePUAP. Zaloguj się Profilem Zaufanym, a jeśli go nie masz – skorzystaj z logowania przez bankowość elektroniczną!

Po zalogowaniu uzyskasz podgląd wypełnionego wniosku. Konieczne będzie jego podpisanie (naciśnięcie odpowiedniego przycisku).  

Jeśli wybierzesz opcję „Podpisz”, wyświetli się wyskakujące okienko „Podpisywanie dokumentu”, z możliwością podpisania Profilem Zaufanym lub certyfikatem kwalifikowanym. 

 

Wybierając podpisanie dokumentu Profilem Zaufanym, sposób potwierdzenia będzie zależy od tego, czy wybrałeś autoryzację za pomocą hasła czy bankowości elektronicznej. 

Jeśli wybrałeś PKO Bank Polski, to w kolejnym okienku zostaniesz poproszony o podanie numeru klienta lub loginu: 

 

Następnie zobaczysz stronę z obrazkiem weryfikującym bezpieczeństwo (takim, który jako klient banku wcześniej przypisałeś do swojego procesu logowania) oraz poprosi o podanie hasła. Pamiętaj, że poprawne logowanie nastąpi wtedy, kiedy login, obrazek i hasło będą się zgadzały z tymi, które wcześniej ustawiłeś w banku: 

Po zalogowaniu się na konto iPKO pojawi się okienko o nazwie Autoryzacja dyspozycji z użyciem Profilu Zaufanego. Wprowadź otrzymany kod SMS w odpowiednie pole, usytuowane w prawym dolnym rogu okienka, a następnie potwierdź operację klikając przycisk „Wykonaj”. 

 

W tym momencie system przeniesie Cię z powrotem do strony ePUAP 

Autoryzacja poprzez hasło 

Jeśli wybrałeś autoryzację za pomocą hasła, to system otworzy okienko do wprowadzenia kodu autoryzacyjnego. 

 

Wprowadzenie poprawnego kodu przeniesie Cię z powrotem do systemu 

Krzysztof Gontarek
Dziennik Internautów

Czytaj także:

Zawiadomienie o naruszeniu danych osobowych przez dostawców publicznie dostępnych usług telekomunikacyjnych

Zgłoszenie powołania lub odwołania administratora bezpieczeństwa informacji (ABI)

Co przedsiębiorca może załatwić przez internet

loaderek.gifoverlay.png