Obowiązki osób przetwarzających dane osobowe w związku z prowadzoną działalnością gospodarczą określa ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych. Zgłoszeniu do GIODO podlega zbiór danych, który jest definiowany jako posiadający strukturę zestaw danych osobowych, dostępnych w tym zbiorze według określonych kryteriów. Przedsiębiorca nie musi wskazywać w zgłoszeniu jakie konkretnie dane osobowe i do kogo przypisane zawiera zbiór. Przedmiotem zgłoszenia jest przede wszystkim informacja, że przedsiębiorca ten jest w posiadaniu danych osobowych określonego rodzaju. Wskazana ustawa precyzuje co należy zawrzeć w zgłoszeniu zbioru. Wszystkie te informacje określone są również w pisemnym i elektronicznym formularzu zgłoszenia zbioru do rejestracji, dostępnym na stronie internetowej GIODO, który po wypełnieniu należy przesłać drogą pocztową lub elektroniczną do Biura Generalnego Inspektora Ochrony Danych Osobowych. Co ważne, GIODO trzeba informować o każdej zmianie w zgłoszonym zbiorze danych. Jeśli więc przedsiębiorca rozszerzył chociażby zbieranie danych osobowych swoich klientów o nowy rodzaj danych, powinien dokonać aktualizacji zgłoszenia we wskazanym w ustawie 30-dniowym terminie.
Zbiory zgłaszają tylko administratorzy danych osobowych
Obowiązek zgłoszenia zbioru ciąży wyłącznie na administratorze danych osobowych umieszczonych w zbiorze, czyli podmiocie mogącym podejmować samodzielne decyzje co do celów przetwarzania i środków wykorzystywanych w tym procesie. Administratorem danych nie będzie więc przedsiębiorca, który przetwarza dane osobowe otrzymane od innego podmiotu w związku ze świadczeniem usług na jego rzecz.
Przykład: Firma X świadczy na zlecenie firmy Y usługi w zakresie obsługi kadrowo-płacowej. Pracownicy firmy X korzystają z danych osobowych przekazanych na potrzeby wykonania umowy przez firmę Y. Firma X nie będzie zobligowana do zgłaszania zbioru tych danych. Obowiązek ten – w odniesieniu do przekazywanych danych – ciąży natomiast na firmie Y.
Kto nie musi zgłaszać zbioru danych?
Wyjątkiem od zasady zgłaszania zbiorów jest sytuacja, w której przedsiębiorca jest zwolniony z obowiązku rejestracji zbioru danych. Przepisy wyłączają taki obowiązek między innymi w stosunku do administratorów danych osobowych, którzy przetwarzają dane: swoich pracowników, osób świadczących na ich rzecz usługi na podstawie umów cywilnoprawnych, osób korzystających z ich usług medycznych czy prawnych, a także administratorów przetwarzających dane wyłącznie w celu wystawienia faktury lub rachunku.
Do roku pozbawienia wolności za niedopełnienie obowiązków
Należy pamiętać, że poza wskazanymi przypadkami, rejestracja zbioru danych osobowych jest zazwyczaj konieczna aby dane te mogły być w ogóle przetwarzane. Ustawa o ochronie danych osobowych wyraźnie stanowi, że administrator danych osobowych może rozpocząć ich przetwarzanie w zbiorze dopiero po zgłoszeniu tego zbioru do GIODO. Przedsiębiorca obowiązany do zgłoszenia zbioru, który nie dopełni tego obowiązku, musi się liczyć z koniecznością poniesienia przykrych konsekwencji takiego zaniechania. W myśl przepisów rzeczonej ustawy, niezgłoszenie zbioru do rejestracji stanowi bowiem przestępstwo zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do roku.
Przetwarzanie danych osobowych jest zatem zasadniczo uwarunkowane dokonaniem uprzedniego zgłoszenia zbioru zawierającego te dane do rejestracji przez Generalnego Inspektora Ochrony Danych Osobowych. Przed zgłoszeniem warto jednak sprawdzić czy dane zawarte w zbiorze rzeczywiście podlegają rejestracji. Szczegółowa weryfikacja przez przedsiębiorcę czy obowiązek zgłoszenia zbioru go dotyczy i ewentualne wysłanie zgłoszenia pozwoli bowiem na późniejsze zgodne z prawem przetwarzanie danych.
Marcin Berlak
radca prawny,
Kancelaria Prawnicza Włodzimierz Głowacki i Wspólnicy sp.k. z siedzibą w Poznaniu
***
Kancelaria Prawnicza Włodzimierz Głowacki i Wspólnicy sp.k. to poznańska kancelaria, która od kilku lat działa również na terenie Warszawy. Kancelaria posiada wieloletnie doświadczenie w obsłudze przedsiębiorców. Jako jedna z nielicznych kancelarii specjalizuje się także w kompleksowej obsłudze prawnej podmiotów z działających w Internecie.
Marcin Berlak – radca prawny, absolwent Uniwersytetu im. Adama Mickiewicza w Poznaniu, w roku 2011 złożył egzamin radcowski, z Kancelarią związany od września 2006 r. Absolwent Podyplomowego Studium Prawa Własności Intelektualnej na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego. Specjalizuje się w zagadnieniach z zakresu ochrony danych osobowych oraz prawie własności intelektualnej, ze szczególnym uwzględnieniem tworzenia i obrotu produktami informatycznymi.