Nr 14
(październik 2013)

Obowiązek zgłoszenia przez przedsiębiorcę zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych

Obowiązek ochrony danych osobowych zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U z 2002 r Nr 101, poz. 926 z późn. zm.) dotyczy:

  1. organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych,
  2. podmiotów niepublicznych realizujących zadania publiczne,
  3. osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych,

Jednym z elementów tej ochrony jest obowiązek zgłoszenia zbioru takich danych Głównemu Inspektorowi Ochrony Danych Osobowych (GIODO). Dopiero dopełnienie tego obowiązku, co do zasady, umożliwia legalne przetwarzanie danych osobowych.

Obowiązek zgłoszenia przez przedsiębiorcę zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Danych Osobowych ciąży więc nie tylko na dużych korporacjach i spółkach prawa handlowego, lecz także na osobach fizycznych prowadzących działalność gospodarczą.

Przedsiębiorca ma obowiązek zgłoszenia zbioru danych GIODO i jego zabezpieczenia przed dostępem osób nieupoważnionych nawet wtedy, gdy w bazie przedsiębiorcy znajduje się tylko jeden klient . osoba fizyczna. Jeżeli jest to osoba fizyczna, która nie prowadzi działalności gospodarczej, ochronie podlegają wszystkie informacje, jakie znajdują się w bazie, jak np. jego imię i nazwisko, adres zamieszkania, numer PESEL, nr telefonu. Jeśli klientem jest przedsiębiorca, z ochrony wykluczone są tzw. dane jawne, znajdujące się w ewidencji działalności gospodarczej. Należy pamiętać, iż w sytuacji, gdy oprócz danych jawnych innego przedsiębiorcy w bazie zapisane są inne jego dane, jak np. adres zamieszkania, gdy jest inny niż adres prowadzonej działalności gospodarczej, prywatny numer telefonu, nr PESEL, adres e-mail należy te dane objąć ochroną.

Następna strona





Nr 14
(październik 2013)

Problemy praktyczne może budzić zagadnienie jakie zbiory danych podlegają rejestracji. Zgodnie z zasadą wynikającą z ustawy o ochronie danych osobowych, każdy zbiór danych osobowych (z wyjątkiem przypadków wymienionych w ustawie) powinien być zgłoszony GIODO. Istotne dla przedsiębiorców wyjątki powodujące zwolnienie z obowiązku rejestracji zbiorów danych dotyczą m.in. następujących danych osobowych:

  1. zawierających informacje niejawne,
  2. przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
  3. dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
  4. przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
  5. powszechnie dostępnych,
  6. przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
  7. Dla przedsiębiorców istotne znaczenie ma brak konieczności rejestrowania zbioru danych osobowych przetwarzanych wyłącznie w celu wystawienia faktury lub rachunku, czy też prowadzenia sprawozdawczości finansowej. Należy jednak pamiętać, że jeśli przedsiębiorca wykorzystuje takie dane osobowe również np. w celu wysyłki towarów, dla celów marketingowych, to zbiór podlega obowiązkowi rejestracji.

    Zgłoszenie zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych jest obowiązkiem administratora danych, czyli podmiotu, który decyduje o celach i środkach przetwarzania danych osobowych.

    Administratorem danych może być każdy przedsiębiorca, bez względu na jego formę organizacyjną, jak np. osoba fizyczna, osoba prawna, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

    Administratorem danych jest podmiot (np. przedsiębiorca prowadzący działalność gospodarczą, spółka prawa handlowego), a nie osoba która zarządza podmiotem, czy też pracownik wykonujący czynności w związku z ochroną danych osobowych.

    Następna strona





Nr 14
(październik 2013)

Zgodnie z art. 53 ustawy o ochronie danych osobowych, kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Przestępstwo określone w art. 53 może popełnić każda osoba, na której ciąży obowiązek rejestracji zbioru danych. Może to być zarówno osoba występująca w roli administratora danych, jak i inna osoba, jeżeli jest obowiązana, np. na podstawie umowy, dokonać zgłoszenia zbioru danych do rejestracji.

Zachowanie sprawcy polega na niezgłoszeniu zbioru danych do rejestracji. Nie wypełnia znamion czynu zabronionego niezgłoszenie do rejestracji zbioru ewidencyjnego albo też niekompletne zgłoszenie zbioru danych.

Występek określony w art. 53 może być popełniony tylko umyślnie. Jest ścigany z oskarżenia publicznego, a sprawca podlega karze grzywny, karze ograniczenia wolności albo pozbawienia wolności do roku.

Należy mieć na uwadze, iż administrator danych osobowych może rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi Ochrony Danych Osobowych.

Autor artykułu:
Agnieszka Nowakowska-Długosz, radca prawny,
Kancelaria Radcy Prawnego, ul. Piastowska 1 lok. 34, Bielsko-Biała,
tel. 691 554 228, kontakt@kancelaria-nowakowska.pl