Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: 12 MARCA 2018

Rejestr czynności przetwarzania danych osobowych

Opracowanie: Michał Łyszczarz, prawnik, specjalista z zakresu ochrony danych osobowych

 

Obecnie obowiązująca ustawa o ochronie danych osobowych (UODO) zawiera obowiązek rejestracji zbiorów danych osobowych.

Zgodnie z art. 7 pkt 1 UODO przez zbiór danych rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Cechą wyróżniającą zbiór danych od innego zestawu danych jest zatem struktura, czyli takie uporządkowanie, które daje możliwość wyszukania konkretnych danych według określonego kryterium. Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów ustawy o ochronie danych osobowych, wystarczające jest kryterium umożliwiające odnalezienie danych osobowych w zestawie. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych (źródło: https://giodo.gov.pl/530/id_art/2657).

Obowiązek zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) ciąży na administratorze danych. Administratorem w sferze publicznej jest osoba zarządzająca daną jednostką, czyli kierownik domu, lecz w sferze niepublicznej, czyli w przypadku domów prowadzonych przez inne podmioty będzie to przykładowo osoba prawna ten dom prowadząca, jak stowarzyszenie czy fundacja.

Zgodnie z obecną treścią art. 40 UODO, czyli obecnie obowiązującej ustawy o ochronie danych osobowych, zgłoszenie zbioru danych do rejestracji powinno zawierać:

  1. wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych;

  2. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru;

  3. cel przetwarzania danych;

  4. opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych;

  5. sposób zbierania oraz udostępniania danych;

  6. informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane;

  7. opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 - zabezpieczenia danych osobowych, powołania ABI;

  8. informację o sposobie wypełnienia warunków technicznych i organizacyjnych;

  9. informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.