Przejdź do treści głównej

Rejestracja zbiorów danych osobowych dla NGO. Instrukcja

Rejestracja zbiorów danych osobowych u Generalnego Inspektora Ochrony Danych Osobowych.

Obowiązek rejestracji zbiorów danych osobowych u Generalnego Inspektora Ochrony Danych Osobowych (GIODO) wynika wprost z art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2015 r. poz. 2135, z późn. zm.). Ustawodawca nakłada go na wszystkich administratorów danych (AD) – w tym stowarzyszenia i fundacje przetwarzające dane osobowe dla realizacji celów statutowych. Więcej: Ochrona danych osobowych - podstawowe pojęcia.

Od tej generalnej zasady są jednak wyjątki wskazane w art. 43 ust. 1 Ustawy, prezentującym zamknięty, 12-punktowy katalog zbiorów danych zwolnionych z obowiązku rejestracji.

Zwolnienia istotne dla organizacji pozarządowych

Dla organizacji pozarządowych istotne znaczenie ma przede wszystkim zwolnienie z obowiązku rejestracji zbiorów danych:

  • przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się – kandydaci do pracy, pracownicy, zleceniobiorcy, członkowie stowarzyszenia;
  • przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej – dokumentacja finansowo-księgowa;
  • powszechnie dostępnych;
  • przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych (= prowadzone tylko i wyłącznie w formie tradycyjnej, czyli papierowej), z wyjątkiem zbiorów zawierających dane wrażliwe/sensytywne (np. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne; pełen katalog zawiera art. 27 ust. 1 ustawy o ochronie danych, zobacz też: Co to są dane „zwykłe” i dane „wrażliwe”?). Zwolnienie to obowiązuje od dnia 1 stycznia 2015 r.

Organizacja pozarządowa, która powołała administratora bezpieczeństwa informacji (ABI) i zgłosiła go do rejestracji GIODO, od dnia 1 stycznia 2015 r. obowiązana jest tylko i wyłącznie do zgłoszenia do rejestracji GIODO zbiorów danych obejmujących dane wrażliwe/sensytywne.


Zgłoszenie zbioru danych do rejestracji GIODO odbywa się zgodnie ze wzorem stanowiącym załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r., Nr 229, poz. 1536).

Administrator danych może także dokonać zgłoszenia zbioru danych do rejestracji GIODO wykorzystując dostępną na stronie internetowej www.giodo.gov.pl platformę e-GIODO.


Rejestracja e-GIODO – kolejność czynności

KROK 1

W pasek przeglądarki wpisujemy adres www.giodo.gov.pl, a następnie klikamy lewym klawiszem myszki w serwis e-GIODO (czwarty od dołu po prawej stronie).

Zostajemy przekierowani do platformy z aplikacjami Rejestru Zbiorów Danych Osobowych oraz Rejestru Administratorów Bezpieczeństwa Informacji.

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja1

KROK 2

Wybieramy – znajdującą się po lewej stronie – aplikację „Rejestr Zbiorów Danych Osobowych”.

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja2

KROK 3

Aplikacja służy do przeglądania informacji o już zarejestrowanych zbiorach oraz umożliwia rejestrację zbioru poprzez wspomaganie wypełniania wniosku (funkcja pierwsza od góry po prawej stronie).

Kliknięcie w link Wspomaganie wypełniania wniosku otwiera formularz zgłoszenia zbioru danych do rejestracji GIODO.

UWAGA: Przed przystąpieniem do wypełniania zgłoszenia należy zapoznać się z komunikatem dotyczącym kwestii formalnych, istotnych z punktu widzenia instytucji (Administratorów Danych – AD) nieposiadających bezpiecznego podpisu elektronicznego, a następnie zamknąć go – klikając polecenie „ZAMKNIJ” znajdujące się w prawym dolnym rogu.

POWIĘKSZ ILUSTRACJĘ (rejestracja zbioru - klikamy: wspomaganie wypełniania wniosku)

giodo-instrukcja-ilustracja3

POWIĘKSZ ILUSTRACJĘ (komunikat dla nieposiadających podpisu elektronicznego)

giodo-instrukcja-ilustracja4

KROK 4

Określamy rodzaj zgłoszenia.

  • Wariant pierwszy odnosi się do zbiorów, w których przetwarzane będą dane tzw. „zwykłe” – do których zalicza się m.in.: imię i nazwisko, adres zamieszkania, datę i miejsce urodzenia, numer PESEL czy NIP albo numer telefonu.
  • Wariant trzeci dotyczy zbiorów, w których oprócz danych wskazanych powyżej, przetwarzane będą także dane wrażliwe/sensytywne – np.: dane o stanie zdrowia.
     
  • Wariant drugi powinien zostać zaznaczony w przypadku dokonywania zmian (aktualizacji) w zbiorze wskazanym w wariancie pierwszym lub trzecim – np.: w sytuacji rozszerzenia lub zawężenia zakresu danych przetwarzanych w ramach zbioru.

Zaznaczenie dokonywane jest poprzez kliknięcie lewym klawiszem myszki w kwadrat znajdujący się po lewej stronie wybranego rodzaju zgłoszenia. W trakcie wypełniania wniosku wszystkie zaznaczenia przedstawiane są jako „v”, ale w wersji do wydruku mają postać „x”.

Po określeniu rodzaju dokonywanego zgłoszenia klikamy lewym klawiszem myszki w polecenie „DALEJ”.

giodo-instrukcja-ilustracja5

POWIĘKSZ ILUSTRACJĘ

KROK 5

Na tym etapie podajemy dowolną, ale zwięzłą i adekwatną do rodzaju przetwarzanych danych, nazwę zbioru. Podajemy także: dane podmiotu wnioskującego – pełną nazwa AD, numer REGON (9-cyfrowy), nazwę miejscowości, kod pocztowy, nazwę ulicy, jej numer oraz numer lokalu.

Wszystkie pola muszą zostać wypełnione, w przeciwnym wypadku po kliknięciu w przycisk „DALEJ” aplikacja nie przekieruje nas do kolejnej zakładki (pojawi się komunikat o błędzie).

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja6

KROK 6

Jeśli administrator danych ma siedzibę w państwie trzecim (państwie nienależącym do Europejskiego Obszaru Gospodarczego) podajemy informacje dotyczące wyznaczonego przedstawiciela w RP (pełną nazwę przedstawiciela AD oraz adres jego siedziby - bez numeru REGON) - zatwierdzamy klikając przycisk „DALEJ”.

Jeśli omawiana sytuacja nie dotyczy organizacji – pozostawiamy tę część formularza niewypełnioną i od razu klikamy przycisk „DALEJ”.

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja7

KROK 7

Aplikacja przenosi nas do części zgłoszenia dotyczącej powierzenia przetwarzania danych osobowych, w której wskazać należy, czy AD powierzył albo zamierza powierzyć całość albo część zadania do realizacji podmiotowi zewnętrznemu na podstawie zawartej na piśmie umowy powierzenia przetwarzania danych osobowych.

Jeśli realizacja zadania została zlecona podmiotowi zewnętrznemu wówczas należy podać jego pełną nazwę i adres siedziby.

AD, na etapie dokonywania zgłoszenia zbioru danych osobowych do rejestracji GIODO, może także zaznaczyć opcję przewidującą możliwość powierzenia przetwarzania danych osobowych innemu podmiotowi. Zaznaczenie tej opcji nie skutkuje koniecznością wskazania, kto będzie procesorem (czyli podmiotem, któremu powierzone zostanie przetwarzanie danych osobowych), kiedy powierzenie nastąpi ani jakiego zakresu będzie dotyczyło.

W sytuacji, gdy dojdzie do powierzenia konieczne będzie jedynie przygotowanie i wysłanie zgłoszenia aktualizacyjnego w zakresie dotyczącym powierzenia przetwarzania danych osobowych.

Jeśli omawiana sytuacja nie dotyczy naszej organizacji – pozostawiamy tę część formularza niewypełnioną i klikamy „DALEJ”.

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja8

KROK 8

Wskaż podstawę prawną upoważniającą AD do prowadzenia zbioru, a tym samym do przetwarzania danych osobowych w nim gromadzonych. Wystarczające jest wskazanie jednej z pięciu dostępnych opcji (możliwych podstaw).

W przypadku, gdy przetwarzanie przez AD danych osobowych jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, konieczne jest podanie aktu normatywnego (ustawy) wraz ze wskazaniem miejsca jego publikacji (Dziennik Ustaw). Informacje należy umieścić w przeznaczonym do tego celu polu, odnajdując je w rozwijanej liście lub wpisując samodzielnie.

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja9

KROK 9

Wskazujemy dokładnie jaki jest cel przetwarzania danych w zbiorze, starając się zmieścić w odgórnie ustalonym limicie 3000 znaków (łącznie ze spacjami). Informacje można przygotować wcześniej w edytorze tekstu, a następnie skopiować je do pola w formularzu.

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja10

KROK 10

Podajemy informacje charakteryzujące osoby, których dane będą zbierane.

W tym miejscu zalecane jest zwięzłe i lakoniczne określanie kategorii osób, np. za pomocą sformułowań typu: „klienci”, „darczyńcy”, „wnioskodawcy”. Aplikacja dopuszcza też jednak bardziej rozbudowane opisy, bez ustalonej maksymalnej liczby znaków.

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja11

KROK 11

Przedstawiamy zakres danych o osobach, jakie będziemy w ramach prowadzonego zbioru gromadzić i poddawać dalszemu przetwarzaniu.

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja12

KROK 12

Jeśli zakres danych o osobach, które będą przetwarzane w ramach zgłaszanego do rejestracji zbioru, jest szerszy bądź inny od zakresu wskazanego powyżej (kiedy wskazywaliśmy kategorie z listy), wówczas mamy możliwość podania innych danych. Aplikacja nie ogranicza nas w tym miejscu limitem znaków.

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja13

KROK 13

Po uzupełnieniu zakresu danych tzw. „zwykłych” o osobach, wypełniamy części zgłoszenia, w której mowa o danych wrażliwych/sensytywnych.

Jeżeli np. organizacja pozarządowa realizuje działania skierowane do osób niepełnosprawnych, należy założyć, że przetwarzane będą dane o stanie zdrowia czy dotyczące orzeczeń o niepełnosprawności. W tej części zgłoszenia, powinny zostać zaznaczone wszystkie konieczne elementy.

Po wskazaniu kategorii danych wrażliwych (przejściu „DALEJ”) trzeba podać podstawę prawną zezwalającą organizacji na przetwarzanie tych danych. Po dokonaniu analizy przedstawionych możliwości zgodnego z prawem przetwarzania danych wrażliwych, organizacja wskazuje na pisemną zgodę wyrażaną przez osobę, której dane dotyczą.

POWIĘKSZ ILUSTRACJĘ (wskazujemy dane wrażliwe)

giodo-instrukcja-ilustracja14

POWIĘKSZ ILUSTRACJĘ (wskazujemy podstawę prawną)

giodo-instrukcja-ilustracja15

KROK 14

Wskaż źródło, z którego będą pozyskiwane dane do gromadzenia i dalszego przetwarzania w zbiorze.

Organizacja będzie pozyskiwała dane do zbioru bezpośrednio od osób, których one dotyczą na podstawie udzielonej w formie pisemnej przez te osoby zgody na przetwarzanie danych osobowych.

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja16

KROK 15

Pozostawiamy niewypełniony punkt, dotyczący udostępniania danych osobowych (przekazywania ich innym podmiotom).

Organizacja nie będzie udostępniała gromadzonych danych osobowych podmiotom innym, niż upoważnione na podstawie przepisów prawa. Ten punkt pozostanie zatem bez uzupełnienia.

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja17

KROK 16

W kolejnym kroku aplikacja zapyta o odbiorców lub kategorie odbiorców, którym dane gromadzone w ramach zbioru mogą być przekazywane.

Organizacja nie będzie udostępniała danych osobowych podmiotom innym, niż upoważnione na podstawie prawa. Jednak ze względu na fakt, że prawo dość często ulega zmianom, i zmienia się także lista podmiotów upoważnionych do otrzymania danych, nie jest możliwe precyzyjne określenie odbiorców bądź kategorii odbiorców, którym dane mogą być przekazywane. W tym punkcie nie zostaną więc wpisane żadne informacje – aplikacja przewiduje takie rozwiązanie.

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja18

KROK 17

Informacja dotyczącą ewentualnego przekazywania danych do państwa „trzeciego”. Organizacja pozarządowa – w zależności od sytuacji – podaje dane dotyczące państwa, do którego dane będą przekazywane bądź pozostawia pole tekstowe puste (jeżeli nie będzie przekazywało danych do żadnego państwa trzeciego).

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja19

KROK 18

Wypełniamy zakładki dotyczące aspektów organizacyjno-techniczno-informatycznych dotyczących zgłaszanego zbioru.

Zaznaczamy, że dane osobowe w ramach zbioru będą przetwarzane centralnie (w jednym miejscu) z użyciem systemu informatycznego służącego do przetwarzania danych osobowych połączonego z siecią publiczną (np. Internetem).

Dalej wskazujemy organizację systemu ochrony danych osobowych zastosowaną w organizacji, wykorzystując w tym celu rozwijalne listy.

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja20

cd. KROK 18: aspekty organizacyjno-techniczno-informatyczne zbioru - listy rozwijane

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja21

 

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja22

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja23

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja24

KROK 19

Jeśli stosujemy dodatkowo jeszcze inne środki, nie wymienione w rozwijalnych listach, można je wpisać w pole tekstowe znajdujące się na dole zakładki, a następnie kliknąć przycisk „DALEJ”.

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja25

KROK 20

Określamy zastosowany w organizacji poziom środków bezpieczeństwa.

W związku z tym, że dane osobowe w ramach zbioru przetwarzane będą z użyciem co najmniej jednego urządzenia systemu informatycznego służącego do przetwarzania danych osobowych połączonego z siecią publiczną (np. Internetem) konieczne jest zastosowanie środków bezpieczeństwa na poziomie wysokim.

POWIĘKSZ ILUSTRACJĘ

giodo-instrukcja-ilustracja26

KROK 21

Po kliknięciu w przycisk „DALEJ” (w poprzednim kroku gdzie zaznaczaliśmy poziom bezpieczeństwa) na monitorze komputera powinien pojawić się komunikat informujący o pomyślnym zakończeniu wypełniania wniosku.

Należy jeszcze tylko:

  • wpisać adres poczty elektronicznej AD, na który wysłana zostanie informacja o wpłynięciu do Generalnego Inspektora zgłoszenia dotyczącego zbioru danych – adres ten nie jest uwidoczniony w wersji wniosku przeznaczonej do wydruku;
  • zamieścić wzmiankę o ewentualnie załączanych do wniosku dokumentach – nazwy dokumentów należy wpisać w pole tekstowe, a pliki dodać z wykorzystaniem polecenia „PRZEGLĄDAJ” (załącznikami mogą być np.: regulamin rekrutacji do projektu, formularz rekrutacyjny w wersji elektronicznej);
  • zaznaczyć zamieszczone na dole zakładki oświadczenie o rezygnacji z doręczania pism za pomocą środków komunikacji elektronicznej.

POWIĘKSZ ILUSTRACJĘ (komunikat o zakończeniu)

giodo-instrukcja-ilustracja27

POWIĘKSZ ILUSTRACJĘ (adres e-mail, załączniki i oświadczenie)

giodo-instrukcja-ilustracja28

KROK 22

Zadecyduj jak prześlesz swój wniosek do GIODO. Spośród dostępnych opcji wybierz np. „Wyślij do GIODO wniosek bez podpisu elektronicznego” (trzecia od góry).

Wniosek zostanie przesłany, a aplikacja wygeneruje komunikat informujący o dalszych etapach postępowania.

Postępując zgodnie z komunikatem drukujemy wniosek, który następnie należy opatrzeć datą, pieczęcią i podpisem wnioskodawcy (czyli administratora danych) oraz przesłać pod wskazany adres Biura GIODO.

Możemy także zapisać przygotowany wniosek w formacie „.pdf”.

Po wykonaniu wszystkich powyższych czynności klikamy w komunikat „Powrót do strony głównej”.
.

POWIĘKSZ ILUSTRACJĘ (wysyłanie wniosku)

giodo-instrukcja-ilustracja29

POWIĘKSZ ILUSTRACJĘ (komunikat po wysłaniu, drukowanie wniosku)

giodo-instrukcja-ilustracja30druk

POTWIERDZENIA

Na adres e-mail wskazany we wniosku przesyłane jest potwierdzenie otrzymania wniosku.

Na adres e-mail wskazany we wniosku zgłoszeniowym, przesyłane jest również Urzędowe Poświadczenie Odbioru.

 

POWIĘKSZ ILUSTRACJĘ (potwierdzenie otrzymania wniosku)

giodo-instrukcja-ilustracja31

POWIĘKSZ ILUSTRACJĘ (urzędowe poświadczenie odbioru)

giodo-instrukcja-ilustracja32


O czym należy pamiętać wypełniając wniosek przez platformę zgłoszeniową e-GIODO
  • aplikacja jest przyjazna dla Użytkowników – w razie wątpliwości wystarczy kliknąć w ikonkę „i” znajdującą się po prawej stronie by otrzymać wyjaśnienie.
     
  • jeśli nie wypełnimy któregoś z wymaganych pól – u góry zakładki pojawi się komunikat (oznaczony kolorem czerwonym) ze wskazanym rodzajem błędu, a aplikacja nie przekieruje nas dalej, dopóki nie zaznaczymy/wpiszemy wymaganych informacji.
     
  • aplikacja działa on-line – w związku z czym zbyt długa zwłoka albo przerwa w procesie przygotowywania zgłoszenia skutkuje wygaśnięciem sesji i koniecznością ponownego rozpoczęcia procesu zgłaszania zbioru danych do rejestracji. Aby uniknąć wygaśnięcia sesji można wcześniej (np.: w edytorze tekstu) przygotować informacje o charakterze opisowym, a następnie skopiować je w odpowiednie miejsce wniosku.
Przykładowy wniosek wypełniony przez platformę zgłoszeniową e-GIODO
Zgłaszanie zbiorów - ważne terminy

Terminy dokonywania zgłoszeń zbiorów danych do rejestracji GIODO:

  • zbiór danych obejmujący dane tzw. „zwykłe” – przed rozpoczęciem procesu gromadzenia danych, które będą przetwarzane w ramach zbioru;
     
  • zbiór danych obejmujący dane wrażliwe/sensytywne – na tyle wcześnie przed rozpoczęciem procesu gromadzenia danych, które będą przetwarzane w ramach zbioru, by możliwe było wydanie zaświadczenia o rejestracji zbioru danych osobowych w jawnym, ogólnokrajowym Rejestrze Zbiorów Danych Osobowych prowadzonym przez GIODO.

Terminy dokonywania zgłoszeń informujących o zmianach wprowadzanych w zgłoszonych wcześniej do rejestracji zbiorach:

  • zbiór danych obejmujący dane tzw. „zwykłe” – 30 dni od dnia dokonania zmiany w zbiorze danych;
  • w przypadku zmiany polegającej na przekształceniu zbioru danych obejmującego dane tzw. „zwykłe” w zbiór danych obejmujący dane wrażliwe/sensytywne – informacja o zmianie powinna zostać zgłoszona przed dokonaniem zmiany w zbiorze.


Proces rejestracji zbiorów danych osobowych:

  • tzw. „zwykłych”:
    • następuje w momencie dokonania zgłoszenia;
    • dane osobowe można legalnie przetwarzać od momentu dokonania zgłoszenia.
       
  • wrażliwych/sensytywnych:
    • następuje w momencie wydania przez Zastępcę Generalnego Inspektora Ochrony Danych Osobowych zaświadczenia o zarejestrowaniu w jawnym, ogólnokrajowym rejestrze zbiorów danych osobowych zbioru danych osobowych o nazwie „ (nazwa zbioru, który zgłosiliśmy) ”;
    • dane osobowe można legalnie przetwarzać od daty wydania zaświadczenia;
    • proces rejestracji trwa od około 3-4 miesięcy (jeśli jest się w stałym kontakcie z urzędnikiem Biura GIODO prowadzącym sprawę rejestracji zbioru danych) do roku lub dłużej (jeśli złożony wniosek jest poprawny pod względem formalnym i merytorycznym, a po dokonaniu zgłoszenia zbioru danych do rejestracji GIODO pozostawia się sprawę jej własnemu biegowi).

Korespondencja dotycząca rejestracji zbiorów danych osobowych

W razie stwierdzenia we wniosku uchybień formalnych lub nieprawidłowości merytorycznych Pracownicy Departamentu Rejestracji Zbiorów Danych Osobowych prześlą do instytucji wnioskującej (organizacji pozarządowej) wezwanie do usunięcia braków formalnych lub wyjaśnień dotyczących kwestii merytorycznych w ciągu 7 dni (od daty otrzymania wezwania) pod rygorem odmowy rejestracji zbioru danych osobowych.

UWAGA! Prawidłowo (pod względem formalnym i merytorycznym) wypełniony wniosek daje gwarancję przeprowadzenia procesu rejestracji zbioru danych osobowych bez komplikacji.

Korespondencja z Biura GIODO zawierającą zaświadczenie o rejestracji zbioru danych osobowych obejmującego dane wrażliwe nie zawsze jest wysyłana natychmiast po podpisaniu zaświadczenia przez Zastępcę GIODO (czas oczekiwania wynosi zwykle od kilku do kilkunastu dni). Dla legalności przetwarzania danych osobowych w ramach rejestrowanego zbioru nie ma to jednak większego znaczenia, gdyż liczy się data podpisania zaświadczenia przez Zastępcę GIODO, a nie data jego wpływu do Administratora Danych.


Zaświadczenie o rejestracji zbioru danych osobowych przesyłane jest do Administratora Danych listem poleconym za zwrotnym potwierdzeniem odbioru.

 

Wyraź opinię 2 0

na skróty / spis treści