>Artykuły >

Od 10 lutego 2009 r. obowiązuje nowy wzór zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Stanowi on załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536), wydanego na podstawie art. 46a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej także „ustawą”. Wprowadzenie nowego wzoru ma na celu ułatwienie administratorom danych prawidłowego jego wypełnienia, które od lat sprawia wiele trudności. Najwięcej problemów wiązało się dotychczas z wypełnianiem części E formularza dotyczącej informacji o środkach technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 ustawy. We wskazanych przepisach ustawodawca określa na czym ma polegać zabezpieczenie danych, używając z jednej strony nieostrych i niejednoznacznych sformułowań, w szczególności: „administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem”, z drugiej zaś – wprost wskazuje jakie zabezpieczenia zobowiązany jest zastosować administrator danych, tj. prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne powzięte dla ich ochrony, wyznaczenie administratora bezpieczeństwa informacji, dopuszczenie do przetwarzania danych wyłącznie osób posiadających upoważnienie nadane przez administratora danych oraz prowadzenie ewidencji takich osób. Dotychczas wnioskodawcy często podawali wiele informacji dotyczących zabezpieczenia zbiorów danych nie zawsze istotnych z punktu widzenia spełnienia wymogów ustawowych, nie podając jednocześnie informacji o zabezpieczeniach wymaganych wprost przepisami ustawy. Dlatego też wielokrotnie Generalny Inspektor Ochrony Danych Osobowych wydawał decyzje o odmowie rejestracji zbioru danych nakazując jednocześnie ograniczenie przetwarzania danych wyłącznie do ich przechowywania lub ich usunięcie ze zbioru. Nieprawidłowe wypełnienie formularza zgłoszeniowego może zatem w konsekwencji niekorzystnie rzutować na działalność administratorów danych, często uniemożliwiając jej prowadzenie. Wskutek modyfikacji formularza znacznemu uproszczeniu uległa jego część E poprzez wyeksponowanie najistotniejszych obowiązków administratorów danych dotyczących zabezpieczeń danych w zbiorze. Wydaje się, iż powinno to przyczynić się do zmniejszenia liczby nieprawidłowo wypełnionych zgłoszeń, a w rezultacie – do przyspieszenia procesu rejestracji zbioru danych osobowych i skrócenia okresu oczekiwania na zarejestrowanie zbioru.

Różnice pomiędzy treścią obowiązującego od 10 lutego 2009 r. wzoru zgłoszenia zbioru danych do rejestracji, a treścią wzoru dotychczasowego, polegają na:

1. rezygnacji z dotychczasowych sześciu pól wyboru w pkt. 11 części D zgłoszenia i zastąpienie ich nowymi dwoma polami wyboru, a przez to rezygnacji z obowiązku określania proporcji w jakich dane osobowe będą pozyskiwane z określonego źródła (wyłącznie lub głównie) i zastąpienie ich wyłącznie oświadczeniem czy dane osobowe zbierane są od osób, których dotyczą, czy też z innych źródeł,
2. rezygnacji z dotychczasowych trzech pól wyboru w pkt. 12 części D zgłoszenia i zastąpienie ich wyłącznie jednym polem wyboru, które należy zaznaczyć tylko w przypadku udostępniania danych osobowych podmiotom innym, niż upoważnione do otrzymania danych na podstawie przepisów prawa, 
3. rezygnacji z obowiązku informowania o zbieraniu oraz udostępnianiu danych metodą teletransmisji (pkt. 11 i 12 części D zgłoszenia). Zmiana ta uzasadniona jest faktem, że w przepisach o ochronie danych osobowych brak jest definicji terminu „teletransmisja”. W związku z tym administratorzy danych często mieli problemy z prawidłową interpretacją tego terminu, a informacje podawane w zgłoszeniach dotyczące powyższego aspektu przetwarzania danych osobowych niejednokrotnie nie odpowiadały stanowi faktycznemu,
4. dodaniu w punkcie 15 części E zgłoszenia dodatkowych podpunktów b) i c) charakteryzujących zgłoszony do rejestracji zbiór danych. Wnioskodawca wypełniając pola podpunktu b) będzie składał oświadczenie, czy do przetwarzania danych w zbiorze używany jest system informatyczny, czy też dane te gromadzone są wyłącznie w formie dokumentacji papierowej. W przypadku przetwarzania danych przy użyciu systemów informatycznych wnioskodawca będzie dodatkowo oświadczał w podpunkcie c) czy urządzenia wykorzystywane do przetwarzania danych połączone są z siecią publiczną (np. Internetem), czy też nie posiadają takiego połączenia. Te informacje są zaś niezbędne dla oceny prawidłowości zastosowanego poziomu zabezpieczeń, o którym mowa w punkcie 17 części F zgłoszenia,
5. rezygnacji w punkcie 16 części E zgłoszenia z dotychczasowej treści podpunktów a)-g) mających charakter opisowy i zastąpienie ich nowymi podpunktami a)-e), w których wnioskodawca powinien złożyć oświadczenie o spełnieniu konkretnych wymogów w zakresie zabezpieczeń, wyłącznie poprzez zaznaczenie pola wyboru oraz podpunktem f) o charakterze opisowym, w którym wnioskodawca ma możliwość podania informacji o innych środkach, niż wymienione w podpunktach a)-e), zastosowanych w celu zabezpieczenia danych. Konstrukcja nowego punktu 16 części E zgłoszenia nakłada obowiązek podania w ppkt a)- e) informacji o zabezpieczeniach wprost wynikających z ustawy o ochronie danych osobowych ale także umożliwia podanie w podpunkcie f) innych, istotnych - zdaniem wnioskodawcy - informacji charakteryzujących system zabezpieczeń.

Ponadto w końcowej części nowego wzoru zgłoszenia dodane zostały objaśnienia do punktów zgłoszenia sprawiających w praktyce najwięcej trudności. I tak:

• w pkt. 15 części E zgłoszenia należy zaznaczyć tylko jedną właściwą odpowiedź w każdym podpunkcie,
• w pkt. 15 części E ppkt c zgłoszenia należy zaznaczyć jedną z odpowiedzi tylko wówczas, gdy dane osobowe przetwarzane są w systemie informatycznym,
• w pkt. 16 części E ppkt a zgłoszenia należy zaznaczyć tylko jedną właściwą odpowiedź. W przypadku, gdy dane osobowe przetwarzane są wyłącznie w formie dokumentacji papierowej należy w pkt. 16 części E zgłoszenia zaznaczyć odpowiedzi od a do d. Odpowiedź e należy zaznaczyć tylko wówczas, gdy dane osobowe przetwarzane są w systemie informatycznym,
• w pkt. 17 części F zgłoszenia należy zaznaczyć właściwą odpowiedź tylko wówczas, gdy dane osobowe przetwarzane są w systemie informatycznym. W przypadku, gdy dane osobowe przetwarzane są wyłącznie w formie dokumentacji papierowej tę część należy pozostawić niewypełnioną.

Zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych można dokonać tradycyjnie – poprzez przesłanie wypełnionego formularza pocztą lub złożenie go osobiście w siedzibie tego organu albo drogą elektroniczną – wypełniając formularz za pomocą specjalnego programu komputerowego dostępnego w ramach platformy e-giodo na stronie internetowej www.giodo.gov.pl.