Jakie zbiory danych należy rejestrowac w GIODO
Jakie zbiory podlegają obowiązkowi rejestracji, a jakich nie musimy rejestrować.
Ustawa o ochronie danych osobowych nie zawiera listy zbiorów jakie trzeba rejestrować. Wymienione są jedynie zbiory, dla których nie ma obowiązku rejestrowego. Jeżeli naszego zbioru nie ma na liście wyjątków wówczas jest konieczność dopełnienia obowiązku.
Bez względu na to czy zbiór danych osobowych podlega rejestracji czy też nie należy umieścić jego opis w Polityce Bezpieczeństwa i spełnić wszystkie wymagania wynikające z ustawy.
Jakie są formy zbiorów danych osobowych?
Najbardziej klasyczną formą zbioru danych osobowych jest forma papierowa. Przykładem takiej formy są np. teczki osobowe, wnioski urlopowe, zwolnienia lekarskie, formularze reklamacji, formularze rejestracji np. do programu lojalnościowego.
Kolejną formą jest oczywiście zbiór elektroniczny, czyli baza danych. Często przechowuje się w nich dane osobowe pracowników, kontrahentów w obrocie B2B oraz Klientów. W firmach spotykamy systemy kadrowo-płacowe, CRM'y, sklep internetowy lub platforma B2B.
Każdy taki system powinien być odpowiednio zabezpieczony zgodnie z wymogami ustawy na odpowiednim poziomie. Więcej o poziomach zabezpieczeń — tutaj.
Jakie zbiory należy rejestrować w GIODO?
| Zbiór danych osobowych | Rejestracja w GIODO |
|---|---|
| zbiór danych osobowych pracowników | |
| zbiór danych osobowych z danymi jedynie do wystawienia faktury | |
| Klienci sklepu internetowego dokonujący jednorazowego zakupu | |
| Klienci sklepu internetowego zakładający konto w sklepie | |
| Użytkownicy serwisu internetowego zakładający konto w serwisie (zarówno Konsumenci jak i przedsiębiorcy) | |
| Użytkownicy/Klienci będący przedsiębiorcami korzystający z platformy B2B | |
| baza Klientów w systemie CRM (zarówno konsumenci jak i firmy) |
Zbiory, których nie trzeba rejestrować
Zwolnienie z rejestracji nie zwalnia z obowiązku posiadania polityki bezpieczeństwa w firmie. Są to:
- zbiory zawierające informacje niejawne, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
- przetwarzanych przez właściwe organy dla potrzeb postępowania sadowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
- przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
- przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym,
- przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej,
- dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
- przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
- dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
- tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
- dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
- przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, powszechnie dostępnych,
- przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
- przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
Czy ten artykuł był przydatny?
