Wypełniamy e-formularz GIODO

W nawiązaniu do wcześniejszego tematu omówionego w poprzednim wpisie:

https://hostit.pl/blog/437,rejestracja-w-giodo-dla-twojej-strony-www-cz-1.html

Dzisiejszy temat zostanie poświęcony w całości rejestracji zbioru danych osobowych z wykorzystaniem e-formularza GIODO.

Nie taki diabeł straszny jak go malują. Wystarczy odrobina przygotowania merytorycznego i całość nie sprawi nam wiele trudu. Kiedy już wiemy, które zbiory podlegają rejestracji – a ustaliliśmy, że wszystkie które zwierają dane osobowe i nie zostały wymienione w art 43 ustawy – możemy przystąpić do zarejestrowania zbioru. Najlepiej do tego celu skorzystać z elektronicznego formularza dostępnego pod adresem: https://egiodo.giodo.gov.pl/index.dhtml

Kolejność wykonywanych czynności:

Formularz po wypełnieniu można wydrukować i wysłać – jeśli nie posiadasz podpisu elektronicznego trzeba będzie wysłać go zarówno elektronicznie jak i tradycyjnie pocztą. Ale i tak ułatwi nam to przebrnięcie przez wszystkie pola wymagane w formularzu. Przechodzimy do opcji „Wypełnianie wniosku":

Webmail
Pojawi się formularz składający się z kolejno oznaczonych pól

Część A0

zawiera pole do wyboru:

  • zgłoszenie zbioru na podstawie art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.),

  • zgłoszenie zmian na podstawie art. 41 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,

  • zgłoszenie zbioru, w którym będą przetwarzane dane określone w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

W większości przypadków wybieramy kwadrat nr 1 – bo nie zgłaszamy danych wrażliwych i na razie nie zgłaszamy zmian, tylko rejestrujemy nowy zbiór.

Przechodzimy do części B1

  • nadajemy nazwę swojemu zbiorowi danych osobowych – nazwa powinna być krótka, zwięzła i najlepiej oddająca charakter danej bazy np.: Klienci Firmy, Rejestr Korespondencji, Kontrahenci, Marketing, Obsługa Reklamacji itp.
  • następnie wpisujemy dane wnioskodawcy w odpowiednie pola: nazwa administratora danych i adres jego siedziby lub nazwisko, imię i adres miejsca zamieszkania wnioskodawcy oraz nr REGON

Część B2

Ta część dotyczy tylko i wyłącznie wnioskodawcy Państw Trzecich czyli państwo nienależące do Europejskiego Obszaru Gospodarczego - w 99,99% przypadków pole w tej części pozostawiamy puste.

Część B3

-Powierzenie przetwarzania danych osobowych:

  • jeśli mamy już podpisaną umowę powierzenia zaznaczamy kwadrat pierwszy i podajemy dane - W przypadku powierzenia przetwarzania danych innemu podmiotowi, należy podać nazwę adres siedziby lub nazwisko, imię i adres miejsca zamieszkania podmiotu, któremu powierzono przetwarzanie danych osobowych Powierzenie danych ma miejsce bardzo często – jeśli np. korzystamy z usług hostingowych i nasze dane przechowujemy na serwerach firm. Warto zadbać o podpisanie z taką firmą umowę powierzenia danych. Tak GIODO mówi o tym: „Instytucja powierzenia przetwarzania danych, o której mówi art. 31 ustawy, ma bardzo istotne znaczenie praktyczne. Zezwala ona administratorowi danych na skorzystanie z usług wyspecjalizowanych podmiotów zewnętrznych. Oznacza to, że administrator danych osobowych nie musi osobiście wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Może powierzyć ich przetwarzanie – w całości lub w części „

Jakie wymogi formalne należy spełnić, żeby powierzyć przetwarzanie danych osobowych podmiotom zewnętrznym? Ponownie oddajmy głos GIODO:

„Ustawa wymaga, aby umowa powierzenia zawarta była na piśmie oraz wyraźnie określała zakres i cel przetwarzania danych. Zawierając takie umowy, należy pamiętać o tym, że administrator nie może przekazać zleceniobiorcy więcej praw, niż sam posiada”

Umowa musi być zawarta na piśmie i zawierać następujące informacje: cel i zakres przetwarzania danych osobowych, zobowiązania podmiotu zewnętrznego do zabezpieczenia otrzymanych danych osobowych zagnie z prawem polskim.

  • Jeśli dopiero planujemy podpisanie takiej umowy zaznaczamy kwadrat drugi.

Część B4

Podstawa prawna upoważniająca do prowadzenia zbioru danych - co to dokładnie oznacza? Przesłanki legalności do przetwarzania danych osobowych określone w polskim prawie:

Dane zwykłe – jest 5 przesłanek

Dane wrażliwe – jest ich 10

My skupimy się na tych dotyczących danych zwykłych. Należy zaznaczyć, że każda przesłanka jest równoważna – wystarczy więc spełnienie jednej z nich by przetwarzać dane osobowe zgodnie z prawem. Nie stosujemy tu zasady im więcej zaznaczę tym lepiej. Wybieramy tylko te które dotyczą danego zbioru.

1) zgoda osoby, której dane dotyczą, na przetwarzanie danych jej dotyczących

Należy pamiętać, że owa zgodna nie może być domniemana i dorozumiana z innego oświadczenia woli. Zgoda musi być wyrażona wprost, przez osobę jej udzielającą. Zabronione jest maskowanie takiej zgody w regulaminach, statusach itp. Zgoda musi być dobrowolna, udzielający zgody musi mieć możliwość jej odwołania, musi wiedzieć w jakim celu gromadzone są jego dane i w jaki sposób jego dane będą przetwarzane.

2) przetwarzanie jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa

W tym przypadku trzeba wskazać przepis prawa na który się powołujemy

3) przetwarzanie jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą

Dotyczy to oczywiście wykonanie istniejącej już umowy lub podjęcie czynności zmierzających dopiero do zawarcia takiej umowy. Bardzo ważne jest, by pamiętać, że przetwarzanie danych osobowych jest możliwe tylko przez taki czas jaki będzie konieczny do wykonania lub zawarcia umowy.

4) przetwarzanie jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego - w przypadku odpowiedzi twierdzącej, należy opisać te zadania

Głownie chodzi o podmioty powołane do działania na rzecz dobra publicznego np. prokurator

5) przetwarzanie jest niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą

Prawnie usprawiedliwiony cel to np. marketing bezpośredni, dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej, rozpatrywanie reklamacji. Prawnie usprawiedliwiony cel musi istnieć zarówno po stronie Administratora Danych jak i po stronie odbiorcy danych. Przetwarzanie to musi być konieczne i nie może naruszać praw i wolności osoby której dane dotyczą.

Część C5

Cel przetwarzania danych w zbiorze
- opisujemy w sposób umiejętny, prosty i dokładny cel przetwarzania danych osobowych. Należy pamiętać, że na podstawie opisanego celu będzie określone, czy zakres pozyskiwanych danych jest adekwatna do celu.

Część C6

Opis kategorii osób, których dane dotyczą Należy w tym miejscu określić kategorię, która będzie obrazowała wszystkich, których dany zbiór dotyczy np. Klienci, Kontrahenci, Darczyńcy, Osoby przesyłające korespondencje itp.

Część C7

Zakres przetwarzanych w zbiorze danych o osobach Na tym etapie wypełniania wniosku wybieramy spośród wskazanych pól te, które będą ujęte w naszym zbiorze danych – pamiętając o adekwatności danego zbioru z celem przetwarzania określonym w polu C5. Czyli nie powinniśmy zbierać więcej niż jest to konieczne.

Część C8

Inne dane osobowe, oprócz wymienionych w pkt 7, przetwarzane w zbiorze - należy podać jakie Jeśli w naszym zbiorze gromadzić będziemy inne dane niż podane w części C7 należy je tutaj kolejno wymienić.

Część C9

Dane przetwarzane w zbiorze - dotyczą danych wrażliwych. Ta część formularza będzie uzupełniana tylko w przypadku gdy na początku naszego wniosku zaznaczyliśmy, że zgłaszamy zbiór danych wrażliwych. Jeśli jest to zbiór danych zwykłych przechodzimy od razu do D11

Część D11

Sposób zbierania oraz udostępniania danych W tej części wniosku mamy do dyspozycji dwa warianty: - od osób, których dotyczą - z innych źródeł niż osoba, której dane dotyczą Należy wybrać zgodnie ze stanem faktycznym. Możliwe jest zaznaczenie obu pól – jeśli taka sytuacja będzie miała miejsce.

Część D12

Dane ze zbioru będą udostępniane podmiotom innym, niż uprawnione przepisami prawa.

W części tej należy wskazać ewentualne podmioty, którym będziemy udostępniać zbiory danych osobowych np. na potrzeby wykonania usługi. Należy odróżnić „Powierzenie”, o którym była mowa wcześnie od „Udostępnienia”. Powierzając dane nadal jesteśmy ich administratorami i mamy wpływ co się z tymi danymi dalej będzie działo i jesteśmy za nie odpowiedzialni. Udostępniając dane osobowe innym podmiotom nie mamy kontroli nad tym co dalej z takimi danymi się dzieje. Odbiorcą danych jest każdy, komu udostępnia się dane osobowe, z wyjątkiem:

  • osoby, której dane dotyczą,
  • osoby upoważnionej do przetwarzania danych,
  • przedstawiciela, o którym mowa w pkt 2 zgłoszenia,
  • podmiotu, o którym mowa w pkt 3 zgłoszenia,
  • organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

Część D13

Odbiorcy lub kategorie odbiorców, którym dane mogą być przekazywane - należy podać nazwę i adres siedziby lub nazwisko, imię i adres miejsca zamieszkania odbiorcy danych

Jeśli w polu D12 zaznaczyliśmy twierdząco to w tym miejscu należy wskazać dane podmiotów lub osób którym dane będą przekazane.

Część D14

Informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego - należy podać nazwę państwa

Wypełniamy tylko w przypadku gdy taka sytuacja będzie miała miejsce.

Część E15

Ta część obejmuje kilka zagadnień dotyczących opisu środków technicznych i organizacyjnych zastosowanych w celach ochrony danych osobowych. Należy zaznaczyć zgodnie ze stanem faktycznym:

  • Centralnie oznacza zlokalizowanie danych w jednym miejscu (budynku, pomieszczeniu) – zarówno tych papierowych jak i umieszczonych na serwerze.

  • Wyłącznie w postaci papierowej – zbiór tradycyjny (papierowy) to kartoteki, skorowidze, księgi, wykazy i inne zbiory ewidencyjne - w dobie komputerów takich zbiorów jest już zapewne niewiele.

  • Z użyciem systemu informatycznego – system informatyczny to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programów zastosowanych w celu przetwarzania danych.

W części "c" zaznaczamy, czy użyte systemy informatyczne maja dostęp do Internetu czy też nie.

Część E16

Zostały spełnione wymogi określone w art. 36-39 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych:

W przypadku zbiorów papierowych muszą zostać spełnione punkty a-d

a) W punkcie „a” wybieramy jedno z poniższych:

  • został wyznaczony administrator bezpieczeństwa informacji nadzorujący przestrzeganie zasad ochrony przetwarzanych danych osobowych
  • administrator danych sam wykonuje czynności administratora bezpieczeństwa informacji

Dla wyjaśnienia Administrator Bezpieczeństwa Informacji to osoba, która została do tej funkcji powołana, wyznaczona, która bierze na siebie odpowiedzialność za proces przetwarzania danych osobowych, przygotowuje dokumentacja, klauzule zgód itp.

W wielu przypadkach administratorem danych i administratorem bezpieczeństwa informacji jest sam właściciel np. działalności gospodarczej.

b) do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych

Należy zadbać o to by osoby, które mają dostęp do naszego zbioru danych np. na potrzeby wykonywania obowiązków służbowych posiadały pisemne upoważnienie. Pracownik na mocy takiego upoważnienia zyskuje dostęp do danych i staje się za nie odpowiedzialny.

c) prowadzona jest ewidencja osób upoważnionych do przetwarzania danych

Na tym etapie oświadczamy, że prowadzimy ewidencje osób upoważnionych do przetwarzania danych co jest ściśle powiązane z nadawaniem uprawnień opisanych wcześniej.

d) została opracowana i wdrożona polityka bezpieczeństwa

Każdy musi posiadać taką politykę bezpieczeństwa – opisaną i wdrożoną - ale to temat na osobny artykuł.

Gdy mamy do czynienia ze zbiorami informatycznymi musimy spełnić jeszcze punkt „e”

e)została opracowana i wdrożona instrukcja zarządzania systemem informatycznym

Podobnie jak w przypadku polityce bezpieczeństwa.

Następna część dotyczy zabezpieczeń – lista jest dość obszerna - f) inne środki, oprócz wymienionych w ppkt a - e, zastosowane w celu zabezpieczenia danych

mamy tu do wyboru kilka kategorii:

  • Środki ochrony fizycznej danych
Webmail
Środki ochrony fizycznej danych
  • Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej
Webmail
Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej
  • Środki ochrony w ramach narzędzi programowych i baz danych
Webmail
Środki ochrony w ramach narzędzi programowych i baz danych
  • Środki organizacyjne
Webmail
Środki organizacyjne

Listy są rozwijalne – należy zaznaczyć właściwe. Początkowo ogrom możliwości do wyboru może odstraszać – ale nie taki diabeł straszny jak go malują. Po wczytaniu się w odpowiednie pozycje łatwo odnajdziemy te właściwe dla naszego typu zabezpieczeń.

Część F17

Zastosowano środki bezpieczeństwa na poziomie:

  • podstawowym
  • podwyższonym
  • wysokim

Należy wskazać odpowiedni poziom bezpieczeństwa określony w § 6 ww. rozporządzenia (UWAGA! Dotyczy wyłącznie administratorów przetwarzających dane w systemie informatycznym) :

  • jeżeli wnioskodawca przetwarza dane wymienione w pkt 9 zgłoszenia, należy zastosować środki bezpieczeństwa przynajmniej na poziomie podwyższonym
  • w przypadku, gdy przynajmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych połączone jest z siecią publiczną, należy zastosować środki bezpieczeństwa na poziomie wysokim
  • w pozostałych przypadkach wystarczające jest zastosowanie środków bezpieczeństwa na poziomie podstawowym

Część F18

Podajemy swój adres mailowy i Jeśli nie dysponujesz kwalifikowanym certyfikatem lub profilem zaufanym ePUAP należy zaznaczyć opcję rezygnacji z doręczania pism za pomocą środków komunikacji elektronicznej

Po przejściu dalej pojawiają się kolejne opcje do wyboru i jeśli nie mamy podpisu elektronicznego wybieramy Wyślij do GIODO wniosek bez podpisu elektronicznego

Należy pamiętać o wysłaniu wniosku po wydrukowaniu w tradycyjny sposób - czyli listownie. Bez tego nasz zbiór danych nie zostanie zarejestrowany.

Temat obszerny – ale mam nadzieję, że dzięki temu materiałowi wypełnienie wniosku nie będzie takie straszne.