Katarzyna Witkowska-Nowakowska

Katarzyna Witkowska-Nowakowska
Prawnik

Nie zawsze musimy zgłaszać zbiory! Kilka uwag o zwolnieniu z obowiązku rejestracji.

Dodano: Luty 13, 2014 Kategoria: Administrator bezpieczeństwa informacji, Administrator danych Autor: Katarzyna Witkowska-Nowakowska

Nie każdy administrator musi zgłaszać zbiory!
W poprzednim poście pisaliśmy o obowiązku zgłaszania zbiorów do rejestru, prowadzonego przez Generalnego Inspektora Danych Osobowych. Dzisiejszy post poświęcony jest natomiast zwolnieniu z ogólnego obowiązku rejestracji. Ustawodawca przyjmuje, iż w pewnych przypadkach przetwarzanie określonych zbiorów danych jest tak oczywiste i nierozerwalnie związane z daną działalnością, że obowiązek z art. 40 można w nich znieść.

Katalog zwolnień z obowiązku rejestracji znaleźć można w art. 43 ust. 1, zgodnie z którym nie muszą rejestrować zbiorów administratorzy danych:

  • zawierających informacje niejawne,
  • które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy,
  • organów uprawnionych do tych czynności,
  • przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
  • przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
  • przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym,
  • przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej,
  • dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
  • przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
  • dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
  • tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
  • dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
  • przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
  • powszechnie dostępnych,
  • przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
  • przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

Jak interpretować powyższe zwolnienia?
Pamiętać należy, że zwolnienie z obowiązku rejestracji zbioru nie oznacza zwolnienia z pozostałych obowiązków, wynikających z ustawy o ochronie danych osobowych. Podmiot, korzystający ze zwolnienia na gruncie art. 43 ust. 1 nadal obciążony jest obowiązkiem poszanowania zasad przetwarzania danych osobowych, zapewnienia ich przetwarzania na podstawie przesłanek legalizacyjnych, obowiązkiem informacyjnym czy też obowiązkiem należytego zabezpieczenia danych osobowych.
Ponadto, podkreślić należy, że w/w przypadki zwolnienia z obowiązku rejestracji zbiorów stanowią wyjątek od ogólnej zasady, zgodnie z którą każdy administrator danych musi zgłaszać przetwarzane przez siebie zbiory. Tym samym, każde ze wskazanych zwolnień należy interpretować wąsko. Błędnym jest szerokie interpretowanie przesłanek zwolnienia z obowiązku rejestracji. Zbiór nie podlega rejestracji tylko i wyłącznie wtedy, gdy administrator ma do czynienia z jednym z przypadków wskazanych wprost w art. 43 ust. 1 ustawy o ochronie danych osobowych.

Omówienie przykładów zwolnień
Jednym z najważniejszych i najczęściej wykorzystywanych przypadków, w którym administrator korzysta z wyłączenia obowiązku rejestracji, jest przypadek opisany w art. 43 ust. 1 pkt 4 ustawy. Zgodnie z powołanym przepisem, zwolniony z rejestracji zbioru jest administrator danych przetwarzanych w związku z zatrudnieniem u niego, świadczeniem mu usług na podstawie umów cywilnoprawnych, a także administrator danych, dotyczących osób u niego zrzeszonych lub uczących się. W związku z tym, nie podlega rejestracji zbiór pracowników, zbiór byłych pracowników, zbiór stażystów czy też zbiór personelu świadczącego swoje usługi np. na podstawie umowy zlecenia. Pojawiają się również głosy, że z omawianego zwolnienia skorzystać można, przetwarzając zbiór danych osobowych kandydatów do pracy. Wydaje się jednak, że zwolnienie z obowiązku rejestracji nie obejmuje takiego przypadku. Zwolnienie z obowiązku rejestracji w przypadku zbioru personelu, stażystów, praktykantów, współpracowników czy byłych pracowników jest jak najbardziej uzasadnione. Rozszerzanie jednak tego wyjątku również na zbiór kandydatów do pracy, zwłaszcza dziś, gdy dzięki środkom komunikacji elektronicznej, do pracodawców wpływa bardzo dużo CV i gdy coraz popularniejsze jest tworzenie zbiorów, które można wykorzystać przy ewentualnych przyszłych rekrutacjach, wydaje się być sprzeczne z istotą omawianego przepisu.

Bardzo istotnym jest również art. 43 ust. 1 pkt 8, zgodnie z którym nie musi rejestrować zbioru administrator, przetwarzający dane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Aby skorzystać z tego zwolnienia, administrator przetwarzać musi dane tylko i wyłącznie w tym celu. Korzystanie ze zbioru choćby w celu windykacji czy realizacji celów marketingowych powoduje, że nie można już mówić o spełnieniu przesłanki do zwolnienia z rejestracji. Co ważne, zgodnie ze stanowiskiem GIODO już sam fakt wykorzystania danych poza celami rozliczeniowymi do celu realizacji umowy, przesądza o tym, że zbiór przestaje korzystać ze zwolnienia.

Wykreślenie zbiorów z rejestru
Art. 44a ustawy stanowi o możliwości wykreślenia zbiorów danych z rejestru. Wykreślenie jest dokonywane w drodze decyzji administracyjnej, jeśli zaprzestano przetwarzania danych osobowych, a także jeśli samej rejestracji dokonano z naruszeniem prawa. Wprowadzone w roku 2004 art. 44a rozwiązanie, zagwarantować ma aktualność rejestru, gdy zgłoszony zbiór już nie jest przetwarzany, czyli składające się na niego dane zostały usunięte. Pamiętać należy, że samo zarchiwizowanie danego zbioru i niekorzystanie z niego w codziennej praktyce nadal kwalifikowane jest jako przetwarzanie (art. 7 pkt 2 ustawy). Wykreślenie z rejestru dokonane być może zarówno na wniosek administratora, jak i z urzędu. Z wykreśleniem z urzędu będziemy mieć do czynienia w szczególności, gdy dokonano rejestracji, choć wystąpiła choćby jedna z przesłanek do odmowy rejestracji z art. 44 ust. 1.

Podsumowanie
Pamiętać należy przede wszystkim o tym, że zarejestrowanie zbioru przez GIODO wskutek zgłoszenia, złożonego przez administratora danych nie oznacza jeszcze, że administrator przetwarza dane osobowe zgodnie ze wszystkimi wymogami ustawy. Obowiązek rejestracyjny to jeden z wielu obowiązków administratora, które musi wykonywać z należytą starannością. Zgłaszanie zbioru do rejestracji ma charakter typowo formalny. Bardzo istotne jest natomiast to, jak zadeklarowane w zgłoszeniu procedury postępowania z danymi i mechanizmy pracy z danymi funkcjonują w danej strukturze w rzeczywistości. Poprawność tego elementu zweryfikować może GIODO kierując do danej jednostki kontrolę, nie zaś weryfikując formularz zgłoszeniowy.

Post Views: 1 137

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

Katarzyna Witkowska-Nowakowska

Katarzyna Witkowska-Nowakowska
Prawnik

2024 © portalodo.com Wszelkie prawa są chronione

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do analityki działania strony.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych, a na podstawie Twojej zgody wysyłaniu do Ciebie newslettera. Będziemy także analizowali czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. Jeżeli wyrazisz zgodę na otrzymywanie komunikatów marketingowych również na Twój adres e-mail, to podstawą prawną będzie także art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do:
a. analityki działania strony,
b. dostawcom narzędzi służących do wysyłania newsletterów.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?W celu marketingu nas i naszych usług, w tym w celu wysyłania do Ciebie naszego newslettera, a także analizowania czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest prowadzenie marketingu własnych usług, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. Dostawcom narzędzi do:
a. analityki ruchu na stronie,
b. wysyłki newsletterów,
2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas.Jak długo będziemy przetwarzać Twoje dane?Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.