Czy muszę rejestrować bazę danych osobowych?

 

Artykuł 40 ustawy o ochronie danych osobowych (UODO) nakłada obowiązek rejestracyjny na każdego administratora danych osobowych, chyba że zachodzi jedna z okoliczności, które wyłączają taką konieczność.

Zwolnieniu z obowiązku rejestracji podlegają dane związane z przetwarzaniem informacji:

- objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa,
- ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,
- które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy,
- przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego,
- przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
- dotyczących członków kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej,
- dotyczących osób u nich zatrudnionych, zrzeszonych lub uczących się,
- dotyczących osób korzystających z usług medycznych, obsługi notarialnej,
- dotyczących osób korzystających z obsługi adwokackiej, radcy prawnego, rzecznika patentowego,
- dotyczących osób korzystających z obsługi doradcy podatkowego lub biegłego rewidenta,
- tworzonych na podstawie ordynacji wyborczych do Sejmu, Senatu, rad gmin, powiatów i sejmików,
- dotyczących osób pozbawionych wolności na podstawie ustawy,
- w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
- przetwarzanych wyłącznie w celu wystawienia faktury,
- przetwarzanych w celu wystawieniach rachunku lub prowadzenia sprawozdawczości finansowej,
- powszechnie dostępnych,
- przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu lub stopnia naukowego,
- przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

 

Rejestracja danych osobowych

Proces rozpoczyna się od identyfikacji zbiorów danych osobowych oraz ich kwalifikacji. Następnie przeprowadzany jest audyt bezpieczeństwa danych osobowych, który przedstawia informację o aktualnej ochronie danych oraz sposobie ich przetwarzania w firmie.
Następnie konieczne jest sprawdzenie aktualności dokumentacji: polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym, system zarządzania bezpieczeństwem informacji, zezwoleń, upoważnień, wykazów. Jeśli występują jakieś braki, na podstawie wyników audytu należy je uzupełnić.
W przypadku, gdy jest to wskazane, konieczne są szkolenia dotyczące sposobu przetwarzania danych - powinien on być zgodny z wdrażaną dokumentacją, tak aby system zarządzania bezpieczeństwem informacji był jak najbardziej szczelny i kompletny.
Wniosek zgłoszenia może być przedłożony w formie elektronicznej i papierowej. Wersję elektroniczną przesyłamy do urzędu Głównego Inspektora Ochrony Danych Osobowych, zaś wersję papierową otrzymuje Administrator Danych Osobowych w danej firmie. Po zatwierdzeniu i podpisaniu, dokument trafia na adres urzędu.
Wniosek jest przyjęty do rejestracji, gdy obie przesłane formy dokumentu (elektroniczna i papierowa) są zgodne.

 

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *