UWAGA!

Od 25 maja 2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Nowa strona internetowa urzędu jest dostępna pod adresem: www.uodo.gov.pl.

Materiały zamieszczone na stronie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dostępnej pod adresem www.giodo.gov.pl mają charakter archiwalny.

POZOSTAŃ NA STRONIE ARCHIWALNEJ (GIODO)

Czy podlegający rejestracji u Generalnego Inspektora Ochrony Danych Osobowych zbiór danych osobowych zostanie zawsze zarejestrowany, po zgłoszeniu go na formularzu zgłoszeniowym?

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak 2010-03-10
Wprowadził‚ informację: Rafał Kreusch 2010-02-02 08:41:34
Ostatnio modyfikował: Rafał Kreusch 2013-11-28 12:56:59

Nie, jeśli podczas postępowania rejestracyjnego okaże się, że zachodzi co najmniej jedna z przesłanek do wydania przez GIODO decyzji o odmowie rejestracji zbioru.

Uzasadnienie

Administratorzy danych, na podstawie art. 40 ustawy o ochronie danych osobowych mają obowiązek zgłoszenia prowadzonych zbiorów danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO). Organ ten nie zawsze jednak rejestruje zgłoszony zbiór czyli wpisuje go do ogólnokrajowego, jawnego rejestru zbiorów danych osobowych. Zgodnie bowiem z art. 44 ust. 1 ww. ustawy Generalny Inspektor Ochrony Danych Osobowych wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli:

1) nie zostały spełnione wymogi określone w art. 41 ust. 1 ustawy,

2) przetwarzanie danych naruszałoby zasady określone w art. 23-38 ustawy,

3) urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a ustawy.

Art. 41 ust. 1 ustawy wskazuje elementy, które powinno zawierać zgłoszenie zbioru danych osobowych do rejestracji, np. cel przetwarzania danych, opis kategorii osób, których dane dotyczą, zakres przetwarzanych danych, sposób zbierania oraz udostępniania danych, informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane. Jeżeli nie zostały spełnione wymogi określone w w/w przepisie, zachodzi przesłanka odmowy rejestracji zbioru danych, określona w art. 44 ust. 1 pkt 1 ustawy.

Następna przesłanka odmowy rejestracji zbioru danych została określona w art. 44 ust. 1 pkt 2 ustawy. Znajduje ona zastosowanie w przypadku naruszenia zasad wskazanych w art. 23-28 ustawy, w więc m. in. braku adekwatności danych osobowych w stosunku do celów ich przetwarzania. Adekwatność danych oznacza, że administrator danych może żądać danych wyłącznie w zakresie niezbędnym do osiągnięcia celu, w jakim dane są przez niego przetwarzane, a cel przetwarzania danych powinien być określony w sposób jak najbardziej ścisły.

Natomiast przesłanka odmowy rejestracji zbioru danych określona w art. 44 ust. 1 
pkt 3 ustawy zachodzi wówczas, gdy urządzenia i systemy informatyczne służące do przetwarzania danych osobowych w zgłoszonym do rejestracji zbiorze nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Do warunków tych należy zaliczyć m. in. zastosowanie odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym, np. gdy w systemie informatycznym, służącym do przetwarzania danych osobowych, przetwarzane są dane osobowe szczególnie chronione, wymienione w art. 27 ust. 1 ustawy (np. dane o stanie zdrowia, o przynależności partyjnej, wyznaniowej, o nałogach) stosuje się co najmniej podwyższony poziom bezpieczeństwa. Z kolei, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną, administrator danych zobowiązany jest do zastosowania wysokiego poziomu bezpieczeństwa przetwarzania danych.

Odmawiając rejestracji zbioru danych Generalny Inspektor Ochrony Danych Osobowych nakazuje ograniczenie przetwarzanych w zbiorze danych osobowych wyłącznie do ich przechowywania, do czasu zarejestrowania tego zbioru po jego ponownym zgłoszeniu. Na podstawie art. 44 ust. 4 omawianej ustawy, administrator danych może bowiem ponownie zgłosić zbiór danych do rejestracji po usunięciu wad, które były powodem odmowy rejestracji tego zbioru. W takim przypadku administrator może rozpocząć przetwarzanie danych osobowych dopiero po zarejestrowaniu zbioru.

Administrator danych nie zgadzający się z decyzją o odmowie rejestracji zbioru danych może także zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych z wnioskiem o ponowne rozpatrzenie sprawy.

Ostatnie aktualności