Przedsiębiorstwa, które dysponują wewnętrznymi bazami danych klientów, są prawnie zobowiązane do zarejestrowania zbiorów w GIODO, czyli Generalnym Inspektoracie Ochrony Danych. Niestety rejestracji tej poddaje się bardzo mało firmowych zbiorów danych. Wynika to z tego, że wielu właściciel firm nie wie jak przeprowadzić całą operację lub też nie zdaje sobie sprawy, że zgromadzona przez niego baza danych musi zostać zgłoszona do GIODO. Tymczasem konsekwencje niedopełnienie tego obowiązku mogą być bardzo restrykcyjne i bolesne dla firm. Zobacz jak zarejestrować bazę danych w GIODO.
Czym jest baza danych?
To, czym jest baza danych, określone jest w ar. 7 Ustawy o ochronie danych osobowych. Przepis ten mówi, że zbiór danych to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
W praktyce oznacza to, że aby zbiór można było uznać za bazę danych, należy odnaleźć kryterium umożliwiające odnalezienie konkretnych informacji w zestawie. Kryterium takiego wyszukiwania może być np. imię i nazwisko, data urodzenia czy PESEL. Za kryterium można też uznać np. datę zamieszczenia danych w zbiorze. Usystematyzowany zestaw danych powinien obowiązkowo zostać zgłoszony jako baza danych do Generalnego Inspektoratu Ochrony Danych Osobowych. Przesłanki zwalniające z tego obowiązku można znaleźć w art. 43 wyżej cytowanej ustawy.
Jakie bazy danych trzeba rejestrować w GIODO?
Definicja zaprezentowana w ustawie nie zawsze jest rozumiana przez przedsiębiorców. Cześć z nich uważa, że ich bazy danych nie spełniają kryteriów podanych w dokumencie i dlaczego też nie podlegają rejestracji. Należy jednak zaznaczyć, że większość baz należy zarejestrować. Do zbiorów objętych tym obowiązkiem należą m.in. bazy mailingowe, wykazy klientów ze e-sklepów itd. Wynika to z tego, że zawierają one dane, po których można zidentyfikować daną osobę, np. imię i nazwisko w mailu.
Kto rejestruje bazę danych w GIODO?
Obowiązek rejestracji bazy danych w GIODO należy do administratora danych. Administratorem danych jest firma, spółka, fundacja, stowarzyszenie, organ państwowy lub osoba fizyczna, która nabyła lub zgromadziła dane. Nie ma tu znaczenia czy te dane samodzielnie przetwarza, czy też zleciła to zewnętrznemu podmiotowi.
Kiedy rejestrować bazę w GIODO?
Zgodnie z obowiązującymi przepisami bazę należy zarejestrować jeszcze przed rozpoczęciem przetwarzania danych, czyli przed wykonaniem pierwszych czynności. Oznacza to, że np. wysyłkę mailingów do posiadanego zbioru adresów email można rozpocząć dopiero po zgłoszeniu zbioru do GIODO.
Jak zgłosić bazę danych do GIODO?
Zgłoszenie bazy danych do GIODO następuje na specjalnym wniosek. Opisuje się na nim strukturę i źródło pochodzenia bazy. Należy również wskazać cel przetwarzania danych oraz oznaczyć podmiot prowadzący zbiór (czyli podać nazwę firmy oraz jej adres i numer identyfikacji gospodarczej). Ważne jest również wskazanie podstawy prawnej upoważniające do prowadzenia zbioru oraz środków technicznych i organizacyjnych podjętych w zakresie zabezpieczenia zbioru danych osobowych.
Zmiany w bazie danych – jak je zgłaszać do GIODO?
Administrator bazy danych zobowiązany jest także do zgłaszania GIODO zmian zachodzących w zbiorze danych i omówionych w powyższych akapitach. Na zgłoszenie takiej zmiany ma się 30 dni od jej dokonania.
Kary za niezarejestrowanie bazy w GIODO
Brak rejestracji bazy danych w GIODO może wiązać się z karami. Ustawodawca w tym zakresie przewidział zarówno sankcje finansowe, jak i kary ograniczenia i pozbawienia wolności do lat 2. Generalny Inspektor może nałożyć kary wynikające z ustawy o ochronie danych osobowych bez konieczności zawiadamiania prokuratury.
