Zbiór z danymi wrażliwymi – czy zgłaszać go do GIODO

Wioleta Szczygielska

Autor: Wioleta Szczygielska

Dodano: 4 grudnia 2017
Dokument archiwalny
Zbiór z danymi wrażliwymi – czy zgłaszać go do GIODO
Pytanie:  Czy zbiór danych osobowych zawierający dane wrażliwe trzeba zgłaszać do rejestracji u Generalnego Inspektora Ochrony Danych Osobowych? Jeżeli taki obowiązek istnieje, to z jakiego przepisu prawa on wynika? Czy jeżeli administrator danych powołał ABI, to nie ma już takiego obowiązku?
Odpowiedź: 

Na gruncie obecnie obowiązujących przepisów istnieje obowiązek zgłaszania zbiorów danych osobowych zawierających dane wrażliwe do rejestracji u Generalnego Inspektora Ochrony Danych Osobowych. Administrator danych ma taki obowiązek, nawet jeśli powołał administratora bezpieczeństwa informacji.

Zbiór danych osobowych zawierający dane wrażliwe należy zgłosić do rejestracji u Generalnego Inspektora Ochrony Danych Osobowych. Wynika to z art. 40 ustawy o ochronie danych osobowych. Zgodnie z nim „administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 i 1a”.

Administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił to do GIODO, jest zwolniony z obowiązku rejestracji zbiorów danych osobowych. Wówczas to administrator bezpieczeństwa informacji prowadzi jawny rejestr zbiorów danych osobowych przetwarzanych przez administratora danych. Zwolnienie to nie dotyczy jednak zbiorów danych zawierających dane wrażliwe. Wynika to z art. 43 ust. 1a ustawy o ochronie danych osobowych, zgodnie z którym „obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji (...)”. Dane wskazane w art. 27 ust. 1 to właśnie dane wrażliwe.

Ważne:

Należy pamiętać, że od 25 maja 2018 r., gdy zacznie być stosowane unijne rozporządzenia o ochronie danych (RODO), zniknie obowiązek zgłaszania zbiorów danych osobowych do rejestracji. Administrator danych będzie musiał prowadzić natomiast wewnętrzny rejestr czynności przetwarzania danych osobowych.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922).
Wioleta Szczygielska

Autor: Wioleta Szczygielska

Specjalista z zakresu prawa ochrony danych osobowych. Wieloletni redaktor fachowych publikacji związanych z tematyką ochrony danych osobowych.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x