Pytanie:  Czy zbiór danych osobowych zawierający dane wrażliwe trzeba zgłaszać do rejestracji u Generalnego Inspektora Ochrony Danych Osobowych? Jeżeli taki obowiązek istnieje, to z jakiego przepisu prawa on wynika? Czy jeżeli administrator danych powołał ABI, to nie ma już takiego obowiązku?

Pytanie:  Jesteśmy biurem rachunkowym dla trzech spółek „sióstr”. Wszystkie te spółki należą do jednej grupy kapitałowej. Aktualnie w żadnej ze spółek nie ma żadnych procedur związanych z ochroną danych osobowych, nie ma ABI czy osoby, która zajmuje się tym tematem. Pracownicy naszej spółki, którzy rozliczają i prowadzą dokumentację kadrowo-księgową dla spółek „sióstr”, mają jedynie w aktach osobowych upoważnienia do przetwarzania danych osobowych. Spółki zajmują się produkcją kompostu, zbiorem owoców. Zatrudniamy ludzi do prac sezonowych i na umowy stałe o pracę, mamy wielu kontrahentów i klientów. W jakim zakresie w tych spółkach powinna działać ochrona danych osobowych? Czy jako prywatna firma musimy wyznaczyć inspektora ochrony danych? Jakie kary nam grożą, jeśli nie podejmiemy odpowiednich kroków w kwestii ochrony danych osobowych?

Pytanie:  W naszej firmie pojawił się zbiorów danych osób skazanych wyrokiem, wykonujących karę poprzez prace społecznie użyteczne. Czy otrzymując od sądu pismo w tej sprawie, stajemy się administratorem tych danych? Nie mamy wyznaczonego ABI – czy zbiór musimy zgłosić do GIODO? Jaką podstawę przetwarzania tych danych przyjąć, tworząc wykaz zbiorów?

Jeśli administrator danych powołał administratora bezpieczeństwa informacji i zgłosił go GIODO do rejestracji, to jest zwolniony z obowiązku rejestracji zbiorów danych zwykłych. ABI zobowiązany jest wówczas prowadzić rejestr zbiorów danych osobowych przetwarzanych przez administratora danych. Rejestr powinien być jawny. Sprawdź, czy można żądać wniesienia opłaty za dostęp do niego.

Pytanie:  Czy w sytuacji, gdy Generalny Inspektor Ochrony Danych Osobowych odmówi zarejestrowania zbioru danych osobowych zgłoszonego do rejestracji, można dalej przetwarzać dane osobowe, które znajdują się w tym zbiorze? Co grozi za przetwarzanie danych w zbiorze, który nie został zarejestrowany przez GIODO?

Generalny Inspekor Ochrony Danych Osobowych informuje, że administratorem danych przetwarzanych w celu przyznania Karty Dużej Rodziny jest gmina i to ona powinna zgłosić zbiór danych osobowych tworzony w tym celu.

Jednym z obowiązków administratora bezpieczeństwa informacji jest prowadzenie rejestru zbiorów danych osobowych przetwarzanych przez administratora. Rejestr zbiorów danych ma być jawny, a co za tym idzie, każdy ma prawo go przeglądać. Dowiedz się, w jaki sposób udostępnić rejestr zbiorów, by zrealizować te obowiązek.

W związku z likwidacją gimnazjów pojawia się pytanie, co stanie się ze zbiorami danych przetwarzanych przez te szkoły. GIODO radzi, jak należy postąpić z takimi zbiorami danych – czy złożyć wniosek o ich usunięcie z rejestru, czy może zgłosić zmiany w zbiorach.

Pytanie:  Czy archiwum zakładowe stanowi zbiór danych osobowych w rozumieniu ustawy o ochronie danych osobowych? Jeżeli tak, to czy mamy obowiązek zgłosić taki zbiór danych osobowych do rejestracji do Generalnego Inspektora Ochrony Danych Osobowych? W naszej organizacji nie został powołany administrator bezpieczeństwa informacji.