Nie muszę wyznaczać Administratora Bezpieczeństwa informacji?

ABIObowiązujące od 1 stycznia 2015 r. znowelizowane przepisy ustawy o ochronie danych osobowych wprowadzają nowe zasady rejestracji zbiorów danych osobowych.

Jedną z tych zmian jest wprowadzanie  w art. 43 ustawy o ochronie danych osobowych punktu 12 w brzmieniu:

„12)  przetwarzanych  w  zbiorach,  które  nie  są  prowadzone  z  wykorzystaniem systemów  informatycznych,  z  wyjątkiem  zbiorów  zawierających  dane,  o których mowa w art. 27 ust. 1.”

Jest to spore ułatwienie, np. nie trzeba już rejestrować ewidencji korespondencji- chyba, że wynika z jej opisu np. stan zdrowia.

O wiele ciekawszym przypadkiem zwolnienia jest powołanie Administratora Bezpieczeństwa Informacji.

Do art. 43 ustawy o ochronie danych osobowych dodaje się ustęp 1a w brzmieniu:

„1a.  Obowiązkowi  rejestracji  zbiorów  danych  osobowych,  z  wyjątkiem  zbiorów  zawierających  dane,  o  których  mowa  w  art.  27  ust.  1,  nie  podlega  administrator  danych,  który  powołał  administratora  bezpieczeństwa  informacji  i  zgłosił  go  Generalnemu  Inspektorowi  do  rejestracji,  z  zastrzeżeniem art. 46e ust. 2.”;

Zgodnie z tym artykułem w przypadku, kiedy GIODO zarejestruje naszego Administratora Bezpieczeństwa Informacji (fakt dokonany) pierwszym wyznacznikiem przy rejestracji zbiorów danych będzie ich zawartość, a dokładniej mówiąc, czy zawierają dane „wrażliwe” (opisane w art. 27 ust. 1 ustawy o ochronie danych osobowych).

Dla przypomnienia dane „wrażliwe” to dane ujawniające :

– pochodzenie rasowe  lub  etniczne,
– poglądy  polityczne,
– przekonania  religijne  lub  filozoficzne,
– przynależność  wyznaniową,  partyjną  lub  związkową,
– jakiekolwiek informacje ujawniające stan zdrowia,
– kod genetyczny,
– informacje o nałogach
– informacje o życiu  seksualnym
– dane dotyczące  skazań,  orzeczeń  o  ukaraniu  i  mandatów  karnych,  a  także  innych  orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Niestety w Sieci Internet pojawiły się błędne interpretacje dotyczące powołania Administratora Bezpieczeństwa Informacji. Najczęstszą jest głoszenie teorii – „Od 1 Stycznia 2015 nie musisz mieć ABI-ego!”

Zgodnie z nowym artykułem mówiącym o powołaniu Administratora Bezpieczeństwa Informacji, Administrator Danych „może” powołać Administratora Bezpieczeństwa Informacji:

„Art.  36a.  1.  Administrator  danych  może  powołać  administratora  bezpieczeństwa informacji.”

Wynika z tego, że decyzja należy do administratora danych. I jak najbardziej zgadzam się z tym, ale…

Trzeba zwrócić uwagę również na art.  36b, który stanowi, co w przypadku NIE POWOŁANIA Administratora  Bezpieczeństwa Informacji:

„Art.  36b.  W  przypadku  niepowołania  administratora  bezpieczeństwa  informacji zadania  określone  w  art.  36a  ust.  2  pkt  1,  z  wyłączeniem  obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych.”

I tutaj zaczyna się problem, mianowicie co w sytuacji, w której Administratorem Danych jest osoba prawna, np. Spółka z o.o. ?

Zadania Administratora Bezpieczeństwa Informacji obejmują np.

– nadzorowanie  opracowania  i  aktualizowania  dokumentacji Polityki Bezpieczeństwa,
– zapewnienie  zapoznania  osób  upoważnionych  do  przetwarzania  danych  osobowych  z  przepisami  o  ochronie  danych osobowych.

Osoba prawna nie jest w stanie wykonać tych czynności, a więc musi być to osoba fizyczna. Najlepiej Administrator Bezpieczeństwa Informacji.

Warto tutaj przytoczyć dwie rzeczy:

  1. Wypowiedź zastępcy GIODO ministra Andrzeja Lewińskiego:

Decyzja o powołaniu ABI będzie należała do administratora danych. Jeżeli uzna on, że jest w stanie samodzielnie zadbać o prawidłowe przetwarzanie danych i zapanować nad tym procesem, nie musi tego robić. Jednak, jak wskazywał minister Andrzej Lewiński, w pewnych przypadkach nie tylko warto, ale wręcz należałoby powołać ABI, który mając odpowiednią wiedzę z zakresu ochrony danych osobowych, wspomoże administratora danych w sprawowaniu nadzoru nad przetwarzaniem danych osobowych w firmie.

  1. Wyrok w sprawie GIODO kontra Google (II SA/Wa 630/12 – Wyrok WSA w Warszawie):

” Wychodząc z reguł wykładni celowościowej, warto zwrócić uwagę, że ustawodawca, tworząc podstawy bezpieczeństwa w procesie przetwarzania danych osobowych (art. 36 – art. 39 ww. ustawy), swą uwagę koncentruje na odpowiedzialności i możliwości jej egzekwowania, zwłaszcza w wymiarze prawnokarnym (Rozdział 8 ustawy), co w przypadku podmiotów o wieloosobowej strukturze organizacyjnej jest szczególnie ważne. W przepisach prawnokarnych ustawy o ochronie danych osobowych (art. 51, art. 52, art. 53, art. 54) chodzi bowiem o przestępstwa indywidualne, popełniane w związku z naruszeniem przepisów tej ustawy, a więc rzecz dotyczy odpowiedzialności konkretnych osób fizycznych, zważywszy że ustawa rozróżnia pojęcia „administratora danych” i „administrującego zbiorem danych”. To z tego względu prawodawca zdecydował o takim właśnie brzmieniu art. 36 ust. 3 ustawy, wprowadzając obowiązek, by osobą odpowiedzialną za nadzór i bezpieczeństwo przetwarzania danych osobowych w podmiotach o wieloosobowej strukturze organizacyjnej była konkretnie wskazana osoba fizyczna. Jedynie bowiem w przypadku administratorów danych, będących osobami fizycznymi, którzy samodzielnie (osobiście) administrują proces przetwarzania danych, ustawa nie nakłada obowiązku wyznaczenia administratora bezpieczeństwa informacji, gdyż tylko w takiej sytuacji administrator danych jednocześnie dzierży uprawnienia i obowiązki administratora bezpieczeństwa informacji, co pozwala na ustalenie jego odpowiedzialności i w konsekwencji na zastosowanie sankcji karnych, gdyby – prowadząc swą działalność – naruszył przepisy o ochronie danych osobowych.

Michał Geilke 

174 Comments

  1. Gosia

    Panie Michale. Czy należy rejestrować zbiór który jest prowadzony z wykorzystaniem systemów informatycznych. Zbiór ten zawiera dane wrażliwe jak przynależność do organizacji związkowej?
    Dział płac pobiera na pisemną prośbę pracownika (należącego do organizacji związkowej) składkę i przekazuje ją na konto organizacji związkowej.

    Pozdrawiam

    Reply
    1. Michał (Post author)

      Dzień dobry,

      w tym przypadku są to dane PRACOWNIKÓW, a więc są zwolnione z rejestracji na mocy art. 43 ust.1 pkt. 4. Od 1 stycznia 2015 r. dodatkowo nie trzeba rejestrować zbirów danych przetwarzanych wyłącznie w formie papierowej, ale nie mogą one zawierać tzw. „danych wrażliwych”, czyli danych opisanych w art. 27 ust. 1 UODO.

      Pozdrawiam,
      Michał Geilke

      Reply
  2. Paula

    Witam, Mam ośrodek szkoleniowy w którym zatrudniam jedną osobę na umowę zlecenie. Czy w takim przypadku muszę zarejestrować zbiór danych.
    Pozdrawiam

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Umowa zlecenie, jest umową cywilnoprawną. A zatem, ma tutaj zastosowanie zwolnienie z art. 43 ust. 1 pkt 4 UODO. Reasumując, nie rejestruje się tego zbioru (Zbiór danych przetwarzanych na potrzeby umów Cywilnoprawnych).

      pozdrawiam,

      Michał Geilke

      Reply
  3. martatta@wp.pl

    witam. czy musze zarejestwowac zbiór jezeli gromadze na serwerze dane pracowników w zakresie …zaswiadczen o stanie zdrowia, badania i itp.? czy sa to dane wrazliwe?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Żeby odpowiedzieć na to pytanie trzeba uściślić kilka rzeczy:

      – Kogo są to pracownicy? Jeżeli są to pracownicy Administratora Danych (czyli Państwa pracownicy) to Zbiór Danych Pracowników nie podlega rejestracji – art. 43 ust 1 pkt. 4 UODO.
      – Jeżeli są to pracownicy innych podmiotów (innych ADO), to ogólnie czy ten zbiór podlega rejestracji czy nie to „problem” ADO. Procesor nie rejteruje zbiorów danych powierzonych.

      Odnośnie danych wrażliwych, wszystko co dotyczy stanu zdrowia jest daną wrażliwą w rozumieniu art. 27 ust. 1 UODO.

      Pozdrawiam,

      Michał Geilke

      Reply
  4. Tomek

    Witam Panie Michale,

    Czy prowadząc działalność gospodarczą, polegającą na świadczeniu usług księgowych muszę w jakiś specjalny sposób zadbać o dane osobowe moich klientów? Czy taki zbiór podlega rejestracji?

    Pozdrawiam Tomek

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Jak najbardziej tak. Obowiązują Pana wszystkie* zapisy ustawy o ochronie danych osobowych. *) Wobec danych które Pan „otrzymuje” od Klientów musi Pan spełnić wszystkie wymagania z art. 36 do 39a- np. co z ABI-m, posiadać Politykę Bezpieczeństwa. Odnośnie danych „własnych” np. ma pan zatrudnienie, musi Pan spełnić wszystkie wymagania. Jeśli natomiast chodzi o rejestracje zbiorów, to po pierwsze obowiązek ten dotyczy Administratorów Danych, Pan nie jest ADO danych powierzonych.

      W przypadku dalszych niejasności proszę o kontakt telefoniczny.

      Pozdrawiam,

      Michał Geilke

      Reply
  5. Agnieszka

    Dzień Dobry!
    Prowadzę biuro rachunkowe w formie spółki cywilnej. W listopadzie 2014r wdrożyłam system o ochronie danych. Podpisałam umowy z klientami, posiadam instrukcję zarządzania syst.informat., posiadam politykę bezpieczeństwa, upoważniłam pracownika i wspólnika do przetwarzania danych oraz wyznaczyłam siebie jako ABI. Czy muszę zgłaszać zbiory do GIODO skoro z tego co rozumiem ABI nie jest już obowiązkowe, a ja takie upoważnienie posiadam.
    Pozdrawiam z góry dziękując za odpowiedź

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Sytuacja którą Pani opisuje wymaga doprecyzowania. Ogólnie jeżeli Spółka posiada wyznaczonego ABI-ego może dzięki temu wyznaczeniu nie rejestrować pewnych zbiorów danych osobowych – więcej na ten temat znajduje się TUTAJ. Dość istotna tutaj będzie umowa samej Spółki Cywilnej.

      Pozdrawiam,
      Michał Geilke

      Reply
  6. Dominik

    Witam,
    Czy w sytuacji kiedy powierzono mi zbiór danych osobowych (umową powierzenia) jestem zobligowany do zewidencjonowania takiego zboru w załączniku „Wykaz zbiorów danych osobowych „ w mojej Polityce Bezpieczeństwa Informacji ?

    Pozdrawiam

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Posiadanie wykazu zbiorów danych jest obowiązkiem Administratora Danych Osobowych. Podmiot któremu powierza się dane osobowe nie jest ich administratorem danych, a jedynie tzw. Procesorem. Osobiście jednak tak dla „porządku” posiadam opis zbiorów powierzonych, opis zawiera to samo co w przypadku zbiorów danych przetwarzanych jako Administrator Danych, ale z zaznaczeniem że są to zbiory powierzone.

      Pozdrawiam,
      Michał Geilke

      Reply
  7. ewa

    Witam,prowadze warsztat samochodowy,nie mam pracownikow, nie wystawiam faktur tylko paragony,dzwonia do mnie dwa razy dziennie z Bydgoszczy.czy musxe wchodzic w to i miec administratora

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Jeżeli przetwarza Pan dane osobowe w związku z prowadzeniem warsztatu to musi Pan spełnić obowiązki opisane w ustawie o ochronie danych osobowych. Czy musi Pan mieć ABI? Moim zdaniem niekoniecznie jeżeli np. prowadzi Pan warsztat jako jednoosobowa działalność gospodarcza. Pytaniem bez odpowiedzi zostaje fakt czy na pewno nie przetwarza Pan danych? Np. czy ma pan zainstalowany Monitoring Wizyjny w warsztacie?

      Pozdrawiam,

      Michał Geilke

      Reply
      1. Tomasz

        Jeśli mam działalność gospodarcza, mam pracowników, ale ja jestem administratorem tylko.Jeśli jest monitoring wizyjny i jest strona internetowa warsztatu z formularzem kontaktowym to trzeba zgłosić zbiór do giodo. Ale co zaznaczyć w formularzu i co jest z systemem informatycznym, jeśli dane będą trafiać od razu na dedykowany email a potem zapisywany w folderze z hasłem które znam tylko ja jako właściciel to jest to system informatyczny czy musze wdrażać politykę bezpieczeństwa i instrukcję?

        Reply
        1. Michał (Post author)

          Dzień dobry,

          Politykę i IZSI (jeśli dane są przetwarzane w systemie informatycznym) musi Pan posiadać praktycznie od razu po zatrudnieniu jednego tyko pracownika – staje się wtedy Pan Administratorem Danych, chyba że Pana działalność ma osobowość prawną.

          Raczej na pewno musi Pan zarejestrować zbiór Monitoring i Klienci (na aktualny stan wiedzy na temat pana firmy). System informatyczny o który Pan pyta ma definicje w art. 2 UODO:

          „2a) systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń,
          programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu
          przetwarzania danych;”

          Pozdrawiam,

          Michał Geilke

          Reply
  8. Dominik

    Witam, Czy opis struktury zbiorów danych osobowych należy wykonać również dla zbiorów papierowych lub zbiorów danych osobowych pracowników, które nie wymagają zgłoszenia do GIODO?

    Reply
  9. Iza

    Dzień dobry,
    Pracuję w niewielkiej szkole publicznej. ADO jest szkoła (jednostka organizacyjna). Problemtyką ochrony danych osobowych i obowiązki ABI, z powodu ograniczonych możliwości kadrowych osobiście wykonuje dyrektor (nie mamy zastępcy). Czy obecnie ABI może być jej dyrektor i czy to jego osobę zarejestrować u GIODO?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Najczęściej w przypadku „szkoły” ADO jest Dyrektor. Dyrektor jedynie może wykonywać obowiązki ABI. Wtedy nie trzeba rejestrować ABI-ego bo go po prostu nie ma. Tutaj cytat z wniosku rejestracji zbioru danych:

      „administrator danych sam wykonuje czynności administratora bezpieczeństwa informacji,”.

      Pozdrawiam,

      Michał Geilke

      Reply
  10. Andrzej

    Witam, pracuję w jednym z urzędów gminy, muszę powoływać ABI, czy nie muszę ? Jest mnóstwo różnych interpretacji, a czasu pozostało niewiele. Pozdrawiam

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Najprawdopodobniej w Tym przypadku ADO jest osoba fizyczna – Burmistrz (lub Wójt). Zgodnie z aktualnymi przepisami w takim przypadku nie musi być powołany ABI, ale osobiście musi jego zadania wykonywać ADO.

      Pozdrawiam,

      Reply
  11. Leszek

    Witam, mam pytanie do Pana. Jestem jednym z 4 wspólników spółki cywilnej, czyli jednocześnie jesteśmy ADO. Ostatnio dowiedziałem się, że nie mogę pełnić funkcji ABI, jeżeli to s.c. Czy to jest prawda? Dziękuję za odpowiedź.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Moim zdaniem tak jest, może Pan jedynie wykonywać obowiązki ABI-ego.

      Pozdrawiam,

      Reply
  12. Daga

    Dzień Dobry
    Czy Prezes będący ADO może powołać pracownika swojej firmy na ABI nie informując go o tym fakcie i bez jego zgody? czy może dokonać zgłoszenia takiego ABI bez jego zgody w GIODO i czy wreszcie pracownik zatrudniony na stanowisku nie związanym z ochroną danych jako takich tylko zajmujący się np. sprzedażą może dostać dodatkowy zakres obowiązków jako ABI czy jednak ABI powinien być stanowiskiem odrębnym?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Raczej powinien poinformować o tym Pracownika. Wyznaczenie na ABI wiąże się ze spora ilością obowiązków. W UODO od 1 stycznia 2015 r. zostało sprecyzowane dokładnie kto może zostać ABI-m i mogą być takie uwarunkowania że osoba ds. sprzedaży może być ABI-m (ale nie zawsze). Administratorem bezpieczeństwa informacji może być osoba, która:
      1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
      2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
      3) nie była karana za umyślne przestępstwo;
      4) nie kontroluje sama siebie w istotnych procesach przetwarzania danych osobowych;
      5) wykonuje inne obowiązki, jeżeli nie naruszy to prawidłowego wykonywania zadań ABI-ego (zależność, brak czasu, kontrola samego siebie itp.);
      6) podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych;
      7) ma zapewnione środki i organizacyjną odrębność;

      Pozdrawiam,

      Michał Geilke

      Reply
      1. Kate

        Bardzo mnie zainteresowało to co Pan napisał w punkcie 4 i w punkcie 5, na jaki przepis można się powołać aby potwierdzić to stwierdzenie?

        Reply
        1. Kate

          Proszę mi powiedzieć jeszcze czy ABI musi co roku wykonywać kontrole wewnętrzne?

          Reply
          1. Michał (Post author)

            Dzień Dobry,

            Odnośnie stwierdzeń w punkcie 4 i 5, na początku należy przytoczyć Art. 36a ust. 4 i 8:

            „4. Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust. 2.”

            „8. Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań, o których mowa w ust. 2.”

            Zadania ABI to między innymi- „Art. 36a ust. 2 a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych
            osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,”.

            Odnośnie kontroli, zgodnie z § 3. 5 rozporządzenia z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów
            o ochronie danych osobowych przez administratora bezpieczeństwa informacji sprawdzenie musi być PRZYNAJMNIEJ jedno w roku:

            „5. Plan sprawdzeń jest przygotowywany przez administratora bezpieczeństwa informacji na okres nie krótszy niż
            kwartał i nie dłuższy niż rok. Plan sprawdzeń jest przedstawiany administratorowi danych nie później niż na dwa tygodnie
            przed dniem rozpoczęcia okresu objętego planem. Plan sprawdzeń obejmuje co najmniej jedno sprawdzenie. ”

            Pozdrawiam
            Michał Geilke

  13. Malina

    Dzień dobry Panie Michale czy jeżeli ADO nie chce powoływać ABI i zgłaszać do GIODO czy może wskazać pracownika ( nie będzie nazywał się ABI wpisać w zakres obowiązków wydawanie upoważnień szkolenia itd) który będzie w imieniu ADO zajmował się obowiązkami które które powinien ADO wykonywać osobiście zgodnie z Art 36a uodo
    i kolejne pytania… sprawozdanie – jeżeli ABI zostanie powołany – czy w sprawozdaniu ( zgodnie z art. 36a ust. 2 pkt 1 lit. a) może wykonać sprawdzenie działu i rozłożyć sobie w planie sprawozdań sprawdzenie w ciągu roku kilku działów w zakładzie pracy i czy musi zostać sprawdzony w przeciągu roku cały zakład pracy? a może to sprawozdanie odnosi się do całej jednostki…? Czy takie sprawdzenie sposobu przetwarzania danych odnośnie całej jednostki można sobie rozłożyć na powiedzmy dla lata? Czy sprawdzając jeden z działów możemy losowo wybrać sobie pracowników czy musimy sprawdzić wszystkich?

    Pozdrawiam Serdecznie

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Obecnie, zgodnie z treścią art. 36 a ust. 1 UODO administrator danych może powołać administratora bezpieczeństwa informacji. Natomiast, zgodnie z art. 36 b ustawy w przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych.

      Moim zdaniem, każde niewyznaczenie ABI powoduje konieczność wykonywania jego obowiązków przez samego ADO- w zależności kto nim jest zadania te mogą (ADO osoba prawna, a obowiązki ABI pełni ktoś z zarządu)lub nie mogą być delegowane innym osobom (ADO osoba fizyczna).
      Osobiście, pomijając przepisy jestem za powoływaniem ABI-ich, daje to sporo korzyści.

      Pozdrawiam,
      Michał Geilke

      Reply
      1. Malina

        ….
        hmm ale czy może powiedzmy dyrektor będący ADO nie zgłaszający do GIODO ABI wrzucić w zakres obowiązków pracownika czynności które ma sam ADO wykonywać zgodnie z uodo

        Reply
        1. Malina

          i taki ABI nie zgłoszony do GIODO będzie wymieniony w polityce bezpieczeństwa jako Inspektor ochrony danych osobowych będzie wykonywał obowiązki jakie ma ADO i dbał to by wszystko było zgodnie z ustawą czy takie rozwiązanie można zastosować?

          Reply
    2. Justyna

      Dzień dobry Panie Michale cjeżeli ABI zostanie powołany – czy w sprawozdaniu ( zgodnie z art. 36a ust. 2 pkt 1 lit. a) może wykonać sprawdzenie działu i rozłożyć sobie w planie sprawozdań sprawdzenie w ciągu roku kilku działów w zakładzie pracy i czy musi zostać sprawdzony w przeciągu roku cały zakład pracy? a może to sprawozdanie odnosi się do całej jednostki…? Czy takie sprawdzenie sposobu przetwarzania danych odnośnie całej jednostki można sobie rozłożyć na powiedzmy dla lata? Czy sprawdzając jeden z działów możemy losowo wybrać sobie pracowników czy musimy sprawdzić wszystkich?

      Reply
  14. Asia

    Witam,
    Pracuję w spółce z o.o. (firma budowlana) zatrudniająca pracowników, i gromadząca dane kontrahentów w celu wystawienia FV. art. 43 mówi że akta osobowe i dane na potrzeby faktur są zwolnione czy dobrze rozumiem że nie muszę zgłaszać rejestrów? A co ze zgłoszenie ABI ?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Dane przetwarzane w związku z zatrudnieniem u państwa w firmie tak jak Pani pisze nie musza być rejestrowane.
      Szerszą odpowiedz przesłałem na Pani adres e-mail.

      Pozdrawiam,

      Michał Geilke

      Reply
  15. Michał

    Witam
    Prowadzę jednoosobową firmę spedycyjno-transportową. Posiadam zatrudnioną jedną osobę na umowę zlecenie i jak rozumiem nie muszę zgłaszać do GIODO. Natomiast z tytułu prowadzenia spedycji w wystawianych zleceniach są podstawowe dane firm ( adresy do fakturowania ) świadczących dla mnie usługę transportową oraz podstawowe dane kierowcy ( imię, nazw, nr dow, tel ) . czy takie dane podlegaja zgłoszeniu ?

    Reply
  16. Sylwester

    Witam

    Czy ADO może powołać siebie samego na ABI? Obowiązki podobne a brak konieczności rejestracji zbiorów. Dotyczy małych portali internetowych.

    Pozdrawiam
    Sylwek

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Niestety NIE. ADO może sam wykonywać obowiązki ABI nie stając się nim. ADO nie może piastować funkcji nadzorczej (ABI) wobec samego siebie.

      Pozdrawiam,

      Reply
  17. Jarek

    Witam Panie Michale. Jestem prezesem Fundacji, która przyznaje stypendia naukowe studentom – czy mając podstawowe dane kontaktowe tych osób w formie elektronicznej jak i papierowej(stypendystów) i prowadząc dział.gospodarczą (prowadzenie pensjonatu-jeden pracownik) muszę wyznaczyć ABI? Czy ja jako ADO muszę mieć certyfikat ABI? z góry dziękuję za szybką odp.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Jeżeli wykonuje Pan sam obowiązki Administratora Bezpieczeństwa Informacji wynikające z Ustawy o ochronie danych osobowych ( i inne narzucone na Administratora Danych), to nie ma takiej konieczności.

      Pozdrawiam,

      Reply
  18. Grzegorz

    Witam, Obsługuję pod kątem informatycznym dom dziecka. Rozumiem że Administratorem danych jest Dyrekcja placówki, czy mogą wyznaczyć mnie lub firmę dla której pracuję jako Administratora Bezpieczeństwa Informacji? Czy dane wychowanków powinny być zgłoszone do Giodo?

    Dziękuję za odpowiedź

    Reply
    1. Michał (Post author)

      Dzień dobry,

      ADO jest Dyrektor placówki tak jak Pan napisał. Dyrektor może (ale nie musi) Pana wyznaczać na Administratora Bezpieczeństwa Informacji. Zbiór Wychowanków podlega rejestracji, nawet w przypadku powołania ABI (zawiera dane „wrażliwe” – np. stan zdrowia, dane dotyczące pozbawienia władzy rodzicielskiej itp.).

      Pozdrawiam,
      Michał Geilke

      Reply
  19. Anna

    Witam,
    pracuję w firmie transportowo-spedycyjnej (jednoosobowa działalność gospodarcza), w której oprócz pracowników biurowych i kierowców (wszyscy na umowy o pracę)posiadamy podwykonawców (przewoźników)oraz kontrahentów. Dysponujemy podstawowymi danymi tych podmiotów, niezbędnymi do wystawiania zleceń transportowych oraz faktur, tj.: nazwą firmy, NIP-em i adresem. Dane pracowników są przechowywane w formie papierowej, natomiast dane przewoźników widnieją w komputerowej bazie danych. Szef nie wyznaczył ABI, sam pełni obowiązki ADO. Ja zajmuję się w firmie m.in. prowadzeniem spraw kadrowych, koleżanka wystawia faktury. Czy powinnyśmy obydwie w świetle ustawy UODO uzyskac jakieś umocowania od ADO? Czy szef musi powołać ABI? Kto przeprowadza kontrolę w firmie, jeżeli brakuje w niej ABI?
    Pozdrawiam,

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Osoba prowadząca jednoosobową działalność gospodarczą nie pełni obowiązków Administratora Danych tylko jest Administratorem danych (w tym konkretnym przypadku który Pani opisuje).
      Muszą Panie być po pierwsze zapoznane z przepisami o ochronie danych osobowych, posiadać upoważnienie do przetwarzania danych osobowych wydane przez Właściciela firmy oraz musi być wdrożona Polityka Bezpieczeństwa.
      Skontrolować może Państwa każda instytucja posiadająca takie uprawnienia, np. GIODO, UOKiK, PIP itp.

      Pozdrawiam,
      Michał Geilke

      Reply
  20. Malwina

    Witam serdecznie Panie Michale,
    prowadzę biuro rachunkowe (nie zatrudniam pracowników). Wykonuję usługi księgowe dla: spółki cywilnej – posiadam dane wspólników do przekazania deklaracji podatkowych i rozliczeń z zus;
    Oraz dla jednoosobowej działalności gospodarczej.
    czy dane tych osób powinnam zgłosić do GIODO Jako zbiór moich klientów?
    Czy posiadając umowę powierzenia przetwarzania danych jestem zwolniona z rejestracji danych o pracownikach których w/w spółka cywilna zatrudnia a ich dane potrzebne są tylko do prowadzenia akt osobowych i wyliczenia płac, sporządzenia deklaracji ZUS i PIT?

    Gorąco pozdrawiam

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Rejestracja zbiorów danych jest obowiązkiem Administratora Danych- Pani nie jest Administratorem Danych danych powierzonych. Więcej może pani przeczytać w tym wpisie: http://odo.com.pl/czy-procesor-musi-rejestrowac-powierzone-zbiory-danych/

      Wobec „własnych” danych (nie powierzonych) ma Pani pełno obowiązki wynikające z Ustawy o ochronie danych osobowych jako Administrator tych danych.

      Pozdrawiam,

      Michał Geilke

      Reply
  21. Ewelina

    Witam

    Przeprowadzając proces rekrutacji korzystamy z jednego z portali internetowych, który również przechowuje w swojej bazie aplikacje skierowane do nas. (Do bazy aplikacji mamy dostęp). Pytanie kto jest podmiotem odpowiedzialnym za przechowywanie takich danych? Właściciel serwisu czy my jako podmiot prowadzący rekrutację?

    Pozdrawiam

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Wszystko zależy od umowy między Państwem a Portalem lub zaakceptowanych innych zasad współpracy.

      Pozdrawiam,

      Michał Geilke

      Reply
  22. Agnieszka

    Dzień dobry.

    Wciąż mam problem z określeniem jakie obowiązki związane z ochroną danych osobowych leżą na komornikach sądowych?
    Wiadomo, że dokumentacja taka jak polityka bezpieczeństwa informacji wraz z instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych jest obowiązkowa dla każdego przedsiębiorcy, który przetwarza dane osobowe, więc i w kancelarii komorniczej. Czy komornik ma również obowiązek zgłosić ABI lub poinformować GIODO o niezgłaszaniu ABI? Czy komornik ma obowiązek zgłaszać zbiory danych?

    Z góry dziękuję za pomoc.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Na komornikach sądowych ciąże takie same obowiązki jak na wszystkich podmiotach, które przetwarzają dane osobowe. Musi zabezpieczyć dane, wdrożyć dokumentację (polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym), nadać upoważnienia, prowadzić ewidencję osób upoważnionych.

      Wreszcie ma możliwość dokonania zgłoszenia ABI do GIODO.

      Komornik nie musi zgłaszać zbiorów, które nie zawierają danych osobowych wrażliwych oraz określonych w art. 43 ustawy (m. in.: pracowników, danych przetwarzanych na potrzeby postępowania sądowego).

      W związku z tym, charakter pracy komornika nie stanowi wyłączenia od któregokolwiek z obowiązków wymienionych w ustawie.

      pozdrawiam,

      Reply
  23. Piotr

    Witam serdecznie,

    Prowadzę jednoosobową działalność gospodarczą w zakresie usług detektywistycznych. Zgodnie z ustawą o u.d podpisuję z klientami umowy (zawierają: imie, nazwisko, adres zameldowania, pesel, nr dowodu). Zakres zlecenia w umowie to zazwyczaj zbieranie dowodów odnośnie zdrady. Umowy przechowuję. Prowadzę je wyłącznie w formie papierowej.
    Czy muszę rejestrować zbiór i powoływać ABI? Zdarza się, że klient przesyła mi umowę na email wraz z kopia dowodu a ja czasami wysyłam klientowi sprawozdanie z usługi także na email. Czy to jest już przetwarzanie danych w systemach informatycznych?

    Pozdrawiam
    Piotr Jurzyk

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Odnośnie ABI- nie musi Pan go powywoływać, jeżeli sam będzie Pan wykonywać jego obowiązki (z wyłączeniem sprawozdań). Odnośnie zbiorów danych, kluczowym zagadnienie będzie podejście do funkcji ABI i art. 43 ust 1.
      Przypadek wersji elektronicznej dokumentów o którym Pan wspomina, jest przetwarzaniem danych w formie elektronicznej.

      Pozdrawiam,

      Michał Geilke

      Reply
  24. Jolanta

    Dzień dobry,
    Pracuję w firmie handlowej (sp.z o.o.). Obsługujemy tylko firmy, ale ostatnio przeczytałam, że jeśli zarejestrowane dane mogą być użyte podczas procesu reklamacyjnego to podlegają one pod ochronę danych osobowych. Czy przez proces reklamacyjny rozumiemy, to że np. wysłany towar nie zgadza się z tym co klient zamawiał, albo klient składa reklamację dotyczącą uszkodzenia przesyłki w transporcie przez kuriera? W naszym systemie handlowym wpisywane są dane kontaktowe do firm: telefony, maile pracowników, nazwiska pracowników, takie dane otrzymujemy również prowadząc korespondencję mailową. Czy to prawda, że w związku z tym, należy zgłosić rejestr danych w GIODO?

    I jeszcze jedno pytanie. Czy ADO, którym w tej chwili jest dyrektor firmy, może wyznaczyć mnie jako księgową do funkcji ABI? Zajmuję się również sprawami kadrowymi i płacowymi (ZUS) i w związku z tym wpisuję dane pracowników do systemu informatycznego.

    Pozdrawiam serdecznie.

    Reply
    1. Michał (Post author)

      Nie ma obowiązku zgłaszania takiego zbioru (firmy posiadające osobowość prawną). Przyjmuje się bowiem, że są to zbiory danych powszechnie dostępnych (art. 43 ust. 1 punkt 10 UODO). ADO nie jest dyrektor, tylko Spółka. Może Pani pełnić funkcję ABI.

      Pozdrawiam,
      Tomasz Cygan

      Reply
  25. leszek

    Czy Placówek Oświatowe Specjalne oraz Poradnie Pedagogiczno-Psychologiczne muszą zgłaszać zbiory danych wrażliwych ( powołany jest ABI). Poradnie Psychologiczno-pedagogiczne przekazują opinie np. szkołom uczniów poprzez rodziców. Tym samym każda szkoła posiada takie dane.

    Reply
    1. Michał (Post author)

      Proszę o doprecyzowanie, czyje i jakie dane wrażliwe są przetwarzane, gdyż może istnieć podstawa zwolnienia z rejestracji zbioru określona w art. 43 UODO.

      Reply
      1. iza

        Mam podobny problem do leszka – z tym, że nie mamy powołanego ABI. W szkole specjalnej na podstawie ustawy o systemie oświaty (art.71b ustawy) przetwarzamy dane uczniów tej szkoły zawarte w orzeczeniach o potrzebie kształcenia specjalnego wydanych przez poradnie psychologiczno-pedagogiczne (tylko na ich podstawie uczniowie ci mogą uczeszczać do szkoły specjalnej). Orzeczenia zawierają dane wrażliwe nt. niepełnosprawności uczniów, np. upośledzenia umysłowego. Wydaje się, że ten zbiór bedzie zwolniony z rejestracji na podstawie art.43 ust.1 pkt 4 UODO, ale czy faktycznie tak jest? Proszę o Pana opinię.

        Reply
        1. Michał (Post author)

          Dzień dobry,

          Zbiór danych osób uczących się u Administratora Danych jest zwolniony z rejestracji w GIDOD(art. 43 ust.1 pkt 4)- bez znaczenia jest tutaj wyznaczanie/nie wyznaczenie ABI.

          Zwolnienie z art 43 ust. 1a dotyczy jedynie zbiorów danych które nie są zwolnione z rejestracji na mocy art. 43 ust 1 pkt od 1 do 12.

          pozdrawiam,

          Michał Geilke

          Reply
          1. Joasia

            Mam przejąć obowiązki ABI w szkole specjalnej, w której warunkiem przyjęcia (nauki w szkole)jest posiadanie przez ucznia orzeczenia o potrzebie kształcenia specjalnego zawierającego informacje o niepełnosprawności.
            Czy w związku z tym, że zbiór danych uczących się u ADO jest zwolniony z rejestracji w GIODO (art.43 ust. 1 pkt.4)nie podlega zgłoszeniu również zbiór orzeczeń o potrzebie kształcenia specjalnego, skoro są to orzeczenia osób uczących się u ADO?
            Pozdrawiam

          2. Michał (Post author)

            Dzień dobry,

            Zbiór danych w tym przypadku jest „jeden” – Uczniowie i nie podlega rejestracji. Składa on się z kilku elementów, jednym z nich będzie orzeczeń dotyczących osób uczących się. Jest spójne kryterium, podobnie jak w przypadku Zbioru Danych Pracowników- który składa się również z kilku ewenementów, np. akta osobowe, dokumentacja BHP, ZFŚS czy Płatnik.

            Pozdrawiam,

  26. Magda

    Witam. Prowadzę biuro rachunkowe i tyle tych zmian że już się zgubiłam. Proszę napisać co musi być w umowach z klientami i jakie obowiązki muszę spełnić?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Po pierwsze z Klientami musi mieć Pani umowy z zapisami o powierzeniu danych -http://odo.com.pl/powierzenie/

      Jeśli nie ma Pani własnych pracowników, to w tym momencie i tak musi Pani spełnić wymagania z art. 36-39a Ustawy o ochronie danych osobowych- Bezpieczeństwo.

      Odnośnie zmian w przepisach, dotyczą one bardziej podmiotów które wyznaczyły :Administratora Bezpieczeństwa Informacji. Nie ma Pani takie obowiązku (wyznaczenie ABI)

      Pozdrawiam,

      Reply
  27. Agnieszka

    Witam serdecznie,
    Mam pytanie odnośnie Spółdzielni Rolniczych, rozumiem , że UODO też ich dotyczy i tutaj ADO jest zarząd Spółdzielni(3-os) i czy w związku z tym Spółdzielnie muszą powoływać ABI? Czy w związku z tym Spółdzielnie muszą posiadać Politykę Bezpieczeństwa i Instrukcję Zarządzania Systemem Informatycznym? Dane członków Spółdzielni są w wersji papierowej jak również elektronicznej.

    Dziękuję za odpowiedź
    Pozdrawiam,

    Reply
    1. Michał (Post author)

      Dzień dobry,

      ADO jest Spółdzielnia, a nie Zarząd. Oczywiście, UODO ma zastosowanie do Spółdzielni Rolniczych. Co do ABI, to zgodnie z art. 36 a UODO można, a nie trzeba go powoływać. Z samego faktu przetwarzania danych w formie papierowej oraz elektronicznej wynika obowiązek posiadania Polityki oraz Instrukcji (art. 36 ust. 2 UODO nie przewiduje wyjątków).

      pozdrawiam,
      Tomasz Cygan

      Reply
  28. Agnieszka

    Witam serdecznie pracuje w podmiocie leczniczym w którym oprócz obowiązków kadrowo-płacowych pełnie funkcje Pełnomocnika ds ochrony informacji niejawnych z klauzulą „zastrzeżone”. Dyrektor placówki jest ADO i nie powołał ABI. Mam pytania:
    Czy dane pacjentów – historia choroby(dokumentacja medyczna z leczenia) podlegają rejetracji w GIODO (wiem ze dane własnych pracowników nie podlegają)
    czy CV z podaniami o pracę osób obcych podlegają rejestracji jeśli osoby składałyby w związku z rekrutacja na nowe miejsca pracy?
    Czy ja mogłabym pełnić funkcje ABI ?
    pozdrawiam Agnieszka

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Odnośnie rejestracji zbiorów danych, w przypadku nie powołania ABI-ego, należy iść powiedzmy „starą drogą”. Zarówno zbiory danych pacjentów jak i danych kandydatów do pracy (którzy ubiegają się o prace u Państw) nie podlegają rejestracji – art. 43 ust. 1 pkt 4 (CV) i 5 (pacjenci) UODO.
      Natomiast jeśli chodzi o pełnienie przez Panią funkcji ABI, to po pierwsze musi Pani spełnić wymagania opisane w art. 36a ust. 5, 7 i 8. Nie jestem w stanie tego ocenić (brak informacji), ale może być problem np. kontrolowanie samego siebie przy procesach przetwarzania danych kadrowych (Pani stanowisko)- art. 36 a ust. 4. „Administrator danych może powierzyć administratorowi bezpieczeństwa informacji
      wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust. 2.”.

      Pozdrawiam,

      Reply
  29. Ewa

    Witam Panie Michale,proszę o pomoc i wyjaśnienie czy jako jednoosobowa działalność (nie zatrudniam nikogo)otworzyłam biuro nieruchomości i w formie papierowej na umowie pośrednictwa klienci przekazują mi takie dane jak imię nazwisko,adres,nr dow,pesel,nr tel oraz adres e:mail Czasami przesyłam umowę najmu na maila oraz posiadam bazę klientów w komputerze tylko z nr telefonu.Czy też muszę zgłaszać do GIODO
    pozdrawiam i proszę o odpowiedż

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Kluczowe pytanie- czy na pewno nie ma Pani tych danych gdzieś w systemie informatycznym?

      Pozdrawiam,

      Reply
      1. Ewa

        Witam w systemie informatycznym czyli w mojej bazie jest tylko nr telefonu właściciela.Czy musze zgłaszać czy nie?
        pozdrawiam

        Reply
  30. Barbara

    Jestem ABI w szkole. W związku z tym mam pytanie: Jakie zbiory danych powinny znaleźć się w rejestrze, który ma prowadzić ABI? Przeglądałam na stronach internetowych jawne rejestry, w których znajdują się zbiory np. akta osobowe pracowników, księga uczniów, wydane legitymacje szkolne itd.
    Nie chciałabym umieszczać w moim rejestrze zbyt wielu zbiorów danych, ale też nie chcę by czegoś zabrakło.
    Pozdrawiam

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Mają być w nim zbiory danych których Szkoła nie rejestruje w GIODO z powodu powołania ABI, tzn. rejestr zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1.

      Na pewno nie musi Pani w tym rejestrze wykazać np. Zbioru Danych Pracowników Szkoły, ale np na pewno musi być w nim zbiór Monitoring jeśli w szkole są zainstalowane kamery z rejestratorem.

      Pozdrawiam,

      Reply
      1. Barbara

        Witam
        Skoro nie muszę wykazać pewnych zbiorów, o których mowa w art. 43 ust. 1., to czy coś się stanie jeśli takie zbiory umieszczę w swoim rejestrze? Czy jeśli monitoring jest tylko na zewnątrz szkoły to też należy wprowadzić go do rejestru?
        Pozdrawiam

        Reply
        1. Michał (Post author)

          Dzień dobry,
          Moim zdaniem nie powinny tam być, poza tym było by to dublowanie wykazów. Reasumując – musi mieć Pani wykaz wszystkich zbiorów danych z odpowiednim opisem zgodnie z § 4 pkt. 2 i 3 Rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
          Następnie z tego wykazu należy zidentyfikować zbiory które nie są rejestrowane w GIOD na podstawie art. 43 ust. 1a UODO i je wpisać do jawnego rejestru zbiorów danych prowadzonego przez ABI.

          Proszę pamiętać, że rejestr ten musi być prowadzony zgodnie z Rozporządzeniem MINISTRA ADMINISTRACJI I CYFRYZACJI z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych.

          Co do monitoringu, jeśli obejmuje on osoby fizyczne które mogą być zidentyfikowane na podstawie nagrania to tak.

          Pozdrawiam,

          Reply
  31. Zbyszek

    Dobry wieczór,

    mam jednoosobową firmę usługową i sklep internetowy.
    Faktury wystawiam przy pomocy komputerowego programu księgowego, czy zbiór „klienci firmy” jest zbiorem podlegającym zgłoszeniu do GIODO?
    Dane niektórych klientów sklepu przekazuję producentom towarów aby towar klientom wysyłali bezpośrednio na ich adres. Czy to jest inny zbiór?
    Czy muszę mieć zgodę klienta na podawanie jego danych w procesie realizacji zamówienia? Czyli: poczta, firma spedycyjna, producent towaru.
    Pozdrawiam serdecznie.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Czy zbiór „klienci firmy” jest zbiorem podlegającym zgłoszeniu do GIODO jest uzależnione od tego jakie dane są zbierana do zamówienia i czy np. są to dane jednoosobowych działalności gospodarczych które do 19 maja 2016 r. podlegają pod przepisy UODO, a więc również pod rejestracje w GIODO, chyba że są wykorzystywane jedynie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej ( w co wątpię np. reklamacje, gwarancja itp.).

      Przekazywanie danych swoich klientów innej firmie jest zazwyczaj powierzeniem i nie jest to osobny zbiór danych.

      Zgoda o której Pan wspominał jest jedną z 5 podstaw przetwarzania danych osobowych (art. 23 ust.1 UODO) innych niż „wrażliwe” (art. 27 ust.1 UODO). Poza zgodą jest wśród nich punkt 3:
      „Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;”.

      Tak przy okazji, proszę pamiętać, że jest jeszcze obowiązek informacyjny wynikający z art. 24 ust. 1- który mówi o czy powinni wiedzieć Pana klienci (jeśli są to osoby fizyczne) podczas składania zamówienia.

      Pozdrawiam,

      Reply
  32. DOROTA

    Witam
    Jestem sekretarka w przedszkolu.Mamy opracowana polityke bezpieczenstwa,systemu informatycznego oraz zarejestrowane zbiory Bylam powolana jako ABI(wprowadzono 2014roku)Dyrektor i ja przeoczylismy termin rejestracji ABI do GIODO do czerwca 2015.Moje pytanie brzmi czy dyrektor moze mnie w chwili obecnej zglosic do GIODO?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      zgodnie z Art. 46b. 1.UODO na zgłoszenie ABI jest 30 dni, ale spokojnie. Nie jest to Ostateczny termin zgłaszania ABI. Biorąc pod uwagę Państwa sytuacje, do momentu wysłania zgłoszenia ABI do GIODO, np. 25.01.2016 r. muszą Państwo działać według zasad opisnaych w UODO w przypadku niewyznaczenia ABI. Przy zgłoszeniu Pani na ABI, należy po prostu wysłać wniosek rejestracji ABI do GIODO (z aktualną datą np. 25.01.2016 r.).

      Pozdrawiam,

      Reply
  33. Jagoda

    witam,

    Pytanie1:
    czy konieczne jest powoływanie administratora sieci? w przypadku kiedy dane przetwarzane są elektronicznie?
    Pytanie2:
    Czy ABI musi być osobą zatrudnioną na umowę o pracę? czy może to być umowa cywilno – prawna?

    Pozdrawiam,

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Odpowiedz 1: Nie koniecznie, ale musi być osoba odpowiedzialna za infrastrukturę informatyczną. UODO określa podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
      I ktoś je musi wdrożyć.

      Odpowiedz 2: UODO milczy na temat formy zatrudnienia, więc jak najbardziej. Ważne jednak aby Administrator bezpieczeństwa informacji podlegał bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

      Pozdrawiam,

      Reply
  34. Robert

    Witam, Pytanie za 100 punktów. Spółka z o.o. prowadzi działalność polegającą na przechowywaniu dokumentów w szczególności akt osobowo płacowych firm istniejących oraz tych zlikwidowanych. Docelowo (ewentualnie) firma przechowywać będzie też karty pacjentów (dane wrażliwe). Lista przechowywanych dokumentów oraz kogo dotyczą jest przetwarzana w systemie informatycznym. Polityka bezpieczeństwa od początku była na wysokim poziomie, nawet bez całej paniki związanej z GIODO. Jako ASI wyznaczono Prezesa. Archiwa zostały zobligowane do zgłaszania zbiorów. Jakie podejście należy zastosować.
    PS. Firma przekazująca akta, robi to na kilka miesięczy przed likwidacją, po czym znika z rynku. Czy umowa dot. przetwarzania danych traci ważność ? Czy automatycznie archiwum staje się ADO czy powinna być tu jakaś procedura? Oficjalna odpowiedź GIODO: ” Jak Państwo uważacie, wasza decyzja”

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Zagadnienie wywołuje problemy teoretyczne i praktyczne. Znaleźć można bowiem zarejestrowane przez GIODO zbiory dotyczące dokumentacji kadrowej i płacowej. Natomiast, przepisy ustawy o narodowym zasobie archiwalnym i archiwach tylko gmatwają sprawę. Wydaje się jednak, że należy rozróżnić dwie sytuację: podmiot przekazujący dokumenty istnieje oraz podmiot trwale zaprzestał działalności. W pierwszej z nich właścicielem dokumentów jest dalej podmiot przekazujący je do archiwum (wynika to z art. 42 ustawy). Własność tych materiałów nie może być przedmiotem obrotu – art. 43 ustawy. Natomiast w przypadku trwałego zaprzestania działalności przez właściciela materiały archiwalne staja się własnością Państwa. Natomiast, obowiązkiem archiwów jest ewidencjonowanie, przechowywanie i zabezpieczenie materiałów archiwalnych.

      Z punktu widzenia definicji administratora danych – tego, kto decyduje o celach i środkach przetwarzania danych problem rozbija się o decyzję, czy mamy do czynienia z powierzeniem przetwarzania danych czy też zmianie ulega status administratora takich danych. Co istotne, o celach i środkach przetwarzania danych decyduje ustawodawca. W związku z tym, w mojej ocenie, podmiot, który świadczy usługi jako archiwum nie jest administratorem danych, a dane otrzymuje w powierzeniu. Nawet likwidacja właściciela nie skutkuje przejściem statusu administratora danych, a tym bardziej nie unieważnia zawartych umów. Co ważne, w takiej sytuacji kompetencje archiwum także określa ustawa, np. art. 51 na czy art. 51 n.

      Wobec tego, skoro nie zmienia się administrator danych (własność materiałów archiwalnych nie podlega obrotowi), to procesor nie powinien zgłaszać zbioru do rejestracji. Natomiast powinien go chronić.

      Pozdrawiam,

      Reply
  35. Barbara

    Witam,
    pytanie dotyczy wyroku:

    Wyrok w sprawie GIODO kontra Google (II SA/Wa 630/12 – Wyrok WSA w Warszawie):

    „….. w przypadku administratorów danych, będących osobami fizycznymi, którzy samodzielnie (osobiście) administrują proces przetwarzania danych, ustawa nie nakłada obowiązku wyznaczenia administratora bezpieczeństwa informacji, gdyż tylko w takiej sytuacji administrator danych jednocześnie dzierży uprawnienia i obowiązki administratora bezpieczeństwa informacji, co pozwala na ustalenie jego odpowiedzialności i w konsekwencji na zastosowanie sankcji karnych, gdyby – prowadząc swą działalność – naruszył przepisy o ochronie danych osobowych.”

    czy w takiej sytuacji nie powołując ABI-ego trzeba zgłaszać zbiory do GIODO? czy jest to odstąpienie od normy i będąc administratorem bezpieczeństwa informacji (osobą fizyczną administrującą proces przetwarzania danych )można zbiory tworzyć do „szuflady”?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Na początek jedna ważna rzecz dotycząca wspomnianego wyroku- jest on wydany na podstawie przepisów UODO z przed nowelizacji która weszła w życie w dniu 1 stycznia 2015 r.

      Jeśli tak jak w opisanym przypadku ADO jest osobą fizyczną to tak jak wskazuje wyrok- osoba ta „…dzierży uprawnienia i obowiązki administratora bezpieczeństwa informacji…”- nie staje się nim.
      Dlatego też, bez wyznaczenia ABI nie ma się zwolnień z rejestracji zbiorów danych opisanych art. 41 ust. 1a UODOD.

      Proszę przeczytać nasz wpis dotyczący podobnej sytuacji „ADO to nie ABI.” – http://odo.com.pl/ado-to-nie-abi/

      Pozdrawiam,

      Michał Geilke

      Reply
  36. Marta

    Witam serdecznie.
    Czy firma fotograficzna musi rejestrować dane w GIODO??? A jeżeli tak to co konkretnie? Klienci głównie telefonicznie umawiają się na sesję (brak jakichkolwiek danych). Jedynie przy podpisywaniu umowy zlecenia na ślub wpisuje się dane, które są potrzebne do wykonania zlecenia (typu miejsce wesela, uroczystości). Na życzenie klienta wystawia się fakturę. Nie są gromadzone dane czy emaile klientów. Na stronie www nie ma newslettera, są oczywiście zdjęcia, ale jest podpisana zgoda na ich publikacje (przy zawieraniu umowy-zlecenia). Na fb, jak ktoś chce to polubi stronę czy zdjęcie. Co w takiej sytuacji zrobić?
    Pozdrawiam serdecznie i bardzo proszę o odpowiedź.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      zgodnie z UODO firma staje się ADO w przypadku jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową lub zawodową (art. 3 ust. 2), a więc musi spełnić wymogi narzucane przez przepisy.

      Z tego co Pani napisała, m Pani przynajmniej jeden zbiór danych w rozumieniu UODO – klienci. Proszę przejrzeć art. 43 UODO, w nim Pani znajdzie ewentualne zwolnienie z rejestracji. Dodatkowo, proszę pamiętać, że ewentualny obowiązek rejestracji zbioru danych nie jest jedynym jaki na Pani spoczywa, są to między innymi odpowiednie dokumenty (Polityka Bezpieczeństwa) oraz posiadać legalność zdobyć i danych, spełniać obowiązek informacyjny czy przestrzegać założeń art. 26 UODO.

      pozdrawiam,

      Michał Geilke

      Pozdrawiam,

      Reply
      1. Marta

        Dziękuję bardzo za odpowiedź.
        Z art 43 UODO to zwolnione z rejestracji mogą być jedynie dane przetwarzane w celu wystawienia faktury, rachunku (do innego zwolnienia się nie kwalifikuję).

        Bardzo proszę o wyjaśnienie, co Pan miał na myśli pisząc że trzeba posiadać
        „odpowiednie dokumenty (Polityka Bezpieczeństwa) oraz posiadać legalność zdobyć i danych, spełniać obowiązek informacyjny”. Bo nie rozumiem, klienci wiedzą, że te dane są mi potrzebne do wykonania zlecenia, dają je dobrowolnie, po wykonaniu zlecenia nie korzystam już więcej z nich, nie przetwarzam, nie gromadzę i nikomu nie przekazuję. Co jeszcze?
        Bardzo dziękuję za pomoc. Pozdrawiam

        Reply
        1. Michał (Post author)

          Dzień dobry,

          Raczy o których wspomniałem są wymagane bezpośrednio przez UODO i Rozporządzenie. Przykładowo: Politykę Bezpieczeństwa trzeba prowadzić zgodnie z § 3, 4 i 5 ROZPORZĄDZENIA MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Natomiast wspomniane pozostałe obowiązki znajdują się w UODO w Rozdziale 3, przykładowo „obowiązek informacyjny” to art. 24:

          ” 1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

          1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;
          2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;
          3) prawie dostępu do treści swoich danych oraz ich poprawiania;
          4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
          2. Przepisu ust. 1 nie stosuje się, jeżeli:
          1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania;
          2) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.”

          Pozdrawiam,

          Reply
          1. Marta

            Acha!!! Już rozumiem. Dziękuję bardzo za obszerne wyjaśnienie i cierpliwość.

            Pozdrawiam serdecznie

  37. Małgorzata

    Dzień dobry
    Jestem ABI w szkole. Jestem jeszcze laikiem w tej dziedzinie. Stąd moje pytania.
    Jak powinien wyglądać plan sprawdzeń? Co powinnam na początku sprawdzić?
    Jakie zbiory zarejestrować w GIODO?, np. CV, rekrutacja uczniów. Proszę o przykłady.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      odnośnie pytania dotyczącego planu sprawdzeń proszę zapoznać się z tym wpisem- http://odo.com.pl/obowiazkowe-sprawozdania-dla-ado/ (jest tam między innymi do ściągnięcia przykładowy plan). Co do zbiorów, proszę przejrzeć art. 43 UODO, w nim Pani znajdzie ewentualne zwolnienie z rejestracji. Z uwag, przykładowo wspomniane CV są elementem zbioru danych „Przetwarzanych w związku z zatrudnieniem”- i nie jest on do rejestracji (art. 43 ust. 1 pkt 4).

      Pozdrawiam,

      Reply
  38. Kinga

    Witam,
    jak określić w upoważnieniu do przetwarzania danych osobowych zakres dla działu handlowego (wystawiają faktury dla klientów, przyjmują reklamacje, kontaktują się z odbiorcami, zapraszają na imprezy firmowe itp.). czy zapis „… do przetwarzania danych osobowych gromadzonych w systemach informatycznych i innych zbiorach przetwarzanych przez Pana w dziale handlowym…” będzie ok? Czy coś istotnego jeszcze powinno zawierać upoważnienie?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      praktyk jest sporo. Ja osobiście wydaje upoważnienia zgodne z wykazem zbiorów danych (jaki zbiór, który element oraz forma – „papierowy”/”elektroniczna”) i rodzajem operacji przetwarzania(np. wgląd, zmiana itp). Art. 37 UODO nie narzuca konkretnej formy czy zawartości upoważnienia, poza faktem wskazania danych osobowych należących do ADO.

      Pozdrawiam,
      Michał Geilke

      Reply
  39. Roksana

    Witam,
    pracuję w Domu dziecka. Funkcje ADO sprawuje Dyrektor jednostki. Mamy stworzoną Politykę bezpieczeństwa. Proszę o wyjaśnienie – w serwisie e-GIODO chce tylko zgłosić dwa zbiory danych: rejestr wychowanków oraz rejestr korespondencji, które są prowadzone wyłącznie w formie papierowej, czy to wystarczające? Nie mamy powołanego ABI ani ASI – co w tym przypadku ze sprawozdaniami? Czy jeżeli faktycznie systemem informatycznym zarządza pracownik placówki (nadawanie uprawnień, haseł itp.) musi być on zgłoszony jako ABI? W systemie informatycznym są prowadzone tylko kadry i księgowość. Czy wszyscy pracownicy muszą podpisać oświadczenie o zachowaniu w tajemnicy danych osobowych np. wychowanków gdy podpisali oświadczenie o tajemnicy służbowej?

    Reply
    1. Michał (Post author)

      Powołanie ABI jest uprawnieniem Administratora Danych – można powołać, nie trzeba wbrew wielu opiniom znajdującym się w Internecie. Brak powołania ABI skutkuje m.in. koniecznością zgłoszenia wszystkich zbiorów za wyjątkiem zbiorów określonych w art. 43 ustawy o ochronie danych osobowych. Wówczas należałoby zgłosić zbiór wychowanków, natomiast rejestr korespondencji mógłby być zwolniony jak zbiór danych przetwarzanych w drobnych bieżących sprawach codziennego (art. 43 ust. 1 punkt 11).
      Z kolei ASI jest funkcja pozaustawową – jego powołanie lub pominiecie jest obojętne z punktu widzenia ustawy.
      Powołanie ABI i zgłoszenie go do rejestru prowadzonego przez GIODO daje natomiast premie w postaci konieczności zgłaszania wyłącznie zbiorów danych zawierających dane wrażliwe w rozumieniu art. 27 ustawy. W związku z tym, proszę sprawdzić zawartość wskazanych zbiorów, bo to właśnie zawartość będzie decydowała o konieczności dokonania zgłoszeń (oczywiście w wariancie z zarejestrowanym ABI).
      Co do oświadczeń o poufności, to zgodnie z treścią art. 39 ust. 2 ustawy konsekwencją nadania upoważnień jest istniejący ex lege obowiązek zachowania w poufności danych osobowych oraz sposobów ich zabezpieczenia. De facto oświadczenie to tylko potwierdza. Natomiast stosowanie oświadczeń jest praktykowane w myśl zasady „podpisanie oświadczenia wyłącza nieumyślność naruszenia obowiązku poufności”.

      Z poważaniem,
      Tomasz Cygan

      Reply
  40. Ludwik

    Witam,

    czy pracodawca może mnie zgłosić jako ABI bez mojej zgody? Nie mam kompletnie pojęcia o tym zagadnieniu, bez szkolenia o którym nie ma mowy nie chcę brać na siebie takiej odpowiedzialności. Bardzo proszę o pilną odpowiedź.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Formalnie tak, z przepisów nie wynika że wyznaczenia ABI musi być za zgodą. Jednak zgodnie z art. 36a (ust. 4 i 5) UODO, ABI musi posiadać posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych oraz ADO może wskazać na ABI tylko osobę która wykonuje takie inne obowiązki które nie kolidują z byciem ABI-m.

      Pozdrawiam,

      Reply
  41. Darek

    Dzień dobry,
    mam pytanie związane z powołaniem zastępcy ABI. Zgodnie z ustawą zastępcę ABI powołuje ADO i zastępca musi spełniać takie same warunki ja ABI ( art.36a ust.5 u.o.d.o.),ale w ustawie nie jest już powiedziane czy zastępca ABI musi podlegać bezpośrednio tylko ABI czy jak ABI musi być niezależny w strukturach firmy.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      dokładnie tak. Zastępca ABI musi spełniać jedynie kryteria opisane w art. 36a ust. 5, a więc:

      1) mieć pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
      2) posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych;
      3) oraz nie być karanym za przestępstwo umyślne.

      Pozostałe wymagania, jak np. podleganie bezpośrednio kierownikowi jednostki organizacyjnej dotyczy jedynie ABI.

      Pozdrawiam,

      Reply
  42. Olek

    Witam serdecznie.
    Mam pytanie, na które nie mogę sam „wywnioskować” odpowiedzi. Spółka z o.o. będąca ADO posiada swoją siedzibę oraz kilka lokalizacji swoich „działalności”. Są to punkty handlowe, gdzie pojawiają się dane personelu oraz klientów kupujących na FV. Tu pytanie – czy dokumentacja i cały system zarządzania ODO powinno być wykonane dla siedziby z uwzględnieniem tych dodatkowych lokalizacji, czy siedziba i każda lokalizacja powinny mieć soją PB i IZSI, upoważnienia, itd?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Jeżeli wszystkie „swoje działalności” są prowadzone przez jedną spółkę (jednego ADO) dokumentacja może być jedna. Należy ją jednak tak stworzyć, aby odpowiadała realiom wszystkich „placówek”. Przykładowo, wykaz obszaru przetwarzania danych proponuje zrobić jako załącznik, w którym zostanie opisana każda lokalizacja z osobna.

      Pozdrawiam,

      Reply
      1. Olek

        Dziękuję za odpowiedź.
        Zastanawia mnie jeszcze tylko, że każdy punkt ma swoją bazę klientów, swój serwer, a nie jedną wspólną dla każdej spółki. Czy wtedy każdy punkt nie jest administratorem tych danych? Bo z danymi pracowników nie ma problemu – spółka jest pracodawcą i ADO.
        Pozdrawiam

        Reply
        1. Michał (Post author)

          Dzień dobry,

          Jeśli każdy punkt należy do jednej „spółki” to jest jeden Administrator Danych.

          Pozdrawiam,

          Reply
  43. Wiktoria

    Dzień dobry

    1.W styczniu 2015r. w fundacji został powołany ABI. Jednak do tej pory nie został zgłoszony do GIODO. Jakie konsekwencje rodzi to niedopatrzenie? Czy można zgłosić ABI teraz do rejestru?
    2. Czy prezes fundacji lub ktokolwiek z zarządu fundacji może być ABI?Jeżeli tak, jak rozumiem, taka osoba pełni jedynie obowiązki ABI? Czy jednak musi być to osoba z zewnątrz zatrudniona na umowę o pracę/ zlecenie ?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Odnośnie pytania pierwszego- należy ABI powołać ponownie i do 30 dni wysłać zgłoszenie do GIODO z aktualną datą powołania, np. 14.03.2016 r. Czy coś się stało? Tyle, że po upływie 30 dni od wyznaczenia ABI Państwa Fundacja przez przepisy była postrzegana jako Fundacja BEZ ABI- a więc nie mogli Państwo przykładowo brać pod uwagę korzyści z powołania ABI.
      Co do pytania drugiego, sam Prezes moim zdaniem nie może być ABI, a jedynie pełnić jego obowiązki, ale ktoś z zarządu (kto spełnia wymogi co do ABI) jak najbardziej. Co do „zewnętrznego ABI-ego”, można tak zrobić, ale nie trzeba jeżeli ktoś z Państwa pracowników spełnia wymagania (czas na bycie ABI-m, odpowiednia wiedza, brak oceniania samego siebie pod kątem wymogów ochrony danych).

      Pozdrawiam,
      Michał Geilke

      Reply
      1. Wiktoria

        Dziękuję za odpowiedź, pozdrawiam 🙂

        Reply
  44. Jarek

    Witam jestem jednym ze wspólników w spółce jawnej ( spółka posiada dwóch wspólników i nie zatrudnia pracowników). Proszę o informację czy spółka jawna, która nie posiada osobowości prawnej tylko tzw „ułomną” osobowość prawną musi powoływać ABI. Jeśli tak czy może to być jeden ze wspólników?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Jeśli Państwa spółka jest ADO i podlega pod przepis, to jak każdy inny ADO nie musi wyznaczać ABI. ABI może zostać wyznaczony, ale moim zdaniem nie może nim być żaden ze wspólników.

      Pozdrawiam,

      Reply
  45. Nina

    Witam,
    czy funkcję administratora bezpieczeństwa informacji może pełnić osoba zatrudniona na umowę na zastępstwo na czas określony ? przy czym w dniu podpisania umowy w zakresie obowiązków nie było punktu dotyczącego ochrony danych osobowych.Zmieniono regulamin organizacyjny jednostki i wręczono nowy zakres obowiązków – powielono obowiązki ze starego zakresu tylko wprowadzono nowy punkt dotyczący pełnienia funkcji ABI. Nadmieniam,że nie mam wystarczającej wiedzy by pełnić tą funkcję.

    Pozdrawiam

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Funkcję administratora bezpieczeństwa informacji może pełnić osoba zatrudniona na umowę na zastępstwo na czas określony. Problemem w tym przypadku będzie wskazany brak wiedzy – ABI musi ją posiadać zgodnie z art. 36a ust. 5 pkt 2 UODO – „Administratorem bezpieczeństwa informacji może być osoba, która: posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;”

      Pozdrawiam,

      Reply
  46. Katarzyna

    Witam, w szkole są uczniowie posiadający orzeczenia o potrzebie kształcenia specjalnego, czy powinniśmy zarejestrować taki zbiór?
    pozdrawiam.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Dane wrażliwe są elementem który decyduje o rejestracji zbiorów jedynie w przypadkach omówionych w art. 43 ust 1 pkt. 12 i w ustępie 1a tego artykułu. W przypadku szkoły, zwolnienie stanowi art. 43 ust. 1 pkt 4 – SĄ TO OSOBY UCZĄCE SIĘ U PAŃSTWA. A więc zbioru Państw nie rejestrują.

      Pozdrawiam,

      Reply
  47. Wojciech

    Dzień dobry.

    Prowadzę jednoosobową działalność gospodarczą w branży reklamowej. Nie zatrudniam żadnych pracowników. Dane osobowe przetwarzam jedynie w celu wystawiania faktur VAT i prowadzenia ksiąg podatkowych PKPiR oraz Rejestry VAT przy czym wystawianie faktur VAT i prowadzenie ewidencji podatkowych jest realizowane w jednym programie do prowadzenia księgowości (Mała Księgowość Rzeczpospolitej). Czy w mam obowiązek rejestracji danych osobowych w GIODO? Z ustawy wynikałoby że jestem zwolniony (art. 43 ustęp 1 punkt 8).

    Reply
    1. Michał (Post author)

      dzień dobry,

      To zależy, komu Pan wystawia te faktury (osoby fizyczne czy prawne, czy jednym i drugim) oraz czy również pana „produkty/usługi” podlegają gwarancji/reklamacji?

      Pozdrawiam,

      Reply
  48. Marcin

    Dzień dobry,

    jestem agentem ubezpieczeniowym, Zamierzam wkrótce umieścić w sieci swoją stronę, na której umieściłem kalkulatory do różnych produktów ubezpieczeniowych.
    Jednymi z elementów, potrzebnymi do przygotowania oferty, są takie dane, jak imię i nazwisko, adres e-mail oraz nr telefonu, kod pocztowy i miejscowość.

    Zwlekam z opublikowaniem strony tylko ze względu na moją niewystarczającą wiedzę odnośnie zgłaszania do GIODO bazy danych. Czy mam obowiązek to robić? Nie chcę nic robić nielegalnie.

    I jak to wszystko spisać na wniosku, gdy prowadzę jednoosobową działalność i w sumie sam wszystkim zarządzam? Jestem trochę w kropce.
    Pozdrawiam

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Tak, w przypadku braku funkcji ABI, musi Pan zarejestrować taki zbiór. Proszę o konkretne punkty wniosku o zgłoszenie zbioru co do których ma Pan wątpliwości, napisze Panu co należy wpisać.

      Pozdrawiam,

      Reply
      1. Marcin

        Dzień dobry Panie Michale,

        dziękuję za odpowiedź. Mam niejasności odnośnie kilku punktów. Wymienię je tutaj:
        1. Punkt 3 – Powierzenie przetwarzania danych – jak to ująć we wniosku – w sumie bezpośrednim administratorem danych jest towarzystwo ubezpieczeniowe – ja je tylko gromadzę za pośrednictwem strony. Zawarta umowa agencyjna z TU.

        2. Punkt 16c – prowadzona jest ewidencja osób upoważnionych do przetwarzania danych – skoro jestem jedyną osobą, która to bezpośrednio przetwarza, to czy istnieje konieczność zaznaczania tego we wniosku?

        Dane z formularzy wpływają na adres pocztowy, nie są przechowywane na serwerze na którym zostanie umieszczona strona. Czy muszę mieć z moim dostawcą poczty, właściwie którymkolwiek, jakąś umowę? Dodam, że zamierzam kasować maile po otrzymaniu formularza i wykonaniu oferty.

        Chyba to tyle jak na razie, wydaje mi się, że wiem jak mam wypełnić wniosek, ale prosiłbym o ewentualną korektę odnośnie tego, co napisałem.

        pozdrawiam
        Marcin

        Reply
        1. Michał (Post author)

          Dzień dobry,

          Ad. 1. Żeby odpowiedzieć na to pytanie potrzebuje jedną informacje, na jakiej podstawie zbiera Pan dane osób które potem przekazane są do ubezpieczalni?
          Ad. 2. Jeśli faktycznie, nikt nie przetwarza Pana danych to punk należy zostawić bez wypełnienia. Automatycznie, nie można zaznaczyć też pola 16 b.

          Odnośnie serwerów, UODO przewiduje przetwarzanie doraźne:

          „Art. 2 ust. 3. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze
          względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich
          wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie
          przepisy rozdziału 5.”

          Jednak Pana zbiór jest ciągły i istnieje. Serwery są Pana czy wykupione w „hostingu”?

          Pozdrawiam,

          Reply
          1. Marcin

            Dzień dobry Panie Michale,

            Rozmawiałem dzisiaj ze swoim menedżerem i dowiedziałem się, że dzięki umowie agencyjnej z Towarzystwem, nie muszę mieć zgody od klientów na przetwarzanie ich danych. Tylko wydaje mi się, że to odnosi się do osób, które zostawiają mi swoje dane przychodząc (fizycznie) bezpośrednio do mnie.

            O gromadzeniu danych przez internet nie było mowy i podejrzewam jednak, że to ja, a nie Towarzystwo, muszę mieć zgłoszony zbiór do GIODO, bo bezpośrednią osobą, która będzie przetwarzać, czy gromadzić dane będę ja – przynajmniej tak mi się wydaje i chyba dla spokoju, lepiej z mojej strony będzie taki zbiór zgłosić do GIODO.

            A podstawa, która pozwala mi na gromadzenie takich danych – to zgoda osoby, ujęta w odrębnym pytaniu w kalkulatorze, tzw. checkbox – czy dobrze rozumuję?

            Odnośnie poczty i serwerów, to jak na razie mam konto pocztowe na dwóch platformach – maile te mają charakter firmowo-prywatny.

            Zakładając, że oferty spływają na maila prywatnego, założonego na dowolnym portalu w Polsce (nie będę podawać nazw portali, bo to nieistotne), musi być umowa powierzenia przetwarzania danych? Jak GIODO może się zapatrywać na taki sposób gromadzenia danych? I ewentualnie w jaki sposób otrzymać od portalu, na którym zostało założone konto (nie w hostingu, zwykłe konto pocztowe dla prywatnej osoby), umowę powierzenia?

            No i właśnie, ze względu na GIODO, strona jeszcze nie została uruchomiona w sieci. Podejrzewam, że umieszczając stronę w hostingu, dostanę konto w pakiecie i wtedy zmienię adres mailowy, na którym będą lądować te dane. Ale pewnie wtedy też będę musiał mieć jakąś umowę powierzenia przetwarzania danych z firmą, która umożliwia hosting.

            Pozdrawiam, Marcin

  49. Piotr

    Dzień dobry,

    czy prowadząc firmę cateringową należy także dokonać zgłoszenia? (dostawa jedzenia pod wskazany adres)

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Powinno się, lecz to będzie zależeć np. od faktu powołania ABI. Dodatkowo warto zwrócić uwagę czy przy zamówieniu nie są przewietrzane dane wrażliwe (zamówienie pod kątem stanu zdrowia).

      Z poważaniem,
      Michał Geilke

      Reply
  50. Olga

    Z niekłamaną przyjemnością przeczytałam Państwa komentarze dotyczące problemów wynikających z realizacji przez takich szaraków jak ja UODO. Jestem w tej materii nowicjuszem, wiele mi wpisy na blogu pomogły. Usiłuję przepisy ustawy przełożyć na język praktyczny. Proszę zatem mnie skorygować , jeżeli pobłądziłam systematyzując swoją wiedzę w zakresie stosowania ustawy. Współpracuję z dwoma firmami, robię dla nich różne opracowania, regulaminy… Jedna to firma jednoosobowa zatrudniająca pracowników, druga to spółka cywilna (w spółce dwóch wspólników – w tym jednym z nich jest właściciel tej spółki jednoosobowej)również zatrudnia pracowników. Branża ta sama. W obu firmach ta sama sytuacja, której dotyczą pytania.

    1.ADO to właściciel firmy (lub jeden ze wspólników w spółce?). Czy właściciel firmy, ew. wspólnicy mogą scedować funkcję ADO na jakiegoś pracownika?? Czy raczej powołać ABIego?

    2.Firma zatrudnia pracowników i zleceniobiorców, posiada ich akta osobowe w postaci papierowej. Korzysta z programu Symfonia do prowadzenia kadr i płac (imię nazwisko pracownika, przypisanie do stanowiska, ilość przepracowanych godzin, stawka godzinowa, naliczanie płac). Korzysta (taki przymus) z zusowskiego Płatnika. Posiada programu do fakturowania. Ma w formie papierowej umowy z klientami na świadczenie usług (ochrona) . ADO upoważnił 1. osobę do prowadzenia Symfonii i Płatnika oraz 1. do fakturowania. Dał im stosowne upoważnienia. ADO uznał, ze te zbiory nie podlegają zgłoszeniu do GIODO. Czy słusznie? Wg mnie słusznie.

    3. Skoro powyższe zbiory nie podlegają zgłoszeniu to powoływanie ABI nie ma sensu. Prawda, czy fałsz? A może jednak wygodniej byłoby mieć ABIego?

    4. Posiada własny serwer i informatyka (serwis zewnętrzny). Myślę, że potrzebny by był zatem ASI, czy tak?

    5. Obie firmy mają Politykę Bezpieczeństwa i uważam, że powinny mieć również Instrukcję Zarządzania Systemem Informatycznym (o ile Symfonia, Płatnik i program do fakturowania to system). Czy słusznie rozumuję?

    6. Czy sytuacja się komplikuje, czy widzi Pan konieczność powołania ABIego jeżeli Klienci w ramach wykonywania w ich obiektach usługi (ochrona) powierzyli firmie dane? Stała się ona tym samym procesorem, nie administratorem tych danych (dane w formie papierowej, różne ewidencje na miejscu świadczenia usługi, nie są wrażliwe choć jest monitoring wizyjny ale bez dostępu do rejestratora, bez możliwości usuwania, zgrywania). Moim zdaniem nadal ABI teoretycznie nie jest potrzebny, ale może praktyczniej byłoby go mieć?.

    Przepraszam za przydługi wywód, ale może te pytania i odpowiedzi w jednym miejscu ułatwią życie nie tylko mnie. Pozdrawiam 1majowo 🙂

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Ad. 1. ADO w opisanym przypadku jest osoba fizyczna, w przedsiębiorstwie jednoosobowym jest to właściciel, w spółce cywilne partnerzy. Nigdy nie można scedować ze spółki czy przedsiębiorcy bycia ADO. Jeśli spółka/przedsiębiorca chciałby mieć niektóre obowiązki scedowane na innych może powołać ABI.
      Ad. 2. Wszystkie dane przetwarzane przez ADO w związku z zatrudnieniem nie podlegają zgłoszeniu do GIODO.
      Ad. 3. Co do ABI, to wszystko zależy. Jeżeli ADO faktycznie sam sobie radzi z całością tematu ochrony danych osobowych to faktycznie nie powywoływałbym ABI. Jednak jeśli struktura firmy jest rozległa, warto przemyśleć posiadanie ABI.
      Ad. 4. Może być ASI. Na pewno warto zerknąć na umowę z serwisem zewnętrznym pod kątem konieczności powierzenia danych.
      Ad. 5. TAK.
      Ad. 6. Powołanie ABI jest przywilejem, nie koniecznością. Wszystko zależy od sytuacji firmy (mała, duża, rodzaj klientów, ryzyko np. skargi itp.)

      Pozdrawiam,

      Reply
      1. Olga

        Dziękuję, wszystko jasne. Powołalismy ABIEgo, bo ADO nie radzi sobie z wszystkimi zadaniami, zwłaszcza, ze są te nieszczęsne dane powierzone przez inny podmiot.
        Urodziło się kolejne pytanie: firma informatyczna opiekuje się naszym systemem (konserwacja, naprawy, wszelka pomoc informatyczna, zakup sprzętu, oprogramowania, instalacja oprogramowania). Czy to juz jest przetwarzanie danych? W umowie nie mamy takiego zapisu jak powierzenie przetwarzania danych. Nie mają ani loginu ani haseł do Płatnika czy Symfonii, wszelkie operacje na tych systemach odbywaja się w obecności osoby, która te programy obsługuje i ma do nich dostęp. Czy zatem mozemy obejść się bez ASI, a w Polityce bezpieczeństwa opisać tylko rodzaje zabezpieczeń systemu informatycznego?
        Pozdrawiam serdecznie.

        Reply
        1. Michał (Post author)

          Dzień dobry,

          „konserwacja, naprawy, wszelka pomoc informatyczna, zakup sprzętu, oprogramowania, instalacja oprogramowania” może być przetwarzaniem danych osobowych. Definicja przetwarzania jest bardzo rozbudowana i w niektórych zwrotach niejasna:

          „Art. 7. Ilekroć w ustawie jest mowa o:

          2) przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych
          osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie,
          udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;”

          Pozdrawiam,

          Reply
  51. Madzia

    Bardzo podoba mi się ten artykuł 🙂

    Najważniejsze jest zaznaczenie, że powołanie ABI nie jest koniecznością. Niektórzy dużo lepiej finansowo wyjdą na zwykłej rejestracji danych w GIODO czy opieką prawną 🙂 Nieraz lepiej zwrócić uwagę na regulamin sklepu internetowego pod kątem klauzul niedozwolonych 🙂 Najważniejsze jest prokonsumenckie zachowanie, bez tego nie ma co walczyć 🙂

    Pozdrawiam!

    Reply
  52. Barbara

    Witam
    Jestem ABI w szkole. Prowadzimy Fundusz Zdrowotny, z którego korzystają nauczyciele, a także emeryci – byli pracownicy szkoły. W podaniach, które składają, by otrzymać zapomogę, są dane o ich stanie zdrowia. Czy taki zbiór trzeba zgłosić do GIODO, czy wystarczy, że znajdzie się on w naszym rejestrze?
    Pozdrawiam

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Fundusz jest elementem zbioru danych przetwarzanych w związku z zatrudnienie (mogą korzystać z niego jedynie osoby pracujące lub byli pracownicy). Zwolnienie przysługuje z art. 42 ust 1 pkt. 4 UODO.

      Pozdrawiam,

      Reply
  53. j9j@poczta.onet.pl

    Witam, Panie Michale,
    prowadzę jednoosobową firmę architektoniczną, dane klientów (imię i nazwisko adres) potrzebne są mi do wystawienia w postaci papierowej faktury oraz do umieszczenia ich na projekcie budowlanym, który składany jest w urzędzie w celu uzyskania pozwolenia na budowę, czy moim obowiązkiem jest zgłoszenie zbioru takich danych (umieszczanych tylko na projekcie) do GIODO i coś jeszcze?
    Jestem kompletnie zielona w tym temacie
    Pozdrawiam

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Pojawia się kilka pytań dodatkowych:

      Czy Pani klienci to osoby fizyczne?

      Czy na pewno pani nie przeprowadza innych operacji na tych danych? Wysyłka? Reklamacje? Przekazania podwykonawcą projektu? Późniejszego marketingu/wydaniu referencji?

      Proszę też pamiętać, że w przypadku danych oso fizycznych ewentualna rejestracja zbioru danych nie jest pani jedynym obowiązkiem jako ADO.

      Pozdrawiam,

      Reply
  54. Jola

    Witam,
    Bardzo proszę o komentarz.
    Prowadzę biuro rachunkowe mam jednego pracownika ( jego dane to podstawowe dane do prowadzenia teczek osobowych oraz wykonania obowiązków jako pracodawca). Wdrożyłam system o ochronie danych. Podpisałam umowy z klientami o powierzeniu przetwarzania danych, klienci wyznaczyli mnie ABI, posiadam instrukcję zarządzania syst.informat., posiadam politykę bezpieczeństwa, upoważniłam pracownika do przetwarzania danych oraz wyznaczyłam siebie jako ABI.
    1.Czy muszę zgłaszać zbiory do GIODO zarówno swoje jak i klientów?
    2.Czy moi klienci przekazując mi dane osobowe pracowników i kontrahentów (kontrahenci – dane na fakturach)nie muszą zgłaszać zbioru do GIODO?
    3.Czy moi klienci oprócz danych , które mi przekazali posiadają inne dane tylko u siebie w firmie ( nie przekazują mi danych tych np. reklamacyjnych)muszą te zbiory zgłosić do GIODO.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Odnośnie ABI, proszę o doprecyzowanie wypowiedzi „klienci wyznaczyli mnie ABI, „. Dodatkowo, rozumie że APni jest właścicielem Biura Rachunkowego? Jeśli tak, to nie może Pani wyznaczyć siebie na ABI- więcej w tym wpisie http://odo.com.pl/ado-to-nie-abi/.

      Odnośnie pytań:
      Ad. 1. Swoich pracowników Pani nie zgłasza. Natomiast Zbiory powierzane przez klientów, nawet jeśli podlegają zgłoszeniu do GIODO (np. kontrahenci jeśli nie ma ABI i danych „wrażliwych”) to jest to obowiązek Klienta jako ADO tego zbioru.
      Ad. 2. Pracowników „własnych” nigdy się nie zgłaszało do GIODO i dalej się ich nie zgłasza.Inne zasady dotyczą zbioru Kontrahentów. Po pierwsze, należy rozgraniczyć dane podlegające pod UODO- są to firmy prowadzone przez osoby fizyczne bez osobowości prawnej. Czy taki zbiór rejestruje się w GIODO zależy w szczególności od czynników takich jak wykorzystanie danych (np. marketing, reklamacja itp), posiadanie ABI i zawartości danych „wrażliwych” w tym zbiorze.
      Ad. 3. Dane Powierzone Pani nie czynią Pani ani Pani Biura ich ADO. Rejestracja jest obowiązkiem ADO. Pani biuro jest ADO wobec Pani pracowników i Pani Kontrahętów. Więcej w tym wpisie- http://odo.com.pl/czy-procesor-musi-rejestrowac-powierzone-zbiory-danych/

      Pozdrawiam,

      Reply
  55. Jola

    Witam
    i dziękuję za szybką odpowiedź

    Tak jestem właścicielem Biura. Moimi klientami są osoby fizyczne prow. dział. gospodarczą z którymi zawarłam umowę powierzenia przetwarzania danych. Czy mogą mnie jako właściciela Biura wyznaczyć na ABI? U niektórych mogą być zbiory podlegające zgłoszeniu do GIODO(dane do reklamacji). Czytałam, że jeśli biura rachunkowe należy traktować jak doradców podatkowych i tam gdzie wyznaczono ich jako ABI to takiego ABI nie zgłasza się do GIODO.

    Reply
  56. Grzegorz Lasecki

    Pani Jolu,
    każda firma/instytucja jest Administratorem Danych Osobowych (ADO).
    To, że powierza przetwarzanie danych do biura, nie zwalnia ich z obowiązków jakie nakłada ustawa.
    Pani prowadząc biuro, na mocy umowy jest procesorem, ani ado ani abi dla tych podmiotów.
    Wyznaczenie ABI wyraźnie opisuje ustawa, Abi może być tylko i wyłącznie osoba fizyczna. Oczywiście może pani piastować takie stanowisko nie jako przy okazji u swoich Klientów, ale w takim wypadku ustawa nakłada na panią jaką ABI kolejne obowiązki. Nie ma ABI, jeżeli nie jest on zarejestrowany w GIODO.
    Tylko w przypadku rejestracji ABIego zwolnieni jesteśmy z obowiązku rejestracji zbiorów (za wyjątkiem zbiorów z danymi sensytywnymi). Stanowisko ABI bez rejestracji takiej osoby w giodo, oznacza konieczność rejestracji zbiorów – oczywiście tylko tych, które rejestracji wymagają.

    Podsumowując:

    Zawsze dwie drogi – bez ABI – rejestracja zbiorów.
    ABI zarejestrowany w GIODO – bez rejestracji większości zbiorów, ale prowadzenie wymaganej ustawą wewnętrznej dokumentacji (obowiązki ABI).

    Każde przedsiębiorstwo/podmiot jest ADO. Umowa powierzenia przetwarzania danych nie stanowi o zwolnieniu z obowiązków wynikających z ustawy.
    Pani Klienci muszą mieć swoją dokumentację ODO, pani biuro swoją.
    Biuro nie staje się ADO w wyniku powierzenia przetwarzania danych, to nie są pani zbiory.

    Reply
    1. Jola

      Dziękuję bardzo za odpowiedź
      Myślę, że już zrozumiałam ten mechanizm. Odpowiedzi udzielane przez Państwa są bardzo czytelne i zrozumiałe, a do tego ekspresowe.

      pozdrawiam
      Jola

      Reply
  57. Stanisław

    Witam, prowadzę sklep spożywczy(jednoosobowa działalność gospodarcza) , mam zatrudnionych dwóch pracowników i monitoring w sklepie. Czy muszę zgłaszać do GIODO monitoring, czy do monitoringu muszę mieć regulamin i politykę bezpieczeństwa? Dane kontrahentów mam zapisane w programie small business czy to muszę zgłaszać do GIODO?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Posiadając zatrudnienie staje się Pan automatycznie Administratorem Danych, a więc od razu ma Pan wszystkie obowiązki wynikające z UODO. Przykładowo, musi Pan posiadać Politykę B, która musi odnosić się do wszystkich zbiorów danych i zawierać ich wykaz (Pracownicy, Kontrahenci, Monitoring).

      W przypadku monitoringu trzeba na pewno oznakować sklep i spełnić obowiązek informacyjny wobec osób fizycznych które są w zasięgu kamer (art. 24 UODO). Co do rejestracji takiego zbioru- jest to konieczne chyba że nagrania są fatalnej jakości i nie pozwalają na identyfikacje osób nagranych lub w przypadku powołania ABI. Rejestracja zbioru danych kontrahentów natomiast zależy od późniejszego wykorzystania tych danych-nie rejestruje tego zbioru jeśli dane są przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej (lub nie mam danych wrażliwych w tym zbiorze i mam ABI).

      Reply
  58. Aneta

    Witam,

    mam pytanie o obowiązku rejestrowania zbioru danych.

    Chodzi o dane pracowników firmy, korzystających ze środków PFRON (stan zdrowia)

    oraz osób niepełnosprawnych, które nasza firma dowozi do szkoły?

    Czy takie dane muszą zostać zarejestrowane?

    Pierwszy zbiór dotyczy naszych pracowników,
    drugi osób dla których wystawiana jest faktura za usługę przewozu.

    Reply
    1. Michał (Post author)

      Zbiory danych związanych z zatrudnieniem zawsze korzystają ze zwolnienia z obowiązku rejestracji na podstawie art. 43 ust. 1 punkt 4 ustawy. Dane o stanie zdrowia są po prostu kolejnym elementem zbioru danych związanych z zatrudnieniem.

      Natomiast zgodnie z art. 43 ust. 1 punkt 8 ustawy z obowiązku rejestracji zwolnione są zbiory danych przetwarzanych wyłącznie w celu wystawienia faktury.

      Pozdrawiam,
      Tomasz Cygan

      Reply
  59. Sylwia

    Witam, proszę o rozwianie wątpliwości. Przygotowuję politykę bezpieczeństwa dla spółki partnerskiej, w skład której wchodzi 3 właścicieli. Co do zasady administratorem danych jest sama spółka. I tu nasuwa mi się pytanie: czy podpisując np upoważnienie do przetwarzania danych dla pracownika jako administrator podpisują się 3 właściciele czy może jeden z nich ustanowiony jako ado (czy może być takie rozwiązanie, że jako ado występuje jeden współwłaściciel czy muszą być wszyscy?). A jak wygląda kwestia ado w przypadku spółki z o.o., która ma jednego właściciela.

    Reply
    1. Michał (Post author)

      W przypadku sp. p ADO jest sama spółka. Czynności w jej imieniu wykonują Ci wspólnicy, którzy maja prawo prowadzenia spraw spółki – działa wówczas w imieniu ADO.

      W przypadku sp. z o.o. ADO jest sama spółka, którą reprezentuje zarząd zgodnie z zasadami reprezentacji.

      Reply
  60. Witek

    Szanowny Panie

    Chciałbym zwrócić uwagę na fakt, że wyrok II SA/Wa 630/12 WSA w Warszawie dotyczy stanu prawnego obowiązującego w roku 2012 gdzie art 36 ust. 3 brzmiał „ADO WYZNACZA ABI nadzorującego przestrzeganie zasad ochrony, o których w ust. 1 chyba, że sam wykonuje te czynności”.
    Aktualnie, co potwierdza na swoich stornach również GIODO, powołanie ABI jest PRZYWILEJEM nie obowiązkiem ABO.
    Dużo ciekawszym byłoby wskazanie, na jakiej podstawie ADO (np Zarząd Spółki z o.o.) nie może, w dowolnej formie „powołać wewnętrznego ABI”, tj osoby która w imieniu ADO będzie odpowiadała za bezpieczeństwo danych osobowych, bez dodatkowych obowiązków tj. rejestracji ABI w GIODO, prowadzenia rejestru zbiorów i obowiązków sprawozdawczych.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Tak, wyrok II SA/Wa 630/12 WSA w Warszawie dotyczy stanu prawnego obowiązującego na rok 2012- wskazałem to jako”ciekawostkę” która porusza kwestie nir tlko brzmienia przepisu co odpowiedzialności „w podmiotach o wieloosobowej strukturze organizacyjnej”.

      Również w wpisie wskazałem, że powołanie ABI jest „przywilejem”. I tak jak Pan napisał, wykonywać musi te zadania jakaś Osoba Fizyczna. Osobiście nie widzę sensu wyznaczania osoby odpowiedzialnej za dane osobowe w spółce, która nie jest ABI-m (tracimy przywileje z posiadania ABI). Jako luźna uwaga- proszę spojrzeć, że UODO jako ustawa szczegółowa widzi tylko dwa wyjścia- albo mam ABI albo robi to sam ADO.

      Pozdrawiam,

      Reply
  61. Emil

    Witam,

    znalazłem taki wpis:

    ” Jedynie powołanie i zgłoszenie ABI do rejestru, może zwolnić go [AD] z obowiązku zgłaszania zbiorów danych osobowych zwykłych do GIODO (zbiory te są bowiem wpisywane do rejestru ABI)”

    Co w przypadku nie powołania ABI?

    Firma posiada zbiory podlegające zwolnieniu z art. 43

    Reply
    1. Tomasz Cygan

      dzień dobry,

      konstrukcja zwolnienia z obowiązku zgłoszenia zbiorów wygląda następująco:
      – nie zgłaszamy zbiorów wymienionych w art. 43 ust. 1 ustawy niezależnie , jakie dane są w nich przetwarzane;
      – jeśli zgłaszamy ABI do GIODO nie zgłaszamy wszystkich innych zbiorów danych, jeśli nie są w nich przetwarzane dane wrażliwe;
      – mimo zgłoszenia ABI, zgłaszamy do rejestracji te zbiory, które zawierają dane „wrażliwe” i nie zostały wymienione w art. 43 ust. 1 ustawy.

      pozdrawiam

      Tomasz Cygan

      Reply
  62. Dariusz

    Witam. Czy prowadząc sprzedaż za pośrednictwem serwisu Allegro i sklepu internetowego muszę dokonać zgłoszenia do GIODO i czy muszę powołać ABI. Nadmieniam że nie zatrudniam pracowników.
    Dariusz

    Reply
    1. Michał (Post author)

      Dzień dobry,

      jeśli Pana klientami są osoby fizyczne i zbiera Pan ich dane osobowe to musi Pan spełnić wszystkie wymogi UODO. Raczej na pewno musi Pan zgłosić zbiór do GIDOD- przykładowo Klienci Sklepu Internetowego, może również „Bazę Newsletter”.

      Pana „przywilejem” (nie obowiązkiem) jest możliwość wyznaczenia ABI, wtedy jeśli nie przetwarza Pan danych „Wrażliwych” klientów (opisane w art. 27 ust. 1 UODO) wystarczy ze zarejestruje Pan samego ABI.

      Pozdrawiam,
      Michał Geilke

      Pozdrawiam,

      Reply
  63. Anna

    Dzień dobry,
    dręczy mnie pewna wątpliwość, dotycząca powoływania przez spółkę z o.o. na ABI podmiotu zewnętrznego – osoby fizycznej prowadzącej działalność gospodarczą, posiadającej wymaganą wiedzę i spełniającej pozostałe wymogi przewidziane w art. 36a ust. 5 ustawy o ochronie danych osobowych. Mianowicie zastanawiam się, czy zawierając z takim podmiotem umowę na pełnienie funkcji ABI należy również w tej umowie przewidzieć powierzenie mu przetwarzania danych osobowych na podstawie art. 31 UODO w zakresie niezbędnym do wykonywania funkcji ABI.
    Będę wdzięczna za rozwianie moich wątpliwości w tej sprawie.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      podpisują Państwo umowę z podmiotem gospodarczym (jednoosobowa działalność gospodarcza). Zapisy o poufności i powierzeniu muszą być w takiej umowie zawarte, Państwa ABI będzie przetwarzał dane osobowe których ADO są Państwo.

      Możliwe też, że Państwa ABI ma np. swój sekretariat firmowy do którego będą się Państwo zwracać z jakimiś zapytaniami które mogą zawierać dane osobowe.

      Pozdrawiam,

      Reply
      1. Anna

        Bardzo dziękuję za pomoc.
        Pozdrawiam

        Reply
  64. Wanda

    Witam, czy fundacja prowadząca kilka placówek oświatowych może powołać ABI-ego, który pełniłby swoją funkcję dla wszystkich podmiotów?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Jak najbardziej. Jednak wyznaczony ABI, musi mieć realną możliwość sprawowania swojej funkcji w tych Placówkach (niezależność, czas i np. zasoby). Również po wejściu w życie (maj 2018) ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG) będzie to możliwe.

      Z poważaniem,
      Michał Geilke

      Reply
  65. Ola

    Witam ,
    zatrudniam trzech pracowników na umowę o pracę, reszta osób zatrudnionych to osoby na umowę zlecenie (wysyłamy opiekunki za granicę). Czy muszę wyznaczać osobę odpowiedzialną za gromadzenie danych ABI, co z danymi osób na umowę o pracę, a co z tymi na umowę zlecenie (w formularzu znajdują się także dane wrażliwe – niezbędne do procesu rekrutacji), czy muszę napisać procedury dot. ochrony danych. I co Z GIODO ?
    Wiem dużo pytań ale dopiero zaczynam i temat dla mnie jest całkowicie nowy.
    Pozdrawiam

    Reply
    1. Michał Geilke (Post author)

      Dzień dobry,

      mają tylko jednego pracownika (niezależnie od formy zatrudnienia) jest Pani lub Pani spółka Administratorem Danych, a wiec ma Pani do spełnienia wymogi ustawy o ochronie danych osobowych.
      ABI jest aktualnie w każdym przypadku nieobowiązkowy, a możliwość w jego wyznaczenia jest swojego rodzaju „przywilejem”. Danych pracowników (w rozumieniu etatu) i osób świadczących usługi na podstawie umów cywilnoprawnych nie zgłasza się do GIODO (nie ma tu znaczenia ze ma Pani ich dane „wrażliwe” w rozumieniu art. 27 ust.1 ustawy o ochronie danych osobowych- zwolnienie to art. 43 ust.1 pkt. 4).

      Jednak musi Pani prowadzić wykaz zbiorów danych osobowych, jako jeden z wymogów stawianych administratorowi danych przez ustawę o ochronie danych osobowych i towarzyszące jej rozporządzenia.

      Z poważaniem,
      Michał Geilke

      Reply
  66. Jan

    Witam

    Wyznaczyłem zbiór danych Sprawy BHP. Do tej pory dokumentację BHP przetwarzaliśmy w ramach zbioru pracowników. Zaczęliśmy działalność dydaktyczną i zaczęły się pojawiać wypadki osób szkolących się na naszym terenie. Dodatkowo jeden z dostawców doznał wypadku. Zmieniamy politykę i wszystkie dokumenty do polityki, więc zastanawiam się czy:

    1.Dobrze zrobiliśmy wyznaczając ogólny zbiór : Sprawy BHP?
    2.Czy w sytuacji jak w zbiorze pojawiły się dane inne niż dane pracowników, rozumiem, że zbiór podlega rejestracji w rejestrze prowadzonym przez ABI ?

    Pozdrawiam

    Reply
    1. Tomasz Cygan

      dzień dobry,

      na podstawie przekazanych informacji wydaje się, że powinien być to oddzielny zbiór, a nie element np. zbioru pracownicy, bo obejmuje dane innych osób. zbiór podlega zgłoszeniu do rejestracji przez GIODO, jako że może zawierać dane wrażliwe o stanie zdrowia (np. dotyczące wypadku).

      z poważaniem,
      Tomasz Cygan

      Reply
  67. Sylwia

    Witam,
    Czy możliwe jest scedowanie wydawania upoważnień do przetwarzania danych osobowych przez ADO na powołanego ABI, jeżeli tak to czy spowoduje to że ABI nadzorował by samego siebie; czy jest w ogóle możliwość aby ADO upoważnił inną osobę do wydawania w swoim imieniu upoważnień do przetwarzania danych osobowych ?
    pozdrawiam

    Reply
    1. Tomasz Cygan

      dzień dobry,

      tak, jest to spotykane rozwiązanie – ADO udziela pełnomocnictwa ABI do wydawania upoważnień w jego imieniu. Żaden przepis tego nie zabrania. Natomiast, aktualnie ABI nie tyle nadzoruje przestrzeganie przepisów o ochronie danych osobowych, co zapewnia ich przestrzeganie.

      z poważaniem,
      Tomasz Cygan

      Reply
  68. Jan

    Witam,

    Pracuję w jednostce mundurowej. Wyznaczyłem zbiór funkcjonariuszy. W ramach tego zbioru przetwarzam dane kadrowe, finansowe. Ponadto kierownicy działów wykazali mi również w ramach zbioru funkcjonariusze np. książki przebiegu służby z zakresem danych imię, nazwisko, stanowisko służbowe, stopień, data rozpoczęcia i zakończenia służby. Zastanawiam się czy ta książka przebiegu służby może być elementem zbioru funkcjonariuszy,bo dotyczy funkcjonariuszy czy odrębnym zbiorem ?

    Pozdrawiam
    Jan

    Reply
    1. Tomasz Cygan

      dzień dobry,

      moim zdaniem, będzie to element zbioru dotyczącego funkcjonariuszy – z przyczyn tożsamych z podanymi przez Pana.

      z poważaniem,

      Tomasz Cygan

      Reply
  69. Bartek

    Dzień dobry,
    zakładam jednoosobową firmę wykonującą usługi fotograficzne. Nie będę miał pracowników, natomiast będę podpisywał z klientami umowy(tylko w formie papierowej) na wykonanie zdjęć. Czy w takiej sytuacji muszę wyznaczyć administratora bezpieczeństwa informacji? Dane osobowe klientów potrzebuję tylko i wyłącznie do wystawienia rachunku.

    Reply
    1. Tomasz Cygan

      dzień dobry,

      nie musi Pan wyznaczać ABI. w takim przypadku zbiór danych klientów będzie zwolniony z rejestracji na podstawie art. 43 ust. 1 punkt 8 ustawy.

      z poważaniem,

      Tomasz Cygan

      Reply
      1. Bartek

        Bardzo dziękuję za odpowiedź. Dla pewności jeszcze spytam, czyli nie muszę nigdzie się zgłaszać ani rejestrować bazy danych? Przepraszam, że tak dopytuję, ale dopiero co się dowiedziałem o czymś takim jak GIODO.

        Reply
        1. Tomasz Cygan

          nie ma sprawy. jeśli tylko w celu wystawienia faktury zbiera Pan dane osobowe, to nie musi Pan nigdzie zbioru danych osobowych klientów zgłaszać.

          pozdrawiam,

          Tomasz Cygan

          Reply
  70. Krzysztof

    Witam, ADO wyznaczył referenta d/s ODO który w zakresie obowiązków ma m.inn prowadzenie szkoleń, kontroli i wykonywania z tych czynności sprawozdań. Referent podlega bezpośrednio pod ADO. Czy jest to sytuacja zgodna z aktualnymi przepisami ? Pozdrawiam …

    Reply
    1. Tomasz Cygan

      dzień dobry,

      tak, jest zgodna, ale taki referent nie będzie dawał korzyści, które wynikają z powołania ABI.

      z poważaniem,

      Tomasz Cygan

      Reply
  71. Sylwia

    Witam,
    pracuję z klubie fitness, w którym funkcjonuje specjalny program internetowy do obsługi klubu. Program ten jest własnością zewnętrznej firmy, której płaci się należność za użytkowanie. Każdy klient jest wpisywany do tego systemu, gdyż karnety są prowadzone w formie elektronicznej. W związku z tym pojawiają się pytania: czy klub jest ADO, czy jest potrzeba zgłoszenia tej „bazy” klientów. Jeżeli tak, czy jest należy powołać ABI ?

    Reply
    1. Tomasz Cygan

      dzień dobry,

      jeśli klienci są Państwa klubu, to klub jest ADO, a program stanowi element informatyczny zbioru danych klientów. powołanie ABI jest jedynie możliwością – póki co żaden przepis tego nie wymusza. aby jednoznacznie odpowiedź, czy zbiór podlega zgłoszeniu, niezbędna jest znajomosćjego zawartosći celu przetwarzania (chociażby, czy zawiera dane wrażliwe oraz czy dane wykorzysytywane są choćby marketingowo).

      z poważaniem,

      Tomasz Cygan

      Reply
  72. Max

    Dzień dobry.

    Jestem wyznaczonym przez pracodawcę ABI.
    Kto ponosi odpowiedzialność za zgłoszenie zbiorów danych zawierających dane wrażliwe do GIODO: ADO czy ABI? Sprawa dotyczy sytuacji, w której ADO uznaje, że dany zbiór danych nie wymaga zgłoszenia do GIODO, z czym nie zgadza się jednak ABI.

    Reply
    1. Tomasz Cygan

      dzień dobry,

      zgodnie z art. 40 ustawy obowiązek zgłoszenia zbioru ciąży na ADO.

      zgodnie z art. 53 odpowiedzialność karna za niezgłoszenie zbioru ciąży na ADO.

      z poważaniem,

      Tomasz Cygan

      Reply
      1. Monika

        Witam

        prowadzę spółkę z o.o. pośrednictwa finansowego, zbieram dane w formie papierowej, wnioski klientów o pożyczkę, umowy kredytowe.
        czy muszę się zgłosić jako jako ABI czy Ado, czy jestem zwolniona z tego obowiązku.

        Pozdrawiam
        Artur

        Reply
        1. Tomasz Cygan

          dzień dobry,

          ADO jest spółka z mocy prawa. Natomiast powołanie ABI nie jest obowiązkowe – art. 36a ustawy daje taką możliwość.

          z poważaniem,

          Tomasz Cygan

          Reply
  73. Tomasz Cygan

    dzień dobry,

    Dziękujemy. Zapraszamy do lektury kolejnych wpisów.

    z poważaniem,

    Tomasz Cygan

    Reply
  74. Karolina

    Szanowny Panie, pracuję w muzeum,dane jakie przetwarzamy to informacje o pracownikach (program Płatnik oraz finansowo księgowy) oraz posiadamy dane (adres nr DO) w umowach, które zawieramy z osobami, które przekazują nam eksponaty (wyłącznie papierowo). Czy w związku z tym obowiązuje nas zgłoszenie bazy danych?

    Reply
    1. Tomasz Cygan

      dzień dobry,

      zgodnie z treścią art. 43 ustawy o ochronie danych osobowych z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
      4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;
      12) przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1.

      z poważaniem,

      Tomasz Cygan

      Reply

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

one × two =