- Szczegóły
-
Opublikowano: wtorek, 18, marzec 2014 07:35
Zgodnie z art. 43 ust. 1 ustawy z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
1) objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,
1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
2b) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
9) powszechnie dostępnych,
10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
Podkreślić należy, iż zgłoszenie zbioru danych osobowych do rejestracji Generalnemu Inspektorowi stanowi regułę. Jeżeli zatem podmiot przetwarza dane osobowe w zbiorze jako administrator danych, a jednocześnie nie zachodzi żadna z przesłanek określonych w art. 43 ust. 1 pkt 1–11 ustawy, to jest on zobligowany do zgłoszenia tego zbioru do rejestracji Generalnemu Inspektorowi.
Zwolnienie z obowiązku rejestracji zbioru nie zwalnia administratora danych z innych, nałożonych przepisami ustawy obowiązków. Są to w szczególności:
- obowiązek legitymowania się jedną spośród wskazanych w art. 23 ust. 1 pkt 1–5 oraz art. 27 ust. 2 pkt 1–10 ustawy przesłanek legalizujących przetwarzanie danych;
- obowiązek informacyjny, określony odpowiednio w art. 24 lub 25 ustawy – w zależności od tego, czy dane zbierane są bezpośrednio od osoby, której dotyczą, czy też z innego źródła;
- obowiązek zapewnienia, aby dane były przetwarzane zgodnie z prawem; zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami; merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 26 ust. 1 ustawy);
- obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, o których mowa w rozdziale 5 ustawy, w przypadku zaś przetwarzania danych w systemie informatycznym – również w przepisach rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024).
Przykłady zwolnień z obowiązku rejestracji zbioru danych
- Zgodnie z art. 43 ust. 1 pkt 2a ustawy z obowiązku zgłoszenia zbioru do rejestracji zwolnieni są administratorzy danych przetwarzanych przez Generalnego Inspektora Informacji Finansowej. Takimi administratorami są instytucje określone w ustawie z dnia 16 listopada 2000 r. o przeciwdziałaniu wprowadzania do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł (Dz.U. z 2003 r. nr 153, poz. 1505 z późn. zm.), które prowadzą rejestry transakcji – na potrzeby Generalnego Inspektora Informacji Finansowej.
- Zgodnie z art. 43 ust. 1 pkt 4 ustawy z obowiązku rejestracyjnego zwolnieni są również administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się. Zwolnienie to dotyczy w szczególności zbiorów danych osobowych obecnych i byłych pracowników, a także kandydatów do pracy, oraz zbiorów danych osób świadczących administratorowi danych usługi na podstawie umów cywilnoprawnych (np. na podstawie umowy zlecenia, umowy o dzieło.
- Zgodnie z art. 43 ust. 1 pkt 8 ustawy z obowiązku rejestracji zbioru danych zwolnieni są administratorzy przetwarzający je wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Jeśli jednak zgromadzone w zbiorze dane służą dodatkowym celom, innym niż wskazane w tym przepisie, to administrator będzie musiał zbiór zarejestrować. Przykładem takiej sytuacji jest wykorzystywanie danych w celach finansowo-księgowych z jednoczesnym wykorzystywaniem ich do celów realizacji umowy, dochodzenia roszczeń, celów marketingowych, utrzymywania kontaktu z klientem (np. wysyłania życzeń urodzinowych czy kartek świątecznych.
- Zgodnie z art. 43 ust. 1 pkt 9 ustawy z obowiązku rejestracyjnego zwolnieni są administratorzy danych powszechnie dostępnych. Przesłanka ta jest spełniona, jeżeli z danymi zawartymi w zbiorze może się zapoznać – bez szczególnego nakładu sił i środków – nieograniczony krąg podmiotów (np. dane zostały opublikowane w Internecie, gazecie, książce). Podkreślić należy, że administrator danych zwolniony jest z obowiązku rejestracji zbioru tylko wtedy, jeżeli powszechnie dostępne są wszystkie, a nie tylko niektóre zawarte w nim dane.
- Zgodnie z art. 43 ust. 1 pkt 11 ustawy z obowiązku rejestracji zbioru danych zwolnieni są administratorzy przetwarzający je w zakresie drobnych bieżących spraw życia codziennego. Pojęcie „drobnych bieżących spraw życia codziennego” nie zostało w ustawie zdefiniowane. Nie precyzuje go także Kodeks cywilny, w którym pojęcie to również występuje. Dokonując wykładni tego przepisu, Generalny Inspektor przyjął, że „drobne bieżące sprawy życia codziennego” to sprawy drugorzędne, niemające zasadniczego znaczenia dla administratora danych. Przykładowo uznano, że takiego zakresu dotyczą dane przetwarzane w celu kontroli wstępu na teren określonych obiektów (zawarte w tzw. księgach wejść i wyjść), a także w celu utrzymywania kontaktu z osobą reprezentującą określony podmiot (mające dla administratora charakter pomocniczy, celem ich prowadzenia jest wyłącznie usprawnienie działalności administratora danych i utrzymywanie kontaktów z określonymi podmiotami, a dane osoby reprezentującej podmiot przetwarzane są w zakresie niezbędnym do realizacji kontaktu.
źródło:GIODO