Jednym z podstawowych obowiązków nakładanych przez ustawę o ochronie danych osobowych jest obowiązek zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO), przetwarzanych przez nas zbiorów danych osobowych. GIODO prowadzi ogólnodostępny rejestr zbiorów danych.
No właśnie „zbiór danych”… Co to jest takiego? Czy to jest to samo co „baza danych”? Oczywiście nie. Gdyby tak było, ustawodawca nie wprowadzałby nowego pojęcia i mówiłby o bazie danych osobowych.
Wprowadzane ustawą pojęcie zbioru danych, ma nieco bardziej ogólny charakter. Zbiór mogą tworzyć np. akta pracownicze, stojące na półkach w dziale kadr – czyli zbiór w ogóle nie musi być przetwarzany w formie elektronicznej. A jeżeli dane pracowników będziemy przetwarzali również w systemie informatycznym? Nic to nie zmienia. Dane w systemie informatycznym, razem z danymi w aktach będą tworzyły jeden zbiór!
Przyjrzyjmy się z kolei naszemu programowi, w którym przetwarzamy dane klientów, czyli naszej bazie danych klientów. Przykładowo, baza ta może zawierać dane dotyczące sprzedaży, ale wykorzystywać będziemy ją również w celu wysyłania do klientów informacji o naszych nowych produktach. W takim wypadku będziemy mieli jedną bazę danych, ale dane w niej będą tworzyć co najmniej dwa zbiory danych: jeden stanowią dane przetwarzane w celu zawarcia i realizacji umowy sprzedaży, a drugi dane wykorzystywane w celu marketingowym.
Widzimy już, że baza danych i zbiór danych, to powiązane, ale jednak różne pojęcia.
W ostatnim czasie, pojawiło się na rynku sporo ofert „rejestracji baz danych w GIODO”. Z naszej strony możemy tylko przestrzegać przed takimi usługami. Jeżeli ktoś oferuje Państwu usługę rejestracji bazy danych, to albo wprowadza Państwa w błąd, albo nie wie, jakie ustawowe obowiązki w rzeczywistości spoczywają na podmiotach przetwarzających dane osobowe.
Musimy tu dodać, że rejestracja zbiorów danych osobowych, jest zwykle jednym z ostatnich kroków tworzenia systemu ochrony danych. Wcześniej musimy opracować i wdrożyć politykę bezpieczeństwa, instrukcję zarządzania systemem informatycznym, przygotować klauzule obowiązków informacyjnych, wydać upoważnienia, itd. Proces ten zaczynamy zwykle od identyfikacji zbiorów danych osobowych przetwarzanych w danej organizacji. Bez prawidłowej identyfikacji zbiorów danych, nie mamy możliwości prawidłowego stworzenia całej dokumentacji opisującej nasz system ochrony danych osobowych.
Wkrótce napiszemy więcej o tym, w jaki sposób zidentyfikować nasze zbiory danych.