GoldenLine
Zaloguj się
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Wyrejestrowanie zbioru w związku z likwidacją...

W ustawie jest:
„wykreślenie z rejestru zbiorów danych osobowych jest dokonywane, w drodze decyzji administracyjnej, jeżeli (…) zaprzestano przetwarzania danych w zarejestrowanym zbiorze”.
Jeśli już danych się nie przetwarza, to zbiór można wyrejestrować. Przetwarzanie danych, to nie tylko „przetwarzanie”, ale też samo przechowywanie, tak więc „zaprzestanie” oznacza w praktyce pozbycie się, usunięcie danych.

Co ma zrobić przedsiębiorca, który kończy działalność, ale musi dane przechowywać ze względów podatkowych przez ok. 5 lat. Czy może wyrejestrować zbiór, czy musi czekać 5 lat, aż skończy się "prawnie usprawiedliwiony cel realizowany przez administratora danych" (art. 23 ust.1 pkt 5)?

1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
(...)
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Link do wypowiedziLink
Jacek G.

Jacek G. Compliance Officer,
Data Protection
Officer

Temat: Wyrejestrowanie zbioru w związku z likwidacją...

Moim zdaniem jest tak:

1. Jeśli przedsiębiorca przechowuje dane ze względów podatkowych, to ma zastosowanie Art 23.1 pkt 2 ustawy.
2. Zgodnie z art. 41.2 ustawy Administrator powinien zgłosić zmianę - wyrejestrować zbiór danych osobowych, w ciągu 30 dni.
3. Taki wyrejestrowany zbiór przechowywany dla celów podatkowych jest moim zdaniem zwolniony z obowiązku bycia zarejestrowanym na podstawie art. 43.1 pkt 8 Ustawy.
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Wyrejestrowanie zbioru w związku z likwidacją...

Witam

Na wstępie mała poprawka. W przypadku zaprzestania działalności i przechowywania danych dla celów podatkowych to będzie nie 5 a 7 lat. To wynika z ustawy o rachunkowości.

Zgadzam się że w tym przypadku ma zastosowanie Art. 23.1 pkt 2 Ustawy.

Nie jestem jednak pewien czy zbiór może być wyrejestrowany i dalej przetwarzany na podstawie Art. 43,1 okt 8. Jeżeli nie zawiera innych danych prócz koniecznych do wystawienia faktury to tak. Ale jeżeli zawiera dodatkowe dane np. numery telefonów to najpierw należało by skasować te dane pozostawiając tylko niezbędne do wystawienia faktury, zgłosić zmiane i dopiero w następnym kroku wyrejestrować zbiór.

Wygląda to trochę na nielogiczne ale uważam, że trzeba zrobić to w ten sposób ponieważ kasowanie dancy też jest ich przetwarzaniem w rozumieniu Ustawy. Ponadto w tym przypadku nie ma wżtpliwści że dalsze przetwarzanie odbywa się wyłącznie na podstawie Art. 23.1 pkt 2 i innych przepisów prawa.
Link do wypowiedziLink
Jacek G.

Jacek G. Compliance Officer,
Data Protection
Officer

Temat: Wyrejestrowanie zbioru w związku z likwidacją...

Rzeczywiście, ma Pan rację. Konieczne jest to uzupełnienie:
Zbiór danych osobowych powinien zachować tylko te dane, które są wymagane ustawą o rachunkowości.
Natomiast nie uważam za konieczne zgłoszenie zmian w zbiorze polegające na skasowaniu części danych i w następnym kroku zgłaszanie wyrejestrowania zbioru. Według mnie należy zgłosić od razu wyrejestrowanie zbioru, gdyż skończył się cel ich przechowywania. Można (choć nie jest to wymagane ustawą o.d.o.) w takim zgłoszeniu opisać, które dane pozostawiamy w okrojonym dla celów kontroli skarbowej.
Oczywiście względy formalne takie jak protokół usunięcia danych (i inne przewidziane wewnętrzną polityką przetwarzania danych osobowych) powinny zostać zachowane.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Wyrejestrowanie zbioru w związku z likwidacją...

Czyli skoro przedsiebiorca dane osobowe (ze względu na "prawnie usprawiedliwiony cel") musi przechowywać jeszcze wiele lat (niekiedy ~50 - dane pracowników), to dobrze rozumiem, że powinien mieć wciąż (przez ten czas, choćby i 50 lat) np. politykę bezpieczeństwa i instrukcję zarządzania systemem?Leszek K. edytował(a) ten post dnia 24.07.11 o godzinie 10:18
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Wyrejestrowanie zbioru w związku z likwidacją...

Na pewno politykę bezpieczeństwa. Co do instrukcj nie jestem pewien ponieważ przetwarzania odbywa się na podstawie innuch ustaw a nie uodo.

Polityka lub dokument o podobnej treści jest wymagana nawet w przypadku przetwarzania danych bez zgłaszania zbioru w GIOD-o. Tak jest w przypadku przetwarzania danych osobowych pracowników. Zbioru nie trzeba zgłaszać do GIODO ale podlega on ochronie zgodnej z uodo.
Link do wypowiedziLink
Jacek G.

Jacek G. Compliance Officer,
Data Protection
Officer

Temat: Wyrejestrowanie zbioru w związku z likwidacją...

Leszek K.:
Czyli skoro przedsiebiorca dane osobowe (ze względu na "prawnie usprawiedliwiony cel") musi przechowywać jeszcze wiele lat (niekiedy ~50 - dane pracowników), to dobrze rozumiem, że powinien mieć wciąż (przez ten czas, choćby i 50 lat) np. politykę bezpieczeństwa i instrukcję zarządzania systemem?

W mojej opinii w przypadku zamknięcia działalności gospodarczej nie możemy mówić o prawnie usprawiedliwionym celu administratora danych, czyli art.23 ust 1 pkt 5, ale mówimy o art 23 ust 1 pkt 2, czyli obowiązku wynikającym z prawa.

Wymienione przez Pana dokumenty w przypadku likwidacji pracodawcy są (powinny być) przekazane - zgodnie z przepisami - odpowiedniemu podmiotowi, który zajmie się archiwizacją dokumentacji osobowej i płacowej zlikwidowanego podmiotu.
Likwidowany pracodawca w oparciu o powołany wyżej przepis przekaże podmiotowi archiwizującemu te (i tylko te) dane, które powinien przekazać na podstawie przepisów odpowiednich ustaw.

W tym świetle (po likwidacji działalności) pracodawca nie ma obowiązku przechowywanie żadnej polityki ani instrukcji. Obowiązek ten ma podmiot, który zarchiwizował dane. Oczywiście ta polityka i instrukcja będą dokumentami wewnętrznymi podmiotu archiwizującego.Jacek G. edytował(a) ten post dnia 25.07.11 o godzinie 11:55
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Wyrejestrowanie zbioru w związku z likwidacją...

Zgadzam się w pełni w przypadku danych kadrowych. Podlegają one jeszcze innym przepisom i na ich podstawie są (powinny być) przekazana odpowiedniemu podmiotowi.

W przypadku innych danych odpowiedzialność spoczywa na właścicielu likwidowanej firmy.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Wyrejestrowanie zbioru w związku z likwidacją...

Ja mam jednak wątpliwości. Administratorem danych jest przedsiębiorstwo. Po zakończeniu działalności administrator danych przestaje istnieć - jako taki. Zatem kto będzie administratorem danych? Nie może byc przedsiębiorstwo, bo go nie ma.
Link do wypowiedziLink

konto usunięte

Temat: Wyrejestrowanie zbioru w związku z likwidacją...

Roman Janas:
Zgadzam się w pełni w przypadku danych kadrowych. Podlegają one jeszcze innym przepisom i na ich podstawie są (powinny być) przekazana odpowiedniemu podmiotowi.

W przypadku innych danych odpowiedzialność spoczywa na właścicielu likwidowanej firmy.

Nie - "właściciel" administratora danych nie "dziedziczy" obowiązków w zakresie ochrony danych osobowych. Jeżeli nic z przepisów prawa nie wynika (np. przejęcie obowiązków jednego organu przez inny - typu przekształcenie URTiP w UKE), wraz z likwidacją przedsiębiorcy będącego administratorem danych, administrator danych przestaje istnieć.
Link do wypowiedziLink

konto usunięte

Temat: Wyrejestrowanie zbioru w związku z likwidacją...

---Paweł Litwiński edytował(a) ten post dnia 12.09.11 o godzinie 11:28
Link do wypowiedziLink

konto usunięte

Temat: Wyrejestrowanie zbioru w związku z likwidacją...

Leszek K.:
Ja mam jednak wątpliwości. Administratorem danych jest przedsiębiorstwo. Po zakończeniu działalności administrator danych przestaje istnieć - jako taki. Zatem kto będzie administratorem danych? Nie może być przedsiębiorstwo, bo go nie ma.

Dane podlegają przekazaniu do przechowawcy, zgodnie z ustawą o narodowym zasobie archiwalnym i archiwach. I myślę, że po likwidacji administratora danych to właśnie przechowawca będzie pełnił taką rolę.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Wyrejestrowanie zbioru w związku z likwidacją...

a jak w takim razie potraktować osobę fizyczną prowadzącą działalność gospodarczą? Księgi i dowody księgowe należy przechowywać przez 5+ lat, a wiele z nich będzie zawierać dane osobowe. Księga zaś stanowi zbiór.

Chodzi mi o sytuację, w której drobny przedsiębiorca prowadzi d.g. Ma zarejestrowany zbiór danych osobowych w związku z umowami. I likwiduje d.g. Przestaje więc istnieć administrator jako taki, cel przetwarzania danych jednak pozostaje ten sam - dane są przetwarzane w związku z umową, tyle że ograniczone do przechowywania w ramach usprawiedliwionego prawnie celu (przepisy podatkowe, byc może w grę będą wchodzić roszczenia).

I teraz zastanawiam się, co nalezy zrobić z zarejestrowanym zbiorem? Zaktualizować? Wyrejestrować? Podejrzewam, ze większość przedsiębiorców zgłasza do GIODO wykreslenie, uzasadniając to oświadczeniem o usunięciu danych + informacja o wykresleniu z rejestru przedsiębiorców. Jednak w istocie dane nie sa usuwane -- są na dowodach księgowych.To zaś prowadzi do naruszenia, jak rozumiem, ustawy.

Można podnosić argument, że będą to dane przetwarzane wyłącznie w celu wystawienia rachunku. Ale w przypadku sprzedaży wysyłkowej gromadzi się dowody potwierdzające na poczcie nadanie - są tam też adresy (gromadzi sie aby odliczyć koszt nadania) - a dane chyba niekoniecznie w cely wyłącznie wystawienia rachunku.Leszek K. edytował(a) ten post dnia 13.09.11 o godzinie 07:44
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Prawnie usprawiedliwiony ce...




Wyślij zaproszenie do
Anuluj