Kiedy mamy do czynienia ze zbiorem danych osobowych

Kategoria: Ochrona danych osobowych
Autor: Marcin Sarna
Data: 15-09-2014 r.

Właściciele firm często zastanawiają się czy informacje przetwarzane w ich systemach informatycznych są zbiorami danych i czy podlegają rejestracji w GIODO. Pytanie to jest istotne, gdyż za niezgłoszenie zbioru grozi kara grzywny, ograniczenie wolności, a nawet pozbawienie wolności do roku.

Aby jakaś informacja lub grupa informacji stanowiła zbiór danych osobowych w rozumieniu ustawy:

 

  • musi to być zestaw danych o charakterze osobowym;

  • zestaw ten powinien mieć postać struktury;

  • informacje są dostępne według określonych kryteriów

przy czym nie ma znaczenia czy zestaw jest rozproszony lub podzielony funkcjonalnie.

Na przykład zbiorem danych osobowych może być: lista klientów, wykaz wdrożeń sporządzonych w danym przedsiębiorstwie jeżeli w tym wykazie znajdują się dane osób pracujących w tym przedsiębiorstwie, katalog pracowników uprawnionych do określonych czynności, książka adresowa (korespondencyjna), katalog czynności serwisowych jeżeli wskazuje np. kto potwierdzał odbiory itp. Takie bazy danych są często po prostu elementem program kadrowego, systemu CRM czy CMS albo platformy wymiany informacji lub platformy handlowej. Zbiór danych może także powstać w wyniku wypełniania formularza na stronie internetowej (np. przy rejestracji użytkownika).

Nawet jeżeli zostanie ustalone iż dane informacje stanowią zbiór danych to nie oznacza to jeszcze, że musi on być rejestrowany. Chodzi tu przede wszystkim o zbiory danych:

  • zawierające informacje niejawne;

  • przetwarzane przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym;

  • przetwarzane w związku z zatrudnieniem u administratora danych, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczące osób u nich zrzeszonych lub uczących się;

  • dotyczące osób korzystających z usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta świadczonych przez administratora danych;

  • przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;

  • powszechnie dostępne;

  • przetwarzane w zakresie drobnych bieżących spraw życia codziennego.

W związku z tym nie ma na przykład konieczności rejestrowania zbioru bazy danych osobowych kandydatów do pracy czy uczestników jednorazowego konkursu na wymyślenie logo czy nazwy programu.

Oczywiście zwolnienie z obowiązku zgłoszenia zbioru danych do rejestracji w żadnym razie nie może być uważane za zwolnienie z obowiązku przestrzegania innych obowiązków związanych z ochroną danych osobowych.

Marcin Sarna, radca prawny
Zobacz także:

Tagi: dane osobowe, giodo

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Prawo do informacji o przetwarzanych danych osobowych

Prawo do informacji o przetwarzanych danych osobowych »
Odpowiedzialność administratora danych osobowych

Odpowiedzialność administratora danych osobowych »
Prawo do kopii danych osobowych

Prawo do kopii danych osobowych »
Array ( [docId] => 35713 )
Array ( [docId] => 35713 )