Doraźne zbiory danych – kiedy można je stosować

Data: 26-06-2015 r.

Zgodnie z ustawą o ochronie danych osobowych administratorzy danych muszą m.in. spełnić obowiązek informacyjny czy rejestrować zbiory danych (m.in. jeśli nie powołali ABI). Przepisy przewidują jednak zwolnienie z tych obowiązków, gdy dane są przetwarzane w zbiorach doraźnych.

Zgodnie z uodo „W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5”.

 

Z tego przywileju można skorzystać tylko wtedy, gdy przetwarzamy dane osobowe w ramach zbioru danych, a więc w ramach ustrukturyzowanego zestawu danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Kiedy zbiór jest doraźny

Aby zbiór danych był zbiorem doraźnym, należy spełnić wymogi określone w art. 2 ust. 3 uodo. Warto w tym miejscu wspomnieć o dwóch podejściach do kryterium oceny czy dany zbiór spełnia te dyspozycje.

Pierwsza „szkoła” mówi o tym, że norma zawarta w przepisie art. 2 ust. 3 ma zastosowanie, jeżeli jest spełniony chociaż jeden warunek z wymienionego przepisu, np. zbiór sporządzany jest ze względów szkoleniowych. Druga „szkoła” uznaje, że omawiany artykuł ma zastosowanie wyłącznie w sytuacji, kiedy oprócz doraźności jest spełniony przynajmniej jeden z celów (techniczny, szkoleniowy lub związany z dydaktyką w szkołach wyższych) oraz dane są niezwłocznie usuwane albo poddawane anonimizacji.

Zbiory doraźne – ułatwienia

Do danych osobowych przetwarzanych w ramach zbioru doraźnego nie stosujemy wszystkich wymagań wynikających z ustawy o ochronie danych osobowych. Zastosowanie ma wyłącznie rozdział 5 ustawy o ochronie danych osobowych, który dotyczy odpowiedniego zabezpieczenia przetwarzanych danych osobowych.

Administrator danych, który posiada wyłącznie zbiory doraźne, ma obowiązek posiadania polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi, wystawiania upoważnień do przetwarzania danych, prowadzenia ewidencji tych upoważnień oraz odebrania oświadczeń o zachowaniu danych w poufności.

Dodatkowo powinien zabezpieczyć przetwarzane dane osobowe przed dostępem osób nieupoważnionych (realizować zasadę bezpieczeństwa danych) oraz stosować systemy informatyczne realizujące wymogi przepisów o ochronie danych osobowych. Po spełnieniu wymagań z rozdziału 5 może legalnie przetwarzać dane osobowe.

Nie ma więc obowiązku zawierania umów powierzenia przetwarzania danych osobowych, rejestracji zbioru w GIODO, zapewnienia podstawy prawnej przetwarzanych danych, legalizacji przekazywania danych osobowych do państw trzecich (rozdział 7 uodo), spełnienia obowiązku informacyjnego czy realizacji prawa do informacji (art. 32 i 33 uodo).

Piotr Janiszewski, radca prawny, ekspert ds. ochrony danych osobowych

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 37397 )
Array ( [docId] => 37397 )

Array ( [docId] => 37397 )