Zgodnie z uodo „W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5”.
Doraźne zbiory danych – kiedy można je stosować
Kategoria: Ochrona danych osobowych
Data: 26-06-2015 r.
Zgodnie z ustawą o ochronie danych osobowych administratorzy danych muszą m.in. spełnić obowiązek informacyjny czy rejestrować zbiory danych (m.in. jeśli nie powołali ABI). Przepisy przewidują jednak zwolnienie z tych obowiązków, gdy dane są przetwarzane w zbiorach doraźnych.
Z tego przywileju można skorzystać tylko wtedy, gdy przetwarzamy dane osobowe w ramach zbioru danych, a więc w ramach ustrukturyzowanego zestawu danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Kiedy zbiór jest doraźny
Aby zbiór danych był zbiorem doraźnym, należy spełnić wymogi określone w art. 2 ust. 3 uodo. Warto w tym miejscu wspomnieć o dwóch podejściach do kryterium oceny czy dany zbiór spełnia te dyspozycje.
Pierwsza „szkoła” mówi o tym, że norma zawarta w przepisie art. 2 ust. 3 ma zastosowanie, jeżeli jest spełniony chociaż jeden warunek z wymienionego przepisu, np. zbiór sporządzany jest ze względów szkoleniowych. Druga „szkoła” uznaje, że omawiany artykuł ma zastosowanie wyłącznie w sytuacji, kiedy oprócz doraźności jest spełniony przynajmniej jeden z celów (techniczny, szkoleniowy lub związany z dydaktyką w szkołach wyższych) oraz dane są niezwłocznie usuwane albo poddawane anonimizacji.
Zbiory doraźne – ułatwienia
Do danych osobowych przetwarzanych w ramach zbioru doraźnego nie stosujemy wszystkich wymagań wynikających z ustawy o ochronie danych osobowych. Zastosowanie ma wyłącznie rozdział 5 ustawy o ochronie danych osobowych, który dotyczy odpowiedniego zabezpieczenia przetwarzanych danych osobowych.
Administrator danych, który posiada wyłącznie zbiory doraźne, ma obowiązek posiadania polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi, wystawiania upoważnień do przetwarzania danych, prowadzenia ewidencji tych upoważnień oraz odebrania oświadczeń o zachowaniu danych w poufności.
Dodatkowo powinien zabezpieczyć przetwarzane dane osobowe przed dostępem osób nieupoważnionych (realizować zasadę bezpieczeństwa danych) oraz stosować systemy informatyczne realizujące wymogi przepisów o ochronie danych osobowych. Po spełnieniu wymagań z rozdziału 5 może legalnie przetwarzać dane osobowe.
Nie ma więc obowiązku zawierania umów powierzenia przetwarzania danych osobowych, rejestracji zbioru w GIODO, zapewnienia podstawy prawnej przetwarzanych danych, legalizacji przekazywania danych osobowych do państw trzecich (rozdział 7 uodo), spełnienia obowiązku informacyjnego czy realizacji prawa do informacji (art. 32 i 33 uodo).
Zobacz także:
Tagi: dane osobowe, abi
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
