Rejestracja zbioru danych osobowych

Autor: Marcin Sarna
Data: 04-06-2014 r.

Jednym z ważniejszych pytań z kategorii ochrony danych osobowych, na które odpowiedź powinna udzielić sobie w pewnym momencie każda firma, jest to, czy przetwarzane przez nią dane osobowe mają już formę zbioru danych czy nie. W przypadku twierdzącej odpowiedzi, konieczna jest rejestracja takiego zbioru oraz spełnienie szeregu innych obowiązków.

Zbiór danych zgodnie z ustawą to „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.

Aby taki zestaw informacji mógł zostać uznany za zbiór danych osobowych, musi łącznie spełniać następujące przesłanki:

  • zawierać dane osobowe;

  • mieć określoną, własną strukturę;

  • zapewniać dostęp do danych osobowych według określonych kryteriów.

Zauważmy, że mowa o „zestawie danych” – liczba mnoga wskazuje, że elementów wchodzących w skład zbioru powinno być więcej niż jeden. Jeżeli więc w zasobach firmy występuje o danej osobie tylko jakaś pojedyncza informacja to nie ma mowy o istnieniu zbioru danych osobowych tworzonego przez tą informację.

Z drugiej strony, nawet jeżeli firma przetwarza dane tylko jednej osoby (ma np. tylko jednego, kluczowego klienta) to można już mówić o zbiorze danych (o ile oczywiście – zgodnie z tym co powiedzieliśmy - ilość informacji o tej osobie jest większa niż jeden).

Nie ma mowy o zbiorze danych, jeżeli dane osobowe z tego zestawu danych nie są dostępne albo są wprawdzie dostępne ale w sposób bardzo utrudniony. W zbiorze danych informacje są uporządkowane, tzn. zbiór posiada odpowiednią strukturę umożliwiającą segregowanie danych według określonych kryteriów.

Nieistotne natomiast jest:

  • czy zestaw danych jest zautomatyzowany (np. utrzymywany w postaci cyfrowej) czy też nie;

  • jaka technika została zastosowana przy tworzeniu zestawu;

  • na jakim nośniku zestaw jest utrzymywany;

  • w jakiej formie dane są wyrażane (dźwięk, obraz, słowo).

Dostęp według kryteriów

Ta przesłanka jest rozumiana przez GIODO następująco: ze zbiorem danych mamy od czynienia jeżeli tylko umożliwia on dostęp do poszczególnych danych za pomocą jakiegokolwiek (choćby tylko jednego) kryterium.

Przykład:

Wyszukiwane danych po kryterium

Dane osobowe dostawców firmy są ułożone alfabetycznie według firmy lub nazwiska kontrahenta. Mamy więc do czynienia ze zbiorem danych bowiem można szybko odnaleźć informacje o dane osobie bez potrzeby przeglądania całego zestawu danych.

Przykładowe zbiory danych

Zbiorem danych są na przykład:

  • wszelkie dane osobowe gromadzone „w formie akt”, np. akta postępowania prowadzonego przez urząd;

  • zapis obrazu zarejestrowanego przez kamery monitoringu;

  • zbiór aplikacji składanych przez kandydatów do pracy czy oświadczenia majątkowe radnych.

Warunki zgłoszenia zbioru danych do rejestracji

Podstawowym obowiązkiem administratora danych jest zarejestrowanie zbioru danych u GIODO. Rejestracji podlega przy tym sam zbiór a nie jego zawartość. We wniosku opisuje się bowiem tylko zbiór a zmiana danych gromadzonych w zbiorze nie powoduje powstania obowiązku zaktualizowania rejestracji. Zgłaszając zbiór danych należy jednak wskazać zakres przetwarzanych danych (kategorie danych przetwarzanych we wzorze, np. imiona, nazwiska, adresy zamieszkania).

Zgłoszenie powinno nastąpić przed dokonaniem przetwarzania danych czyli przed pozyskaniem pierwszych danych do zbioru. Już od momentu dokonania zgłoszenia można takie dane przetwarzać. Wyjątek stanowią dane osobowe szczególnie chronione, których przetwarzanie jest dozwolone dopiero po zarejestrowaniu zbioru.

Zgłoszenia dokonuje się na formularzu. Postępowanie kończy się albo wpisem albo odmową wpisu zbioru do rejestru. Należy aktualizować wszystkie informacje, które zostały podane w zgłoszeniu a uległy zmianie – w terminie 30 dni od dokonania tej zmiany w zbiorze danych.

Przykłady zwolnień

Niekiedy zbioru danych nie trzeba rejestrować. Chodzi tu np. o informacje niejawne, dane przetwarzanie w związku ze świadczeniem usług administratorowi danych na podstawie umów cywilnoprawnych, a także dotyczących osób zrzeszonych lub uczących się u administratora danych.

Zabezpieczenia zbioru danych i inne obowiązki

Administrator, który zarejestrował zbiór, ma do spełnienia także szereg innych obowiązków, przede wszystkim:

  • musi zawsze istnieć przesłanka z art. 23 ustawy pozwalająca na przetwarzanie danych osobowych (np. zgoda osoby);

  • należy dochować obowiązku informacyjnego z art. 24 i 25 ustawy (prawo do przeglądania danych i ich poprawiania);

  • zbieranie danych musi być dokonywane tylko dla celów zgodnych z prawem;

  • należy stosować środki techniczne i organizacyjne za­pewniające ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;

  • w przypadku przetwarzania danych w systemie informatycznym należy zabezpieczać dane w stopniu wymaganym rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie do­kumentacji przetwarzania danych osobowych oraz warunków technicz­nych i organizacyjnych, jakim powinny odpowiadać urządzenia i syste­my informatyczne służące do przetwarzania danych osobowych.

Administrator bezpieczeństwa informacji i polityka bezpieczeństwa

Jeżeli administrator danych osobowych (ADO) zarejestrował zbiór danych to wspomniane wyżej przetwarzanie danych osobowych z tego zbioru na określonym stopniu bezpieczeństwa musi ktoś kontrolować. Taką osobą jest wyznaczony przez ADO administrator bezpieczeństwa informacji (ABI). ABI musi być wyznaczony, chyba że ADO jest osobą fizyczną (wówczas to on pełni rolę ABI).

ADO musi także stworzyć pisemną politykę bezpieczeństwa informacji i wdrożyć ją do stosowania. Nad jej przestrzeganiem czuwa ABI. Polityka ma regulować sposób zarządzania, ochrony i dystrybucji informacji stanowiącej dane osobowe. W tworzeniu polityki bezpieczeństwa może pomóc stosowanie Polskiej Normy PN-ISO/IEC 17799, która wskazuje na pewne praktyczne aspekty zapewniania bezpieczeństwa informacji.

Marcin Sarna, radca prawny

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

  • Kancelaria Adwokacka Adwokata Piotra Sęka

    ul. Narutowicza 44 lok. 20, 90-135 Łódź

    Wyświetl wizytówkę
  • Kancelaria Radców Prawnych ARVE M.Kusztan & R.Ponichtera Sp. K.

    ul. Czysta 4, 50-013 Wrocław

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marek Foryś

    ul. Słupecka 9/1, Gdynia

    Wyświetl wizytówkę
  • Kancelaria MERITUM

    ulica Westerplatte 13/5, 31-033 Kraków

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Radosław Tymiński

    Łukowska 9 Lok. 126, 04-133 Warszawa

    Wyświetl wizytówkę
  • Kancelaria Prawna Iurisco Edyta Przybyłek

    ul. Zgrzebnioka 28, 40-520 Katowice

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marcin Majcherczyk

    ul. Stawowa 4 lok. 39, 41-200 Sosnowiec

    Wyświetl wizytówkę
  • THE N.E.W.S. LAW CENTER Kancelaria Adwokatów i Radców Prawnych

    ul. Kazachska 1/89, 02-999 Warszawa

    Wyświetl wizytówkę
  • adwokat Wojciech Rudzki - kancelaria adwokacka

    Józefa Piłsudskiego 40/4 Kraków 31 - 111

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Robert Dudkowiak

    ul. Jana Pawła II 11 lok. 5, 62-300 Września

    Wyświetl wizytówkę
Array ( [docId] => 35027 )
Array ( [docId] => 35027 )

Array ( [docId] => 35027 )