Zbiór danych osobowych to nie takie proste

Wiadomo, że zbiór danych osobowych to w świetle ustawy posiadający strukturę zestaw danych o charakterze osobowym dostępny według określonych kryteriów niezależnie od tego czy zestaw ten jest rozproszony czy podzielony funkcjonalnie.

Tyle definicja. W praktyce jest to jedno z trudniejszych zagadnień a w szczególności tam, gdzie zbiorów jest bardzo wiele jak np. w administracji publicznej. Do rozstrzygnięcia pozostaje  kwestia czy mamy do czynienia z jednym dużym zbiorem i w jego obrębie mniejszymi podzbiorami czy wieloma odrębnymi zbiorami.

Jeden czy wiele zbiorów ma to o tyle znaczenie, iż zbiór danych osobowych podlega rejestracji w rejestrze GIODO lub też wykazywać go musi powołany i zarejestrowany administrator bezpieczeństwa informacji. Wykaz zbiorów musi również zawierać dokumentacja związana z przetwarzaniem danych osobowych. Ustawa o ochronie danych osobowych czasami też różnicuje obowiązki związane z przetwarzaniem danych osobowych przetwarzanych w zbiorze lub poza nim.

W zakresie zasygnalizowanej wyżej problematyki związanej z identyfikacją zbiorów danych osobowych nie ma jednolitej praktyki. Znajdujemy również nie zawsze spójne stanowiska urzędu oraz orzecznictwo sądowe.

I tak na przykład w jednym z wyroków sąd stwierdził, iż dane osobowe gromadzone w umowach kupna- sprzedaży i dane osobowe zawarte w systemie informatycznym o nazwie „Symfonia 2006 r.”, trzeba traktować jako zbiór danych wówczas, gdy zawierają te same, wspólne dane klientów (choć gromadzone w innym celu, na potrzeby podatkowe i realizacji umów cywilnoprawnych). W świetle tego orzeczenia dane osobowe przetwarzane w rejestrze umów oraz w systemie informatycznym to ten sam zbiór klientów.

Z kolei na stronie internetowej GIODO czytamy, iż dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy de facto nie jednego, lecz kilku zbiorów prowadzonych w różnych celach.

Jak widać zgodności nie ma. Sprawę komplikuje dodatkowo fakt przetwarzania danych w rozbudowanych systemach informatycznych z wieloma modułami obsługującymi, w którym każdy moduł przetwarza dane w innym celu np. cele księgowo-podatkowe, ewidencyjne, rozliczeniowe, windykacyjne itd. Nawet tradycyjne zbiory w postaci wszelakich rejestrów, ksiąg, ewidencji zawsze będą przetwarzały dane w innym celu oraz w innym zakresie np. rejestr członków spółdzielni i rejestr aktów notarialnych itd. Nie oznacza to przecież automatycznie, że wielomodułowy system informatyczny przetwarza wiele zbiorów.

W związku z powyższym jak to w życiu bywa odpowiedzi nie ma ani jednej ani prostej i każdy przypadek trzeba badać indywidualnie. Wiem, że to nie łatwe dla praktyków np. ABI, którzy muszą  zbiory identyfikować, rejestrować i jeszcze w świetle prawa ponosić za to odpowiedzialność.

Na koniec powiem tylko, że każdą swoją decyzję np. w zakresie ustalenia wykazu zbiorów trzeba umieć uzasadnić logicznie i z poparciem odpowiednią podstawą prawną, stanowiskiem doktryny prawniczej czy orzecznictwa. To daje pewność, że ABI ma odpowiednią wiedzę, której się od niego wymaga, nie działa intuicyjnie, ale w oparciu o prawo, poglądy doktryny czy orzecznictwo.

 

{ 0 komentarze… dodaj teraz swój }

Dodaj komentarz

Poprzedni wpis:

Następny wpis: