Zapis na newsletter – zapis do zbioru

Jednym z istotnych zagadnień z zakresu ochrony danych osobowych, ze zrozumieniem którego borykają się przedsiębiorcy jest zbiór danych osobowych.

Zbiór danych osobowych to w świetle tegoż prawa uporządkowany zestaw danych o charakterze osobowym, posiadający własną strukturę, w którym dane są dostępne według określonych kryteriów.

Praktyka pokazuje, iż identyfikacja zbiorów danych osobowych przysparza wciąż niemało problemów. Przedsiębiorcy najchętniej wszystkie dane osobowe, które w związku ze swoją działalnością przetwarzają, wrzuciliby do jednego worka.

Identyfikując zbiory należy jednak pamiętać, że dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy nie jednego, lecz kilku zbiorów prowadzonych w różnych celach.

Na przykład baza klientów sklepu internetowego przetwarzanych w różnych celach, jak np. realizacji zamówień, marketingu, prowadzenia bazy umów cywilnoprawnych,nie może zostać zgłoszona do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych jako jeden zbiór danych osobowych.

W stosunku do każdego zbioru musimy też rozważyć legalność przetwarzania danych czyli rozpoznać podstawę prawną przetwarzania danych w zbiorze. Kolejnym obowiązkiem administratora danych będzie poinformowanie osoby, której dane są przetwarzane w zbiorze o tym, kto jest administratorem danych, w jakich celu dane są przetwarzane, czy dane są udostępniane oraz, że podanie danych jest dobrowolne i osoba ma prawo dostępu do danych.

No i oczywiście każdy zbiór powinien być zgodnie z przepisami prawa zabezpieczony a administrator w swojej organizacji musi posiadać podstawowe dokumenty związane z przetwarzaniem danych osobowych takie jak politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym.

Na koniec warto wspomnieć o zbiorze danych osobowych znanym większości przedsiębiorców jest baza Newsletter. Jednak obserwując strony internetowe łatwo można dojść do przekonania, iż pozyskiwanie danych do tego zbioru rzadko odbywa się z uwzględnieniem obowiązków prawa.

Za pośrednictwem formularza zapisu na newsletter rozpoczyna się proces zbierania danych osobowych. Osoba, której dane są pozyskiwane w ten sposób powinna w tym momencie uzyskać wszystkie niezbędne informacje kto i w jakim celu będzie przetwarzał jej dane osobowe, czy dane będą udostępniane oraz, że podanie danych jest dobrowolne a ona ma prawo dostępu do swoich danych.

Ponadto  jeśli za pośrednictwem newslettera przesyłane są oferty, reklamy czy jakiekolwiek informacje handlowe mające na celu zachęcenie odbiorcy do skorzystania z usług, konieczna jest wówczas wyraźna zgoda osoby na przesyłanie tego rodzaju komunikacji. W przeciwnym razie wysyłane komunikaty mogą narazić się na zarzut wysyłania sankcjonowanej przez prawo zakazanej informacji handlowej.

Bywa, że administratorów jest dwóch

Tak, w rzeczywistości sytuacja, gdy administratorów danych osobowych jest dwóch może się przydarzyć. Nie należy ona co prawda do sytuacji typowych, jednakże w życiu jest możliwa. Co ważniejsze mimo, iż przepisy prawne wyraźnie takiej sytuacji nie przewidują to nie oznacza to, iż sytacja taka w świetle prawa jest niemożliwa czy niedopuszczalna. Może ona mieć miejsce wówczas, gdy zbiór danych osobowych pozostaje we wspólnej dyspozycji więcej niż jednego podmiotu.

Administrator danych to jak dobrze wiemy jeden z głównych graczy w procesie ochrony i przetwarzania danych osobowych. Na nim spoczywa największe brzemie odpowiedzialności za dane osobowe, którymi administruje czy zamierza administrować. Decyduje on o celach i środkach przetwarzania danych osobowych. Oznacza to, że wyznacza cele, w których dane będzie przetwarzał oraz wyznacza środki, które umożliwią mu realizcję tychże celów.

W przypadku, gdy administratorów jest dwóch mogą oni działać wspólnie. W takim przypadku decyzje dotyczące zbioru podlegałby uzgadnianiu między nimi lub byłyby wynikiem uzgodnionego w tym zakresie podziału komptencji. Administratorzy mogą też działać samodzielnie i wówczas każdy z nich posiadałby status “samodzielnego” administratora.

Sytuacji, gdy w procesie ochrony i przetwarzania danych osobowych administratorów jest dwóch nie należy mylić z relacją administrator danych i przetwarzający, gdyż jest to zupełnie inna sytuacja. Administrator danych osobowych oraz przetwarzający są to dwa podmioty, które występują w procesie przetwarzania danych osobowych.  Jednakże rola, jaką każdy z tych podmiotów pełni jest odmienna i odmienne są też i obowiązki, ktore prawo przewiduje dla każdego z nich.

Zbiór danych osobowych czy zbiory danych osobowych

Większość administaratorów danych osobowych ma niemało problemów ze zrozumieniem kwestii związanych z ochroną danych osobowych w zakresie obowiązków, które na nich ciążą.

Jednym z istotnych zagadnień z zakresu ochrony danych osobowych, ze zrozumieniem którego borykają się przedsiębiorcy jest zbiór danych osobowych.

Wydawałoby się, że pojęcie to nie powinno przysprzarzać problemów z jego zrozumieniem a jednak praktyka pokazuje, iż jest inaczej.

Zbiór danych to w świetle prawa zestaw danych o chrakterze osobowym, posiadający własną strukturę, w którym dane są dostępne według określonych kryteriów.

Zbiorami będą zarówno takie, które są przetwarzane tradycyjnie, manualnie (teczki, kartotetki) jak i te zautomatyzowane przetwarzane w systemach informatycznych (profesjonalne bazy danych).

Wydawałoby się, że sprawa jest prosta i każdy uporządkowany zestaw danych osobowych, przetwarzany w sposób tradycyjny  czy zautomatyzowany jest w miarę łatwy do identyfikacji jako zbiór. Jednak sprawa tylko z pozoru jest łatwa. Często bywa tak, że przedsiębiorcy tworzą wiele różnych zbiorów, które identyfikują jako jeden zbiór.

Na przykład baza klientów sklepu internetowego przetwarzanych w różnych celach, jak np. realizacji zamówień, marketingu, prowadzenia bazy umów cywilnoprawnych, nie może zostać zgłoszona do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych jako jeden zbiór danych osobowych.

Dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy nie jednego, lecz kilku zbiorów prowadzonych w różnych celach.

W praktyce pojawiają sie takie właśnie trudności w rozstrzyganiu czy w konkretnym przypadku mamy do czynienia z jednym zbiorem, w skład którego wchodzi wiele podzbiorów czy też z wielością zbiorów.

 

Zbiór danych osobowych

ochr doZbiór danych osobowych to podstawowe pojęcie z zakresu ochony danych osobowych. Czy jesteś administratorem takich zbiorów?

 Jeśli jesteś przedsiębiorcą, twoimi klientami są osoby fizyczne, zatrudniasz pracowników, świadczysz usługi i twoi klienci przekazują ci dane osób fizycznych to najprawdopodobniej przetwarzasz dane osobowe i dotyczą cię regulacje dotyczące  ochrony danych osobowych.

Z tego, co można zaobserwować przedsiebiorcy zwłaszcza ci mikro mają niezbyt dużą świadomość prawną w zakresie zasad ochrony danych osobowych. Czasami wątpliwości dotyczą kwestii szczegółowych czy mamy do czynienia z danymi osobowymi osób fizycznych, czy dane przetwarzamy w zbiorze, czy jesteśmy administratorem czy przetwarzającym i wielu innych. Odpowiedzi na powyższe pytania są o tyle istotne, że rzutują na zakres obowiązków oraz odpowiedzialności określonej w przepisach.

Czy na przykład zbiorem danych osobowych bedą umowy poukładane chronologicznie w segregatorach według daty ich zawarcia.

Zbiór danych osobowych w świetle ustawy o ochronie danych osobowych musi mieć strukturę uporzadkowaną, nie może być przypadkowym zestawem. Zbiór to zestaw danych dostępnych według określonych kryteriów.

Według Gółwnego Inspektora Danych Osobwych żeby  jakikolwiek zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów ustawy o ochronie danych osobowych, wystarczające jest kryterium umożliwiające odnalezienie danych osobowych w zestawie. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych.

W świetle tego stanowiska  zbiór umów na przykład kupna-sprzedaży ułożonych chronologicznie według daty zawarcia, jeśli tylko zostanie stworzona możliwość dostępu do danych osobowych według jakiegokolwiek kryterium będzie zbiorem danych osobowych w rozumieniu uodo.