Zbiór danych osobowych to nie takie proste

Wiadomo, że zbiór danych osobowych to w świetle ustawy posiadający strukturę zestaw danych o charakterze osobowym dostępny według określonych kryteriów niezależnie od tego czy zestaw ten jest rozproszony czy podzielony funkcjonalnie.

Tyle definicja. W praktyce jest to jedno z trudniejszych zagadnień a w szczególności tam, gdzie zbiorów jest bardzo wiele jak np. w administracji publicznej. Do rozstrzygnięcia pozostaje  kwestia czy mamy do czynienia z jednym dużym zbiorem i w jego obrębie mniejszymi podzbiorami czy wieloma odrębnymi zbiorami.

Jeden czy wiele zbiorów ma to o tyle znaczenie, iż zbiór danych osobowych podlega rejestracji w rejestrze GIODO lub też wykazywać go musi powołany i zarejestrowany administrator bezpieczeństwa informacji. Wykaz zbiorów musi również zawierać dokumentacja związana z przetwarzaniem danych osobowych. Ustawa o ochronie danych osobowych czasami też różnicuje obowiązki związane z przetwarzaniem danych osobowych przetwarzanych w zbiorze lub poza nim.

W zakresie zasygnalizowanej wyżej problematyki związanej z identyfikacją zbiorów danych osobowych nie ma jednolitej praktyki. Znajdujemy również nie zawsze spójne stanowiska urzędu oraz orzecznictwo sądowe.

I tak na przykład w jednym z wyroków sąd stwierdził, iż dane osobowe gromadzone w umowach kupna- sprzedaży i dane osobowe zawarte w systemie informatycznym o nazwie “Symfonia 2006 r.”, trzeba traktować jako zbiór danych wówczas, gdy zawierają te same, wspólne dane klientów (choć gromadzone w innym celu, na potrzeby podatkowe i realizacji umów cywilnoprawnych). W świetle tego orzeczenia dane osobowe przetwarzane w rejestrze umów oraz w systemie informatycznym to ten sam zbiór klientów.

Z kolei na stronie internetowej GIODO czytamy, iż dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy de facto nie jednego, lecz kilku zbiorów prowadzonych w różnych celach.

Jak widać zgodności nie ma. Sprawę komplikuje dodatkowo fakt przetwarzania danych w rozbudowanych systemach informatycznych z wieloma modułami obsługującymi, w którym każdy moduł przetwarza dane w innym celu np. cele księgowo-podatkowe, ewidencyjne, rozliczeniowe, windykacyjne itd. Nawet tradycyjne zbiory w postaci wszelakich rejestrów, ksiąg, ewidencji zawsze będą przetwarzały dane w innym celu oraz w innym zakresie np. rejestr członków spółdzielni i rejestr aktów notarialnych itd. Nie oznacza to przecież automatycznie, że wielomodułowy system informatyczny przetwarza wiele zbiorów.

W związku z powyższym jak to w życiu bywa odpowiedzi nie ma ani jednej ani prostej i każdy przypadek trzeba badać indywidualnie. Wiem, że to nie łatwe dla praktyków np. ABI, którzy muszą  zbiory identyfikować, rejestrować i jeszcze w świetle prawa ponosić za to odpowiedzialność.

Na koniec powiem tylko, że każdą swoją decyzję np. w zakresie ustalenia wykazu zbiorów trzeba umieć uzasadnić logicznie i z poparciem odpowiednią podstawą prawną, stanowiskiem doktryny prawniczej czy orzecznictwa. To daje pewność, że ABI ma odpowiednią wiedzę, której się od niego wymaga, nie działa intuicyjnie, ale w oparciu o prawo, poglądy doktryny czy orzecznictwo.

 

Zapis na newsletter – zapis do zbioru

Jednym z istotnych zagadnień z zakresu ochrony danych osobowych, ze zrozumieniem którego borykają się przedsiębiorcy jest zbiór danych osobowych.

Zbiór danych osobowych to w świetle tegoż prawa uporządkowany zestaw danych o charakterze osobowym, posiadający własną strukturę, w którym dane są dostępne według określonych kryteriów.

Praktyka pokazuje, iż identyfikacja zbiorów danych osobowych przysparza wciąż niemało problemów. Przedsiębiorcy najchętniej wszystkie dane osobowe, które w związku ze swoją działalnością przetwarzają, wrzuciliby do jednego worka.

Identyfikując zbiory należy jednak pamiętać, że dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy nie jednego, lecz kilku zbiorów prowadzonych w różnych celach.

Na przykład baza klientów sklepu internetowego przetwarzanych w różnych celach, jak np. realizacji zamówień, marketingu, prowadzenia bazy umów cywilnoprawnych,nie może zostać zgłoszona do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych jako jeden zbiór danych osobowych.

W stosunku do każdego zbioru musimy też rozważyć legalność przetwarzania danych czyli rozpoznać podstawę prawną przetwarzania danych w zbiorze. Kolejnym obowiązkiem administratora danych będzie poinformowanie osoby, której dane są przetwarzane w zbiorze o tym, kto jest administratorem danych, w jakich celu dane są przetwarzane, czy dane są udostępniane oraz, że podanie danych jest dobrowolne i osoba ma prawo dostępu do danych.

No i oczywiście każdy zbiór powinien być zgodnie z przepisami prawa zabezpieczony a administrator w swojej organizacji musi posiadać podstawowe dokumenty związane z przetwarzaniem danych osobowych takie jak politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym.

Na koniec warto wspomnieć o zbiorze danych osobowych znanym większości przedsiębiorców jest baza Newsletter. Jednak obserwując strony internetowe łatwo można dojść do przekonania, iż pozyskiwanie danych do tego zbioru rzadko odbywa się z uwzględnieniem obowiązków prawa.

Za pośrednictwem formularza zapisu na newsletter rozpoczyna się proces zbierania danych osobowych. Osoba, której dane są pozyskiwane w ten sposób powinna w tym momencie uzyskać wszystkie niezbędne informacje kto i w jakim celu będzie przetwarzał jej dane osobowe, czy dane będą udostępniane oraz, że podanie danych jest dobrowolne a ona ma prawo dostępu do swoich danych.

Ponadto  jeśli za pośrednictwem newslettera przesyłane są oferty, reklamy czy jakiekolwiek informacje handlowe mające na celu zachęcenie odbiorcy do skorzystania z usług, konieczna jest wówczas wyraźna zgoda osoby na przesyłanie tego rodzaju komunikacji. W przeciwnym razie wysyłane komunikaty mogą narazić się na zarzut wysyłania sankcjonowanej przez prawo zakazanej informacji handlowej.

Zbiór danych osobowych czy zbiory danych osobowych

Większość administaratorów danych osobowych ma niemało problemów ze zrozumieniem kwestii związanych z ochroną danych osobowych w zakresie obowiązków, które na nich ciążą.

Jednym z istotnych zagadnień z zakresu ochrony danych osobowych, ze zrozumieniem którego borykają się przedsiębiorcy jest zbiór danych osobowych.

Wydawałoby się, że pojęcie to nie powinno przysprzarzać problemów z jego zrozumieniem a jednak praktyka pokazuje, iż jest inaczej.

Zbiór danych to w świetle prawa zestaw danych o chrakterze osobowym, posiadający własną strukturę, w którym dane są dostępne według określonych kryteriów.

Zbiorami będą zarówno takie, które są przetwarzane tradycyjnie, manualnie (teczki, kartotetki) jak i te zautomatyzowane przetwarzane w systemach informatycznych (profesjonalne bazy danych).

Wydawałoby się, że sprawa jest prosta i każdy uporządkowany zestaw danych osobowych, przetwarzany w sposób tradycyjny  czy zautomatyzowany jest w miarę łatwy do identyfikacji jako zbiór. Jednak sprawa tylko z pozoru jest łatwa. Często bywa tak, że przedsiębiorcy tworzą wiele różnych zbiorów, które identyfikują jako jeden zbiór.

Na przykład baza klientów sklepu internetowego przetwarzanych w różnych celach, jak np. realizacji zamówień, marketingu, prowadzenia bazy umów cywilnoprawnych, nie może zostać zgłoszona do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych jako jeden zbiór danych osobowych.

Dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy nie jednego, lecz kilku zbiorów prowadzonych w różnych celach.

W praktyce pojawiają sie takie właśnie trudności w rozstrzyganiu czy w konkretnym przypadku mamy do czynienia z jednym zbiorem, w skład którego wchodzi wiele podzbiorów czy też z wielością zbiorów.

 

Zbiór danych osobowych

ochr doZbiór danych osobowych to podstawowe pojęcie z zakresu ochony danych osobowych. Czy jesteś administratorem takich zbiorów?

 Jeśli jesteś przedsiębiorcą, twoimi klientami są osoby fizyczne, zatrudniasz pracowników, świadczysz usługi i twoi klienci przekazują ci dane osób fizycznych to najprawdopodobniej przetwarzasz dane osobowe i dotyczą cię regulacje dotyczące  ochrony danych osobowych.

Z tego, co można zaobserwować przedsiebiorcy zwłaszcza ci mikro mają niezbyt dużą świadomość prawną w zakresie zasad ochrony danych osobowych. Czasami wątpliwości dotyczą kwestii szczegółowych czy mamy do czynienia z danymi osobowymi osób fizycznych, czy dane przetwarzamy w zbiorze, czy jesteśmy administratorem czy przetwarzającym i wielu innych. Odpowiedzi na powyższe pytania są o tyle istotne, że rzutują na zakres obowiązków oraz odpowiedzialności określonej w przepisach.

Czy na przykład zbiorem danych osobowych bedą umowy poukładane chronologicznie w segregatorach według daty ich zawarcia.

Zbiór danych osobowych w świetle ustawy o ochronie danych osobowych musi mieć strukturę uporzadkowaną, nie może być przypadkowym zestawem. Zbiór to zestaw danych dostępnych według określonych kryteriów.

Według Gółwnego Inspektora Danych Osobwych żeby  jakikolwiek zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów ustawy o ochronie danych osobowych, wystarczające jest kryterium umożliwiające odnalezienie danych osobowych w zestawie. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych.

W świetle tego stanowiska  zbiór umów na przykład kupna-sprzedaży ułożonych chronologicznie według daty zawarcia, jeśli tylko zostanie stworzona możliwość dostępu do danych osobowych według jakiegokolwiek kryterium będzie zbiorem danych osobowych w rozumieniu uodo.

Zbiór danych osobowych

Zgodnie z OchrDanOsobU przez zbiór danych – rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Tyle mówi ustawa jednakże sprawa niestety nie jest łatwa ani oczywista i w praktyce na tle zaprezentowanej wyżej definicji jawi się szereg problemów i wątpliwości interpretacyjnych.

Każdy zestaw danych osobowych, który umożliwia dostęp do poszczególnych danych przez jakiekolwiek kryterium (nie tylko osobowe), jest zbiorem danych w rozumieniu ustawy. Alfabetyczne ułożenie danych osobowych według nazwiska lub nazwiska i imienia pozwala na szybkie odnalezienie informacji o osobie bez potrzeby przeglądania całego zestawu, jednakże nie jest to kryterium decydujące do zakwalifikowania danego zestawu, jako zbioru.

Naczelny Sąd Administracyjny rozpatrując spór dotyczący kwalifikacji raportów ze zdarzeń na trasie Stacji Techniczno-Postojowej oraz linii metra, sporządzanych przez pracowników Służby Ochrony Metra uznał, iż z treści OchrDanOsobU nie wynika, że dane osobowe mają być w definiowanym “zbiorze danych” danymi podstawowymi (osobowymi). Nie wynika również, że kryterium dostępu do tych danych mają być dane identyfikacyjne (imię, nazwisko, adres “PESEL”). Oznacza to, iż za zbiór należy uznać zestaw danych osobowych dostępnych według jakiegokolwiek kryterium. Rozbieżności interpretacyjne pojawiają się na tle liczby kryteriów, według których dostępne są dane w zestawie. W zależności od tego, czy uznamy za cechę konieczną zbioru posłużenie się, co najmniej dwoma kryteriami umożliwiającymi dostęp do znajdujących się w zbiorze danych, czy też wymagania ograniczymy do jednego kryterium – różny będzie przedmiotowy zakres m.in. obowiązku rejestracyjnego (art. 40 u.o.d.o.), informacyjnego (art. 32 u.o.d.o.), a także odpowiedzialności karnej.

Zdaniem Generalnego Inspektora Danych Osobowych nie jest istotna liczba oraz rodzaj kryteriów i już jedno kryterium wystarczy by zakwalifikować dany zestaw, jako zbiór danych w rozumieniu OchrDanOsobU. Ponadto Generalny Inspektor Ochrony Danych Osobowych uznaje, iż “Wszelkie materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane osobowe, są zbiorem danych osobowych w rozumieniu art. 7 pkt 1 ustawy“. W opinii tej widać wyraźnie, iż Generalny Inspektor utożsamia pojęcie zbioru danych z takimi zestawieniami jak np akta sądowe.