Xevin Consulting - Blog Blog

Przed nami długi majowy weekend, a to oznacza być może nieco więcej czasu. Dlatego też zapraszam do trochę dłuższej notki poświęconej wnioskom rejestracyjnym do GIODO.

Wypełniając nowy wniosek, na początek musimy zdecydować czy rejestrujemy nowy zbiór, w którym przetwarzane są dane zwykłe (zgłoszenie na podstawie art. 40 UODO) czy też wrażliwe (zgłoszenie danych przetwarzanych na podstawie jednej z przesłanek wskazanych w art. 27 UODO). Natomiast jeżeli nasze zgłoszenie ma na celu dokonanie aktualizacji istniejącego już zbioru, wówczas zaznaczamy opcję nr 2, gdzie mowa jest o aktualizacji z art. 41 ust. 2 UODO.

Kolejnym krokiem będzie nazwanie zgłaszanego zbioru np. newsletter, baza marketingowa etc. Następnie wskazujemy administratora danych, a więc firmę, która dokonuje zgłoszenia, określając jej nazwę i adres siedziby oraz podając nr REGON.

Część B (pytanie nr 2) wypełniana jest tylko wtedy, gdy mamy do czynienia z przedstawicielstwem firmy mającej siedzibę za granicą, a ściślej w tzw. państwie trzecim, czyli państwie, które nie należy do Europejskiego Obszaru Gospodarczego.

Następnym zagadnieniem, do którego musimy ustosunkować się we wniosku jest określenie, czy nasza firma powierza dane z rejestrowanego zbioru innym podmiotom np. firmie hostingowej, call center. Jeśli powierza, wpisujemy ich nazwy i adresy siedzib.

Ostatnie pytanie z części B jest jednym z najważniejszych w całym wniosku rejestracyjnym, ponieważ to właśnie tutaj wskazujemy przesłankę, na podstawie której przetwarzamy dane osobowe z rejestrowanego zbioru. Omówienie tego tematu stanowi materiał na zupełnie nową notkę, w tym miejscu nadmienię jednak, że warto pamiętać o tym, że każda z przesłanek ma charakter w pełni autonomiczny i samodzielny. Wystarczy więc, że firma legitymuje się chociaż jedną z nich, by móc zgodnie z prawem przetwarzać dane osobowe.

W pierwszym pytaniu części C musimy określić cel, dla którego przetwarzane są dane osobowe. Takim celem może być np. wysyłka newslettera czy obsługa reklamacji.

Gdy poradzimy sobie ze wskazaniem celu, musimy określić kategorię osób, których dane przetwarzamy. Wystarczy jak w tym miejscu napiszemy np. klienci, dłużnicy, osoby składające reklamacje etc.

W następnej sekcji określamy jakie dane są przetwarzane w ramach zgłaszanego zbioru. Część danych zostało zasugerowanych w formularzu, a jeśli ich tam nie ma np. adresu e-mail (który może być uznany za daną osobową), to możemy to ręcznie dopisać w kolejnej części.

Dwa ostatnie pytania w części C dotyczą danych wrażliwych. W pierwszym z nich wskazujemy jakie dane będą przetwarzane w ramach zgłaszanego zbioru np. informacje o nałogach albo o stanie zdrowia. Jeżeli takich danych firma nie przetwarza, zostawia te pola puste (podobnie jak następne, w którym wskazuje się przesłankę legalizującą przetwarzanie danych wrażliwych).

Część D wniosku zaczyna się od pytania, w jaki sposób dane są zbierane. Przewidziane są tylko dwie odpowiedzi: albo bezpośrednio od osoby, której dane dotyczą (np. osoba taka wypełnia formularz rejestracyjny umożliwiający korzystanie z portalu społecznościowego) albo z innego źródła (np. z zakupionej legalnie bazy danych).

Po wskazaniu sposobu pozyskiwania danych jesteśmy pytani o to, czy udostępniamy dane osobowe innym podmiotom niż tzw. podmioty uprawnione (przykładowo urzędom skarbowym, komornikom). Innym podmiotem może być firma, z którą administrator danych współpracuje, przy czym należy pamiętać o tym, by takie udostępnianie odbywało się w sposób legalny. Jeżeli udostępniamy, to w kolejnym pytaniu jesteśmy proszeni o to, by wskazać te podmioty (nazwa i siedziba bądź przynajmniej określenie kategorii takiego podmiotu).

Ostatnie pytanie z części D dotyczy sytuacji, w której administrator danych przekazuje dane z rejestrowanego zbioru do państw trzecich. Jeżeli takie przekazywanie ma miejsce, to wpisujemy tu nazwy tych państw. Należy jednak pamiętać o tym, że ustawa o ochronie danych osobowych przewiduje szereg obostrzeń związanych z takim transferem danych za granicę.

Część E wniosku rejestracyjnego poświęcona jest zabezpieczeniom stosowanym przez administratora danych osobowych. Na początek należy wskazać czy dane przetwarzane są centralnie (upraszczając trochę: w jednym miejscu np. w siedzibie firmy) czy w tzw. architekturze rozproszonej (np. firma ma kilka lokalizacji, a dodatkowo dane są powierzone do przetwarzania innym podmiotom). Następnie musimy zaznaczyć, czy dane przetwarzane są wyłącznie w wersji papierowej, czy też przy wykorzystaniu systemów informatycznych. Pierwsza sekcja z części E kończy się pytaniem czy komputer służący do przetwarzania danych połączony jest z Internetem. Po odznaczeniu powyższych informacji przechodzimy do wskazania konkretnych zabezpieczeń jakie stosuje firma zgłaszająca zbiór. Zabezpieczenia podzielone są na kilka rodzajów – od typowo fizycznych (np. monitoring, ochrona, zamykane szafy), poprzez środki sprzętowe (np. niszczarki), narzędzia służące do ochrony baz danych (np. stosowanie różnych poziomów uprawnień, kwestie związane z uwierzytelnianiem), a skończywszy na opisie środków organizacyjnych (np. przeszkolony personel, obowiązek zachowania danych osobowych w tajemnicy). Jeszcze przed wypełnieniem tej części należy również wskazać, czy został powołany administrator bezpieczeństwa informacji (funkcję tę może pełnić osobiście administrator danych), a także czy wdrożono dokumenty – m.in. politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.

Część F to ostatnia część wniosku rejestracyjnego. Znajduje się tam tylko jedno pytanie, a mianowicie administrator danych proszony jest o wskazanie poziomu stosowanych zabezpieczeń. Zgodnie z wcześniej przywoływanym rozporządzeniem istnieją trzy poziomy: podstawowy, podwyższony i wysoki. Tym co decyduje o tym, jakie zabezpieczenia musi zastosować firma, wynika właśnie z ww. poziomów, które z kolei powiązane są m.in. z tym jakie dane przetwarza administrator danych, a także czy system informatyczny połączony jest np. z Internetem.

Po wypełnieniu wniosku należy go wysłać do GIODO. Co do zasady należy zrobić to w sposób tradycyjny (za pośrednictwem poczty albo osobiście w Biurze GIODO). Natomiast jeśli przedsiębiorca posiada kwalifikowany podpis elektroniczny, może to również uczynić przez Internet.

W dzisiejszym wpisie chciałbym poruszyć tematykę zbiorów doraźnych, ponieważ mimo na pozór dość prostego przepisu prawa (art. 2 ust. 3 ustawy o ochronie danych osobowych), zagadnienie nie jest wcale takie proste i oczywiste.

Kluczem do zrozumienia istoty opisywanego pojęcia jest zrozumienie poszczególnych składników składających się na coś na kształt definicji zbioru doraźnego.

Po pierwsze – zbiory doraźne sporządzane są wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych (konieczność wystąpienia jednej z ww. przesłanek).

Po drugie – słowem kluczem będzie tu słowo „doraźność”. Jak zatem ją rozumieć? Otóż pod pojęciem tym kryje się sytuacja, w której tworzymy zbiór dla chwilowej potrzeby, w pewnej sytuacji, okolicznościowo. Cel utworzenia zbioru musi być inny niż cel zasadniczy funkcjonowania zbioru (w tym przypadku cel rozpatrujemy jako okoliczność uzasadniającą doraźność). Dalej – doraźność należy rozumieć również w ten sposób, że administrator danych powinien przewidywać termin zakończenia czynności przetwarzania danych w takim zbiorze. Okres przetwarzania powinien być znany przynajmniej w przybliżeniu.

Po trzecie – po wykorzystaniu danych składających się na zbiór doraźny są one niezwłocznie usuwane albo poddawane anonimizacji.

I po czwarte wreszcie – do zbiorów doraźnych zastosowanie mają przepisy rozdziału 5 ustawy o ochronie danych osobowych (zabezpieczenie danych osobowych), przy czym przepis ten wydaje się być wyjątkowo kontrowersyjny, bo oznaczałoby to np. możliwość przetwarzania danych z pominięciem zasad wskazanych w art. 23 ust. 1 lub art. 27 ust. 1 i 2 ww. ustawy. Dlatego też zasadnym wydaje się twierdzenie, że nawet w przypadku zbiorów doraźnych zastosowanie mają – mimo odmiennego brzmienia przepisu – inne postanowienia ustawy o ochronie danych osobowych niż tylko te wskazane w rozdziale 5.

Natomiast nie ma przeszkód, by w ramach zbioru doraźnego przetwarzane były, zgodnie z opisanymi wyżej zasadami, tzw. dane wrażliwe.

I już zupełnie na koniec kilka przykładów zbiorów doraźnych: loterie, konkursy (wyjątek: permanentne istnienie zbioru , w którym zmieniają się tylko dane osób uczestniczących – wówczas jest to zbiór do zgłoszenia do GIODO; uwaga też na laureatów i przechowywanie ich danych z uwagi na np. kwestie podatkowe – też zbiór do zgłoszenia do GIODO), podziękowania.

Bardzo często spotykam się z pytaniami dotyczącymi ochrony danych osobowych pracowników. Chodzi tu mianowicie o dane osobowe służbowe, które pracodawca umieszcza np. na firmowej stronie internetowej. Warto wspomnieć, że w kwestii tej wypowiadało się zarówno GIODO jak i Sąd Najwyższy.

Generalna zasada jest następująca: przetwarzanie przez pracodawcę danych osobowych pracowników, które wynikają ze stosunku pracy jest dopuszczalne i nie stanowi naruszenia przepisów o ochronie danych osobowych, o ile zakres przetwarzanych danych nie wkracza w sferę prywatności pracownika. Takie informacje zatem jak imię, nazwisko, stanowisko służbowe, służbowy numer telefonu oraz adres e-mail są bezpośrednio powiązane z wykonywaniem obowiązków służbowych i jako takie mogą być wykorzystywane przez pracodawcę bez zgody pracownika.

Stanowisko to zostało wyraźnie podkreślone w wyroku Sądu Najwyższego z dnia 19 listopada 2003 r. (sygn. I PK 590/02) zgodnie z którym „najistotniejszym składnikiem zakładu pracy (przedsiębiorstwa) są ludzie, a funkcjonowanie zakładu wiąże się nierozłącznie z kontaktami zewnętrznymi – z kontrahentami, klientami (…). Dlatego pracodawca nie może być pozbawiony możliwości ujawniania nazwisk pracowników, zajmujących określone stanowiska w ramach instytucji. Przeciwne stanowisko prowadziłoby do sparaliżowania lub poważnego ograniczenia możliwości działania pracodawcy, bez żadnego rozsądnego uzasadnienia w ochronie interesów i praw pracownika (…).”

W dalszej części uzasadnienia wyroku dowiadujemy się, że: „Imiona i nazwiska pracowników widnieją na drzwiach w zakładach pracy, umieszcza się je na pieczątkach imiennych, pismach sporządzanych w związku z pracą, prezentuje w informatorach o instytucjach i przedsiębiorstwach, co oznacza, że zgodnie z powszechną praktyką są one zasadniczo jawne.”

Poniżej przedstawiamy prezentację, która towarzyszyła prelekcji na temat współpracy w zakresie ochrony danych osobowych z agencjami e-mail marketingowymi. Wydarzenie to miało miejsce podczas pierwszej “Konferencji o e-mail marketingu” organizowanej przez naszego partnera - firmę SARE oraz agencję Bluerank.

Wiele razy spotkałem się z pytaniami czy zgoda na przetwarzanie danych może stanowić część np. regulaminu czy umowy. Warto się zatem przyjrzeć jak ta kwestia została uregulowana w ustawie o ochronie danych osobowych.

Przede wszystkim wspomniana ustawa definiuje w swym art. 7 pkt. 5 czym jest zgoda. Dla przypomnienia, w myśl wskazanego tu przepisu, przez zgodę “rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści”. Z punktu widzenia niniejszego wpisu istotna jest druga część cytowanego fragmentu.

O co w tym chodzi? Otóż zamysłem ustawodawcy było zapobieżenie takim sytuacjom, które powodowałyby że zachodzić będzie wątpliwość co do tego kto, w jakim zakresie, a także w jakim celu może przetwarzać dane. Należy tu podkreślić, że zamysł ten nie będzie spełniony, jeśli oświadczenie o zgodzie będzie stanowiło odesłanie do treści innych dokumentów, w tym zwłaszcza regulaminów lub umów. Zostało to wyraźnie stwierdzone w orzecznictwie NSA, a zwłaszcza w wyroku z dnia 4 kwietnia 2003 r. (wyrok ten można pobrać ze strony GIODO z tego miejsca). NSA stoi na stanowisku, że klauzula zgody powinna stanowić wyodrębnione oświadczenie spośród innych postanowień umowy/regulaminu, tak aby osoba zainteresowana miała możliwość wyrażenie bądź odmówienia zgody na przetwarzanie danych. Podobnie nie jest dopuszczalne stwierdzenie, że podpisanie umowy jest jednoznaczne z wyrażeniem zgody na przetwarzanie danych np. w celach przesyłania informacji handlowych.

A zatem pamiętajmy o tym, by zgody na przetwarzanie danych wyodrębniać z innych dokumentów tak by istniała możliwość podjęcia decyzji o tym, czy godzimy się przetwarzanie czy też takiej zgody nie udzielamy.

Jakiś czas temu pisałem o dokumentach, które musi posiadać każdy administrator danych, by spełniał wszelkie wymogi wskazane w ustawie o ochronie danych osobowych oraz w jej aktach wykonawczych. Tym razem chciałbym opowiedzieć o pewnym przepisie szczególnym, który ma zastosowanie do firm prowadzących badania kliniczne, czyli do tzw. sponsorów badań klinicznych. Regulacja, o której myślę została zawarta w §13 rozporządzenia Ministra Zdrowia z dnia 11 marca 2005 r. w sprawie szczegółowych wymagań Dobrej Praktyki Klinicznej.

Tak jak napisałem na wstępie, przepis ten będzie miał zastosowanie do sponsora badań klinicznych. To jednak nie jedyne ograniczenie. Otóż dodatkowo obowiązki przewidziane w ww. paragrafie odnoszą się tylko gdy do przetwarzania danych uzyskanych w trakcie badań klinicznych wykorzystywany jest system informatyczny. W praktyce zatem będzie miało to miejsce prawie zawsze, bo do tej pory nie spotkałem się jeszcze z sytuacją, w której dane uzyskiwane w trakcie badań nie byłyby przetwarzane w takim systemie.

Czas zatem zobaczyć o jakich obowiązkach tu mowa. Otóż zgodnie z ww. regulacją sponsor badań klinicznych musi zapewniać:

• Pisemną instrukcję stosowania informatycznego systemu przechowywania danych
• Udokumentowanie, że informatyczny system przechowywania danych został wprowadzony po dokonaniu oceny jego bezpieczeństwa i funkcjonalności
• Dostęp do informatycznego systemu przechowywania danych i zmiany danych w taki sposób, aby możliwa była wsteczna weryfikacja zmian danych
• Listę osób upoważnionych do wprowadzania zmian w bazie danych oraz uniemożliwienie dostępu do danych osobom nieupoważnionym
• System tworzenia zapasowych kopii zgromadzonych danych
• Kodowanie danych w czasie ich wprowadzania i przetwarzania w badaniach klinicznych prowadzonych metodą ślepej próby
• W przypadku gdy zgromadzone dane ulegną przetworzeniu - możliwość porównania danych przetworzonych z danymi oryginalnymi

Jak widać, przytoczony przeze mnie wyżej przepis rozszerza listę niezbędnych dokumentów (oraz innych obowiązków, zwłaszcza odnoszących się do systemu informatycznego), którymi musi legitymować się administrator danych, jeżeli jest nim właśnie sponsor badań klinicznych.

W poprzednim wpisie prezentowaliśmy slajdy z naszego wystąpienia podczas dziesiątej edycji katowickiego Spodka 2.0, tym razem natomiast zapraszamy do zapoznania się z materiałem wideo z tego wydarzenia. Miłego oglądania :-)

Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych from spodek20 on Vimeo.

• dokumentację obejmującą: politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych,

• upoważnienia do przetwarzania danych osobowych,

• ewidencję osób upoważnionych,

• oświadczenia o zachowaniu danych osobowych w tajemnicy oraz informacji o sposobach ich zabezpieczeń.

W zasadzie to nie wszystko. Szybkie spojrzenie na art. 31 interesującej nas ustawy i okazuje się, że jeżeli administrator danych osobowych chce powierzyć innemu podmiotowi dane osobowe może to zrobić, ale tylko w drodze tzw. umowy powierzenia przetwarzania danych osobowych.

Jak widać, dokumentów jest całkiem sporo, a nie można zapominać o tym, ze w niektórych branżach np. firmach medycznych, katalog wymaganych dokumentów może być jeszcze większy, gdyż wynika to wprost z przepisów szczególnych.

Jeśli ktoś od jakiegoś już czasu zajmuje się tematyką danych osobowych, doskonale zdaje sobie sprawę jak łatwo przeoczyć jakiś zbiór danych. W niniejszej notatce chciałbym zwrócić uwagę na taki właśnie, wydawałoby się niepozorny, zbiór. Zgodnie z wymogami przepisów kodeksu spółek handlowych spółki akcyjne mają obowiązek prowadzić dla swych akcjonariuszy tzw. księgę akcyjną. Księga taka, o ile akcjonariusze są osobami fizycznymi (mogą być nimi także inne firmy!), z oczywistych względów zawiera dane osobowe (np. takie jak imię, nazwisko, adres, nr NIP, miejsce pracy etc.). Dane te przetwarzane są, rzecz jasna, w sposób legalnych, gdyż wynika to z przepisów wspomnianego wyżej ksh. Powstaje jednak pytanie czy taki zbiór wymaga rejestracji.
Ustawa o ochronie danych osobowych określa w art. 43 jakie zbiory nie wymagają zgłoszenia do GIODO. Wydawać by się mogło, że do ksiąg akcyjnych zastosowanie będzie miała przesłanka mówiąca o danych powszechnie dostępnych. Jednak nie jest to prawdą. Dane zawarte w księdze akcyjnej znane są tylko innym akcjonariuszom, a więc ciężko nazwać je danymi powszechnie znanymi, stąd też konkluzja jest taka, że zbiór danych zawarty w księdze akcyjnej podlega rejestracji w GIODO.

Sporo się o tym dyskutuje, bo zagadnienie jest mocno kontrowersyjne. Chodzi oczywiście o zaklasyfikowanie adresu IP jako danej osobowej w rozumieniu ustawy o ochronie danych osobowych. Ostatnio głos w tej sprawie zabrał wojewódzki sąd administracyjny i w swym orzeczeniu potwierdził już to co wcześniej twierdziło GIODO - adres IP jest daną osobową. Krótką informację na ten temat można przeczytać na stronie internetowej “Gazety Wyborczej”.