Jestem administratorem danych. O czym powinienem poinformować osoby, których dane zbieramy?

Zgodnie z art. 24 ust. 1 ustawy o ochronie danych osobowych, w  przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

• adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
• celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
• prawie dostępu do treści swoich danych oraz ich poprawiania,
• dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Na mocy art. 25 ustawy, w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:

• adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
• celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
• źródle danych,
• prawie dostępu do treści swoich danych oraz ich poprawiania,
• o prawie wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację oraz wniesienia sprzeciwu wobec przetwarzania jej danych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi.

Czym jest zbiór danych osobowych?

Przez zbiór danych, zgodnie z definicją określoną w art. 7 pkt 1 ustawy o ochronie danych osobowych, rozumie się „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. Cechą wyróżniającą zbiór danych od innego zestawienia danych jest jego uporządkowany charakter, co zapewnia możliwość wyszukania konkretnych danych za pomocą określonego kryterium. Wystarczy przy tym tylko jedno kryterium, by zestaw uznać za uporządkowany, a więc za zbiór w rozumieniu art. 7, 1pkt ustawy.

W jaki sposób mogę zarejestrować zbiór danych osobowych?

W zasadzie do zgłoszenie zbioru danych wystarczy przesłanie wypełnionego wniosku .

Formularz można przesłać do GIODO listem zwykłym lub poleconym, można też dostarczyć go osobiście (w tym przypadku nie jest żądane okazywanie dokumentów poświadczających tożsamość osób składających formularz zgłoszenia).

Jeżeli wniosek przekazuje pełnomocnik administratora danych, do wniosku należy dołączyć pełnomocnictwo.

Czy wystarczy zgłoszenie zbioru danych GIODO, czy też muszę czekać na rejestrację? Od kiedy mogę gromadzić i przetwarzać dane z tego zbioru?

Gromadzenie i przetwarzanie danych można zacząć po zgłoszeniu zbioru GIODO (art. 46 ust. 1 ustawy o ochronie danych osobowych). Zaświadczenie o rejestracji jest wydawane jedynie na wniosek administratora, niezwłocznie po dokonaniu rejestracji zbioru danych (art. 42 ust. 3 i 4 ustawy).

W jakiej formie powinno być nadane upoważnienie osobie, która będzie zajmowała się przetwarzaniem danych osobowych?

Ustawa nie precyzuje formy upoważnienia, ale można domniemywać, że powinno mieć ono formę pisemną. Wynika to z treści art. 39 ust. 1 ustawy, stanowiącego, iż w ewidencji osób upoważnionych do przetwarzania danych osobowych, którą prowadzi administrator danych, wskazać należy imię i nazwisko osoby upoważnionej, datę nadania, ustania oraz zakres upoważnienia do przetwarzania danych, a także identyfikator, jeśli dane przetwarzane są w systemie informatycznym. W upoważnieniu należy określić nazwę (nazwisko) i adres administratora danych, osobę upoważnioną do przetwarzania danych osobowych, datę nadania i, jeżeli jest ono przyznawane na czas określony, ustania oraz zakres upoważnienia do przetwarzania danych osobowych.

Jakie warunki bezpieczeństwa musi spełnić system informatyczny, w którym przechowywane są zbiory danych osobowych?

Szczegółowe wytyczne na temat zabezpieczenia systemu informatycznego zawierającego zbiory danych osobowych zawiera rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. (Dz. U. z 2004 r. Nr 100, poz. 1024).

Wyróżnia ono trzy poziomy bezpieczeństwa: podstawowy, podwyższony i wysoki (stosowany, gdy system informatyczny połączony jest z siecią publiczną). System powinien umożliwiać odnotowanie (osobno dla każdej osoby, której dane gromadzimy):

• daty wprowadzenia danych,
• identyfikatora osoby, która dane wprowadziła,
• źródła danych, jeżeli nie zostały pozyskane bezpośrednio,
• informacji o odbiorcach, których dane zostały udostępnione, z celem i datą tego udostępnienia,
• ewentualnego sprzeciwu osoby wobec dalszego przetwarzania jej danych.

System powinien umożliwiać wydrukowanie tych informacji. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.

Kopie zapasowe należy przechowywać w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem oraz usuwać niezwłocznie po ustaniu ich użyteczności.

System powinien być zabezpieczony przed dostępem osób i programów niepowołanych oraz przerwami w dostępie energii. Jeżeli do systemu ma dostęp kilku użytkowników, każdy z nich powinien posiadać osobny identyfikator oraz hasło, zmieniane nie rzadziej niż co 30 dni. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.

Czy muszę rejestrować zbiór danych dotyczących pracowników mojej firmy (obecnych i byłych) oraz osób wykonujących dla nas zlecenia?

Zgodnie z art. 43 ust. 1 pkt 4 ustawy nie trzeba rejestrować zbiorów danych osobowych przetwarzanych w związku z zatrudnieniem u administratora danych (tj. zbiorów obecnych i byłych pracowników, a także kandydatów do pracy) oraz świadczeniem administratorowi danych usług na podstawie umów cywilnoprawnych (np. na podstawie umowy zlecenia, umowy o dzieło). 

Czy muszę rejestrować zbiór danych, składający się z dokumentów aplikacyjnych kandydatów do pracy w mojej firmie?

Art. 43 ust. 1 pkt 4 ustawy zwalnia z obowiązku zgłoszenia zbioru danych do rejestracji administratorów danych „przetwarzanych w związku z zatrudnieniem u nich(...)”. Nie ma więc potrzeby zarejestrowania takiego zbioru. Zwolnienie z rejestracji nie oznacza jednak zwolnienia ze stosowania zabezpieczeń przewidzianych w ustawie.

Anna Proksa, E.W.

Zobacz także:

• Odpowiedzi na pytania przedsiębiorców
• Odpowiedzi na pytania konsumentów