Często pytacie nas o zagadnienie zgłoszenia zbiorów danych osobowych do GIODO. Przygotowaliśmy ten wpis, aby ułatwić Wam opanowanie podstawowych zagadnień, związanych z legalnym przetwarzaniem danych osobowych przy pomocy aplikacji i stron www.
Czym są dane osobowe?
Danymi osobowymi są wszelkie informacje na temat osoby fizycznej, dzięki którym można ją zidentyfikować bez użycia nadmiernych sił i środków. Zalicza się do nich np. imię, nazwisko i adres, ale również przypisane osobie numery i dane o jej cechach. Bardziej ogólne informacje, np. nr domu czy wartość wynagrodzenia, stają się danymi osobowymi dopiero w połączeniu z dodatkowymi informacjami. Przykładem pojedynczej informacji, stanowiącej daną osobową, jest nr PESEL. Samo imię nie jest z kolei daną osobową, ponieważ nie umożliwia identyfikacji konkretnej osoby – wiele osób nosi przecież to samo imię.
A jak jest w przypadku maila? Jeśli mówimy o adresie o brzmieniu np. kotekczarny99@wp.pl, to taki adres nie stanowi danej osobowej, ponieważ nie umożliwia prostej identyfikacji jego posiadacza. Jednak adres w rodzaju janek.kowalski@cyberfolks.pl jest daną osobową, wynika z niego wprost nazwisko i firma, w której pracuje dana osoba. Zapisując użytkownika np. na newsletter radzimy zatem postępować tak, jakby przetwarzane dane były danymi osobowymi.
Podstawy prawne
Zasady przetwarzania danych osobowych oraz prawa osób, których dane mogą podlegać przetwarzaniu określają Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych oraz wydane na jej podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji. Aktualną wersję tych aktów prawnych znajdziesz na stronie http://giodo.gov.pl/
Zgoda na przetwarzanie danych osobowych
Jeśli chcesz przetwarzać dane osobowe zgodnie z przepisami, to warunkiem koniecznym jest uzyskanie zgody od osoby, której dane dotyczą.
Nie istnieją szczegółowe zasady formułowania klauzuli zgody, ale z jej treści powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się zgadza. Ustawa nie nakazuje pisemnej formy wyrażenie zgody. Wystarczy, że użytkownik rejestrując się zaakceptuje regulamin, ale dobrze, żebyś miał to odpowiednio udokumentowane. Masz też obowiązek poinformować osobę, której dane te dotyczą o:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,
- celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
- prawie dostępu do treści swoich danych oraz ich poprawiania,
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Przykładowa klauzula przy zapisaniu na newsletter
Wyrażam zgodę na przetwarzanie moich danych osobowych przez (nazwa firmy i adres siedziby) w celu otrzymywania drogą elektroniczną wiadomości na tematy związane z … . Oświadczam, że znam prawo do wglądu, zmiany i żądania zaprzestania przetwarzania swoich danych. Dane podaję dobrowolnie.
Administrator danych
Administrator danych w rozumieniu przepisów nie jest tożsamy z administratorem serwera. Administrator danych to niejako „właściciel” zbioru.
Jednym z podstawowych zadań, jakie nakłada na administratora danych Ustawa jest obowiązek zgłoszenia zbioru. Z obowiązku tego jesteś zwolniony w odniesieniu do niektórych rodzajów danych, na przykład danych własnych pracowników, przetwarzanych w związku z ich zatrudnieniem w Twojej Firmie. Drugie istotne wyłączenie, od 2015 roku, dotyczy tych podmiotów, które powołały Administratora Bezpieczeństwa Informacji – takie podmioty nie muszą rejestrować każdego zbioru. Wciąż należy prowadzić odpowiednią dokumentację.
Administrator zobowiązany jest do zapewnienia ochrony danych, przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem niezgodnie z ustawą oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Musi także prowadzić dokumentację opisującą sposób przetwarzania danych oraz podjęte środki bezpieczeństwa. Składa się na nią polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym.
Procesor danych
Administrator może zlecić część obowiązków w zakresie przetwarzania innemu podmiotowi, zwanemu wówczas Procesorem. Zazwyczaj powierzenie obejmuje tylko techniczne operacje na danych, np. może to być zapewnienie serwera dla danych, wykonanie backupu (zobacz Backup strony i poczty), przywrócenie danych z backupu, albo realizacja konkretnego zadania, np. przygotowanie wysyłki tradycyjnych, zaadresowanych listów (druk danych adresowych na kopertach).
Podmiot wykonujący tego rodzaju prace nie jest administratorem danych. Nie może on z danymi zrobić nic, czego nie zleciłby mu Administrator, nie może z ich korzystać we własnych celach, ale też nie ponosi odpowiedzialności za dopełnienie innych obowiązków, niż wynikałoby to z umowy powierzenia (np. za pozyskanie zgód na przetwarzanie danych).
Dokumentacja
Przetwarzanie danych osobowych wymaga prowadzenia odpowiedniej dokumentacji. Należy do niej polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych.
Polityka bezpieczeństwa jest dokumentem ogólnym, który opisuje zbiory danych i metody ich przetwarzania. Instrukcja na charakter roboczy. Ponadto niezbędne będzie stworzenie odpowiednich upoważnień dla wszystkich, którzy będą przetwarzać dane osobowe.
Instrukcja zarządzania systemem informatycznym z kolei jest dokumentem o charakterze proceduralnym, który reguluje takie kwestie, jak np. odpowiednie ustawienie ekranu komputera, stosowanie wygaszaczy ekran itp.
Umowa powierzenia – zawarta na piśmie z podmiotem, któremu zleca się przetwarzanie danych w pewnym zakresie – np. z firmą hostingową.
Umowa powierzenia
Administrator nie musi osobiście wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Może skorzystać z usług wyspecjalizowanej firmy zewnętrznej. W tym celu zawiera umowę powierzenia. Ustawa wymaga, aby umowa powierzenia zawarta była na piśmie oraz wyraźnie określała zakres i cel przetwarzania danych. Jeśli na serwerze w firmie hostingowej przetwarzasz dane osobowe – sugerujemy zwarcie takiej właśnie umowy.
Pamiętaj, że prawidłowe powierzenie przetwarzania danych nie zwalnia Cię z obowiązku uzyskiwania odpowiedniej zgody i prowadzenia kompletnej dokumentacji, związanej z przetwarzaniem danych. Powierzenie nie oznacza, że administratorem danych staje się firma udzielająca usługi hostingu www – ona staje się jedynie Procesorem. Jest to konieczne dla legalnego przetwarzania danych, ale nie jest wystarczające – o realizację pozostałych obowiązków administratora musisz zadbać osobno. Dotyczy to takich zagadnień, jak dokumentacja, zgody, bezpieczeństwo danych itp.
Polecane dla Ciebie
Jak stworzyć stronę internetową samodzielnie? 3 kluczowe etapy!
Wybierając platformę do budowy strony internetowej, powinieneś przede wszystkim zwrócić uwagę na potencjał sztucznej inteligencji w kreowaniu witryny pomagającej automatyzować proces projektowania i tworzenia.
Linkowanie wewnętrzne – instrukcja krok po kroku
Czy linkowanie wewnętrzne stworzone w obszarze serwisu, podstron, kategorii jest ważne? Tak. To jedno z działań optymalizacyjnych i dystrybucyjnych, które […]
Mouseflow VS HotJar vs crazyEgg – mapy ciepła.
Mapy ciepła przedstawiają nam obszary naszej strony internetowej, które budzą największe zainteresowanie użytkowników.
Szukasz dalej?