Artykuł niniejszy polecam wszystkim administratorom danych. Odpowiednio korzystając z dyspozycji art. 2 pkt. 3 ustawy o ochronie danych osobowych istnieje możliwość znacznego uproszczenia procesów biznesowych polegających na pozyskiwaniu danych osobowych.
Uproszczenie to polega przede wszystkim na tym, że:
- nie potrzebne jest zbieranie zgód od osób których dane osobowe są przetwarzane,
- braku konieczności spełnienia pozostałych przesłanek art. 23 ustawy o ochronie danych osobowych,
- braku konieczności rejestracji zbioru danych u Generalnego Inspektora Ochrony Danych Osobowych.
Na samym wstępie warto zacytować dyspozycję art. 2 pkt. 3 ustawy o ochronie danych osobowych:
W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.
Zastanówmy się nad kwestią doraźności zbioru.
W jaki sposób odróżnić zbiór doraźny od zbioru, który zbiorem doraźnym nie jest? W tym miejscu wyjaśnię pojęcie tzw. „klauzuli generalnej” W języku prawniczym klauzulę generalną definiujemy jako zwrot niedookreślony. Podam przykład jednej z najczęściej spotykanych w kodeksie cywilnym klauzul generalnych – „zasady współżycia społecznego”. Cóż tak naprawdę oznacza ten termin? Tego tak naprawdę nikt nie jest w stanie stwierdzić jednoznacznie. Przy każdorazowym rozpatrywaniu w sądzie należy go interpretować odnosząc się do konkretnego stanu faktycznego sprawy.
Analogicznie jest w przypadku kwestii doraźności zbioru danych. Poniżej podaję kilka przykładów, kiedy GIODO stwierdził, iż zbiory danych można uznać za zbiory doraźne.
- dane osobowe zebrane w wyniku umowy z firmą marketingową zostały wykorzystane do celu jednorazowej akcji promocyjnej. (Sprawozdanie GIODO za rok 2000, s. 281)
- samodzielny publiczny zakład opieki zdrowotnej przetwarza dane osobowe w związku z realizowanym programem badań przesiewowych w celu wczesnego rozpoznawania raka szyjki macicy, a po zakończeniu i ostatecznym rozliczeniu programu z Ministrem Zdrowia oraz instytucją finansującą wszystkie dane osobowe przetwarzane przez ZOZ na potrzeby tego programu zostają komisyjnie usunięte. (Sprawozdanie GIODO za rok 2002, s. 107)
- pracownia medycyny rodzinnej uniwersytetu, działająca w porozumieniu z instytucją finansującą prowadzącą badania satysfakcji pacjenta z usług lekarzy pierwszego kontaktu, przetwarza dane osobowe wyłącznie do wysyłania respondentom ankiety i listów przypominających, a po zakończeniu wysyłki usuwa wszelkie informacje pozwalające na identyfikację osoby. (Sprawozdanie GIODO za rok 2002, s. 113)
Warto także zwrócić uwagę na to, że przy spełnieniu kryterium doraźności przetwarzania danych osobowych istotny jest cel przetwarzania. Jeśli sporządzony doraźnie zbiór danych osobowych nie jest związany jest z celem towarzyszącym działalności administratora danych, to zdaniem doktryny nie możemy mówić o jego doraźności.
Jako przykład warto tu wskazać zbiory danych prowadzone w portierniach. Jeśli portier jest pracownikiem administratora danych, możemy mówić o działalności związanej z celem. Jeśli jednak portiernia obsługiwana jest przez firmę zewnętrzną (np. firmę ochroniarską) to wtedy należy wykluczyć powstanie tzw. zbioru doraźnego. Co istotne, doktryna stoi na stanowisku, iż zbiory kandydatów do pracy w firmie nie mogą być uznane za zbiory doraźne. Uzasadnione to jest tym, iż taki zbiór nie ma charakteru technicznego, jego celem jest pozyskiwanie nowych pracowników.
Ciekawie sytuacja przedstawia się jeśli chodzi o różnego rodzaju konkursy, w toku których uczestnicy podają swoje dane osobowe. Generalny Inspektor nie uznaje doraźnego charakteru zbioru danych przetwarzanych w celu przesłania upominków przewidzianych regulaminem promocji produktu oraz publikacji listy zwycięzców w internecie. (Sprawozdanie GIODO za rok 2001, s. 256). Jeżeli jednak po publikacji danych osobowych zwycięzców konkursu administrator danych usunie je, to możemy mówić o zbiorze doraźnym sporządzonym w celach technicznych. (A. Drozd Ustawa o ochronie danych osobowych – komentarz s. 25)
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.