Poradnik – jak zarejestrować zbiór danych osobowych do GIODO, cz. 1

W niniejszym wieloczęściowym cyklu poradników chcielibyśmy – opisać Państwu krok po kroku, jak wypełnić pierwsze pola wniosku rejestracyjnego do GIODO. Żeby nasz artykuł był dla Państwa jak najbardziej pomocny, przeprowadzimy swojego rodzaju symulację rejestracji zbioru danych. Będziemy wypełniać formularz odpowiednio dla zbioru danych, który rejestruje najwięcej firm i instytucji i który z bardzo dużym prawdopodobieństwem będą musieli również zarejestrować Państwo. Tym zbiorem jest Ewidencja korespondencji, zwana również Rejestrem poczty przychodzącej i wychodzącej, Rejestrem korespondencji, czy też Księgą korespondencji. Ta różnorodność w nazewnictwie jednego i tego samego zbioru dowodzi, że wiele z pól wniosku rejestracyjnego (łącznie z jednym z najważniejszych pól – nazwą zbioru danych) jest uznaniowa i Administratorzy Danych mają dość dużą swobodę podczas ich wypełniania.

Uwaga! W niniejszym poradniku przeprowadzamy symulację rejestrowania przez przedszkole zbioru danych osobowych Ewidencja korespondencji. Czytelniku, jeśli nie reprezentujesz placówki oświatowej, poradnik również jest dla Ciebie! Nie przejmuj się zwrotami skierowanymi bezpośrednio do dyrektorów przedszkoli – proces rejestracji zbiorów do GIODO przebiega tak samo dla każdej branży – czy dla firmy prywatnej, czy dla instytucji publicznej

Na samym początku chcielibyśmy rozwiać Państwa wątpliwości co do słuszności rejestracji zbioru danych o nazwie Ewidencja korespondencji (na potrzeby niniejszego artykułu zostaniemy przy tej nazwie). Stanowisko Generalnego Inspektora Ochrony Danych Osobowych (GIODO) jest jednoznaczne – „jest to zbiór danych w rozumieniu ustawy o ochronie danych osobowych i podlega zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych”. Dalej GIODO wyjaśnia swoje stanowisko: „[Ewidencja korespondencji – przyp. autora]zawiera chronologicznie wpisywane dane w postaci: daty wpływu, daty wysyłki i danych określających nadawcę lub adresata korespondencji. Zgodnie z definicją zawartą w art. 7 pkt 1 ustawy o ochronie danych osobowych przez zbiór danych rozumie się <<każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw jest rozproszony lub podzielony funkcjonalnie>>. Cechą wyróżniającą zbiór danych od innego zestawu danych jest zatem struktura, czyli takie uporządkowanie, które daje możliwość wyszukania konkretnych danych według określonego kryterium. Aby jakikolwiek zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów ustawy, wystarczające jest kryterium umożliwiające odnalezienie danych w zestawie. Możliwość wyszukiwania według jakiegokolwiek kryterium osobowego (np. imię. nazwisko, data urodzenia, PESEL) lub nieosobowego (data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych w rozumieniu art. 7 pkt 1 ustawy. Ponadto podkreślić należy, że zgodnie z art. 2 ust. 2 pkt 1 ustawy o ochronie danych osobowych, ustawę tę stosuje się do przetwarzania danych osobowych w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych. Oznacza to, iż przepisy ustawy mają zastosowanie również w przypadku przetwarzania danych osobowych w zbiorach prowadzonych w formie tradycyjnej (papierowej), tj. bez użycia systemów informatycznych.” (źródło: http://www.giodo.gov.pl/1520049/id_art/2834/j/pl/ )

Ewidencja korespondencji jest zatem zbiorem danych, który powinno się zarejestrować w większości polskich przedszkoli. Oczywiście, chodzi wyłącznie o te placówki, w których rzeczywiście prowadzony jest uporządkowany rejestr/księga korespondencji. Jeśli w przedszkolu nie ma żadnej ewidencji poczty przychodzącej i wychodzącej (nie jest to rozwiązanie zalecane, ponieważ często prowadzi do „chaosu organizacyjnego” w placówce), nie ma potrzeby rejestrowania pliku listów znajdujących się np. w szufladzie dyrektora przedszkola. Informacje zawarte w tak przechowywanej korespondencji będą wciąż danymi osobowymi (chociażby imię, nazwisko oraz adres adresata zapisane na kopercie), nie będą jednak tworzyły zbioru danych. Zgodnie bowiem z przytoczoną w poprzednim akapicie definicją, aby można było mówić o zbiorze danych, muszą być spełnione przynajmniej dwie przesłanki: uporządkowana „struktura” oraz „dostępność według określonych kryteriów”. Gromadzone w przypadkowej kolejności koperty nie spełniają ani jednego, ani drugiego wymogu. Dlatego też, jeśli w placówce nie jest prowadzona uporządkowana ewidencja poczty przychodzącej i wychodzącej, nie ma potrzeby rejestrowania takiego zestawu (nie zbioru!) danych osobowych.

Tych z dyrektorów przedszkoli, którzy prowadzą księgi/rejestry korespondencji, nie zachęcamy bynajmniej do zaprzestania tej praktyki i do gromadzenia poczty w nieuporządkowanej kolejności. Wręcz przeciwnie. Niewątpliwą stratą, byłaby sytuacja gdyby dyrektor przedszkola zdecydował się zaprzestać ewidencji korespondencji, tylko dlatego, żeby nie być zobowiązanym do rejestracji zbioru danych do GIODO. Po pierwsze, mogłoby to mieć negatywny wpływ na funkcjonowanie placówki (z dużym prawdopodobieństwem doprowadziłoby do wspomnianego „chaosu organizacyjnego”). Po drugie, proces rejestracji zbioru danych nie jest wcale aż tak skomplikowany. Dla doświadczonego praktyka to zaledwie 10 minut. Państwu, przy pomocy niniejszego cyklu artykułów, zajmie to prawdopodobnie ok. 30 min. Po trzecie wreszcie, bardzo możliwe, że i tak będą Państwo musieli prędzej czy później zarejestrować jakiś zbiór danych, dlatego lepiej najpierw „poćwiczyć” tę procedurę na mniej istotnym zbiorze danych, żeby później nie narażać się na konsekwencje np. nieodpowiedniej rejestracji zbioru danych zawierających dane osobowe wrażliwe.

Wypełnianie wniosku rejestracyjnego, część A0

privacy_giodoLogoWniosek rejestracyjny składa się z sześciu rozdziałów (A-F) podzielonych dodatkowo na mniejsze podrozdziały. Żeby przejść do wypełniania wniosku rejestracyjnego, należy w wyszukiwarce internetowej wpisać następujący adres: https://egiodo.giodo.gov.pl/, a następnie kliknąć w „Wypełnianie wniosku” (więcej informacji na temat platformy E-giodo znajduje się w poprzednich artykułach).  Pierwszym polem jakie ukaże się Państwa oczom, jest pole (A0) pozwalające określić czego dotyczy zgłoszenie. Przypomnijmy –  mają Państwo trzy możliwości:

  1. Zgłoszenie zbioru na podstawie art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz. 1271 oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285).

To pole zaznaczają Państwo, jeśli  chcą zgłosić nowy zbiór danych osobowych, w którym nie są przetwarzane dane wrażliwe. W 99 procentach sytuacji, będą Państwo zaznaczać właśnie tę opcję. Wariant nr 1. należy zaznaczyć także w naszej symulacji rejestracji zbioru danych osobowych o nazwie Księga korespondencji. Uwaga! W tym przypadku rejestrujemy wyłącznie zbiór danych opisujących korespondencję, a nie szczegółową treść każdego listu! Naturalnie, nie jest możliwe przewidzenie tego, co np. rodzice opiszą w liście zaadresowanym do przedszkola. Teoretycznie mógłby to być nawet bardzo dokładny przebieg choroby ich dziecka (a więc dane osobowe wrażliwe). Nie oznacza to bynajmniej, że podczas rejestracji zbioru Ewidencja korespondencji, musimy uwzględniać również dane osobowe zawarte w treści listów. Dzieje się tak dlatego, że zawartość koperty, po jej otwarciu staje się składnikiem innego zbioru danych. Jest to dość skomplikowany proces, u którego źródeł stoi abstrakcyjny proces identyfikacji zbiorów danych. Sama identyfikacja zbiorów danych osobowych przetwarzanych w placówce oświatowej to temat na osobny artykuł, dlatego w tym miesiącu jedynie go naszkicujemy. W tym celu posłużymy się prostym przykładem:

do przedszkola „Mały miś” wpłynął list od Pana Jana Kowalskiego. List został zaewidencjonowany przez sekretarkę w specjalnej księdze korespondencji (data wpłynięcia listu + dane adresata + numer porządkowy). Po otwarciu listu, okazało się, że zawiera on informacje na temat alergii córki Pana Jana Kowalskiego na produkty żywnościowe zawierające mleko.

List jeszcze przed otwarciem stanowił dane osobowe wchodzące w skład zbioru danych Księga korespondencji, zawierającego tylko ogólne informacje o poczcie wychodzącej i przychodzącej.Natomiast po otwarciu listu, dane osobowe w nim zawarte „przechodzą” automatycznie do zbioru danych Wychowankowie przedszkola, zawierającego szczegółowe informacje o dzieciach uczących się w placówce.Cały proces odbywa się zatem na płaszczyźnie abstrakcyjnej i nawet pomimo tego, że fizycznie korespondencja stanowi jedną całość (a więc koperta z danymi adresata + treść listu), to w świetle prawa będą to dwa osobne zbiory danych.

Podsumowując: podczas wypełniania wniosku interesować nas będą wyłącznie informacje z koperty (adresaci) + ewentualnie dodatkowe informacje o korespondencji (data wpływu, wysyłki poczty). Treść korespondencji jest automatycznie włączana do pozostałych zbiorów danych funkcjonujących w przedszkolu (np. dane osobowe kontrahentów, wychowanków, czy też pracowników przedszkola)

  1.  Zgłoszenie zmian na podstawie art. 41 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Tę opcję powinni Państwo zaznaczyć wyłącznie w przypadku, kiedy chcą Państwo zgłosić zmiany w zbiorze danych, który zarejestrowali Państwo wcześniej do GIODO.

  1. Zgłoszenie zbioru, w którym będą przetwarzane dane określone w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Tę opcję zaznaczają Państwo wyłącznie w sytuacji, kiedy w rejestrowanym właśnie zbiorze, są przetwarzane dane osobowe wrażliwe. Większość zbiorów danych osobowych, zawierających dane wrażliwe jest jednak w przedszkolach, zwolniona z obowiązku meldunkowego (np. dane kadrowe, czy dane wychowanków przedszkola).

W przypadku naszej symulacji rejestracji zbioru Księga korespondencji, wybieramy pole nr 1, jako, że chcemy zgłosić nowy zbiór, nie zawierający danych osobowych wrażliwych. Uwaga! Odpowiednie zaznaczenie jednego z pól części A0 wniosku jest niezwykle istotne! Bardzo łatwo popełnić tu jeden z dwóch błędów. Pierwszy, najbardziej błahy polega na zaznaczeniu więcej niż jednego pola. Nie jest to akceptowalne i w takim przypadku Państwa wniosek nie zostanie zarejestrowany.

Drugie niedopatrzenie polega na niezgodności wyboru pola z części A0, z dalszymi polami wniosku rejestracyjnego. Najczęściej spotykany błąd polega na zaznaczeniu w części A0 pola nr 1. (a więc zasygnalizowanie, że rejestrujemy zbiór danych osobowych niewrażliwych), a następnie zaznaczenie jakiegokolwiek pola w części C9 (a więc zasygnalizowanie, że w zbiorze przetwarzane są dane wrażliwe). Taki wniosek również zostanie odrzucony prze GIODO.

Definiowanie Administratora Danych oraz nazwy zbioru – części A1 i B1

Kolejnym okienkiem, jakie ukaże się Państwa oczom po wybraniu opcji nr 1. i zatwierdzeniu jej przyciskiem <<DALEJ>>, będzie okienko zawierające końcówkę części A oraz początek części B. W końcówce części A należy wypełnić tylko jedno, ale za to bardzo istotne pole – nazwę rejestrowanego zbioru danych osobowych.

Teoretycznie, dyrektor przedszkola może ją określić w sposób dowolny. Dowodem tej dowolności jest bardzo duża rozbieżność w nazewnictwie zbiorów danych, które w zasadzie są identyczne. I tak, mamy: Ewidencję korespondencji, Rejestr poczty przychodzącej i wychodzącej, Rejestr korespondencji, itd.

W praktyce natomiast, istnieją dwa ograniczenia co do dowolności w nazewnictwie rejestrowanych zbiorów. Po pierwsze, dyrektor przedszkola powinien posłużyć się nazwą jak najbardziej zwięzłą. Zdecydowanie niewskazane są nazwy rozwlekłe, zawierające więcej informacji, niż jest to konieczne. Przykładem autentycznym zbyt długiej nazwy jest: REJESTR KORESPONDENCJI PRZYCHODZĄCEJ I WYCHODZĄCEJ PRZEDSZKOLA W ŻUR***** W POSTACJI TRADYCYJNEJ. Administrator danych, podczas wpisywania nazwy zbioru, powinien zrezygnować z następujących informacji:

– „przychodząca i wychodząca” – naturalnym jest, że korespondencja do przedszkola zarówno „przychodzi”, jak i „wychodzi”, dlatego te informacje są zbędne.

– „przedszkole w Żur*****” – nie ma potrzeby, żeby dyrektor przedszkola z Żur***** wpisywał w nazwie rejestrowanego zbioru miejscowość w której działa jego placówka, ponieważ i tak będzie to musiał uczynić w polach następnych. Byłoby to więc zbędne duplikowanie informacji.

– „w postaci tradycyjnej” – w dzisiejszych czasach, kiedy duża część korespondencji odbywa się drogą elektroniczną (głównie za pośrednictwem e-maili), nie ma potrzeby podkreślania, że rejestrujemy zbiór danych przetwarzanych wyłącznie w postaci tradycyjnej (papierowej). Doprowadziłoby to do sytuacji, kiedy dyrektor przedszkola musiałby zarejestrować aż dwa zbiory danych: Rejestr korespondencji w postaci tradycyjnej oraz Rejestr korespondencji w postaci elektronicznej. Nie ma takiej potrzeby, ponieważ w obu przypadkach, zarówno cel przetwarzania danych (utrzymywanie kontaktu z rodzicami, kontrahentami, pracownikami przedszkola), jak i ich zakres (dane adresata), są takie same. Nie ma tutaj żadnego znaczenia fakt, że część danych korespondencyjnych jest przetwarzana przy użyciu komputerów, a część w tradycyjnej, papierowej formie.

Drugim praktycznym ograniczeniem zasady dowolności w nazywaniu rejestrowanych zbiorów danych jest zasada adekwatności. Oznacza to, że zawsze nazwa rejestrowanego zbioru musi być zgodna z rzeczywistością oraz powinna nawiązywać do treści dalszych pól wniosku rejestracyjnego. Przykładem nazwy zbioru danych, która naruszałaby zasadę adekwatności jest nazwa Dziennik korespondencji, w przypadku, gdyby w przedszkolu żaden tego typu dokument kancelaryjny nie byłby prowadzony.

W przypadku naszej symulacji rejestracji zbioru danych, proponujemy nazwę, która spełnia zarówno kryterium zwięzłości, jak i adekwatności: Rejestr korespondencji.

Poniżej pola, gdzie wpisali Państwo nazwę rejestrowanego zbioru danych, znajduje się część B1, poświęcona charakterystyce Administratora danych. Jest to jedna z prostszych części, dlatego nie poświęcimy jej dużo miejsca. Wystarczy, że dyrektor przedszkola wpisze w odpowiednie pola kolejno:

– nazwę Administratora danych. Uwaga! Zwracamy uwagę, że Administratorem w przedszkolu X nie jest dyrektor tego przedszkola, tylko sama placówka. Dyrektor jest jedynie osobą reprezentującą Administratora danych. Podobna sytuacja występuje np. w spółkach prawa handlowego – administratorem spółki X nie jest prezes tej spółki, a sama spółka X. Podsumowując: w polu „Administrator” należy wpisać pełną nazwę placówki, a nie imię i nazwisko jej dyrektora.

– REGON placówki;

– Miejscowość, w której działa przedszkole;

– Dokładny adres placówki (kod pocztowy, adres, ulica);

Po wpisaniu poprawnych danych przedszkola, w odpowiednie pola, należy kliknąć na przycisk <<DALEJ>>. Umożliwi to Państwu przejście do kolejnej części – B2.

Czym jest państwo trzecie? Część B2

world-67861_640W części B2 należy wpisać dokładne dane kontaktowe „przedstawiciela Wnioskodawcy, o którym mowa w art. 31a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych”. Tę część, w 99,99 procentach przypadków należy zostawić pustą. Stosownego przedstawiciela, dyrektor przedszkola musiałby powołać jedynie jeśli placówka „miałaby siedzibę (…) w państwie trzecim” (art. 31a uodo). Dotyczy to czysto hipotetycznej sytuacji, kiedy przedszkole miałoby prawną siedzibę w „państwie trzecim”, ale działałoby również na terenie Rzeczypospolitej Polskiej, za pośrednictwem swojej filii. Prawdopodobieństwo wystąpienia tego typu sytuacji drastycznie zmniejsza wyjątkowo wąski zakres definicji „państwa trzeciego”. Otóż w świetle ustawy będzie to wyłącznie „państwo nienależące do Europejskiego Obszaru Gospodarczego” (art. 7 ust. 7 uodo). Oznacza to, że Państwem trzecim nie będą wszystkie państwa UE + Islandia, Liechtenstein oraz Norwegia. Dodatkowo, państwem trzecim nie będą „państwa, w stosunku do których Komisja Europejska wydała decyzję stwierdzającą, że dane państwo zapewnia poziom ochrony danych adekwatny do poziomu przewidzianego w dyrektywie 95/46/WE. (…) Tego rodzaju decyzje wydane zostały w stosunku do Szwajcarii, Kanady, Argentyny, Guernsey, Jersey, Wysp Owczych, Andory, Wyspy Man, Nowej Zelandii oraz firm z USA spełniających kryteria tzw. safe harbour” (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Wolters Kluwer Polska, Warszawa 2011).

Bardzo ważne, żeby znali Państwo mechanizm wyodrębniania „państwa trzeciego”, ponieważ może się Państwu przydać nie tylko podczas wypełniania wniosku rejestracyjnego. Jeśli np. przekazywaliby Państwo dane osobowe wychowanków przedszkola do Niemiec, w związku z przeprowadzeniem międzynarodowego konkursu, to będą Państwo to mogli zrobić bez konieczności zapewnienia przekazywanym danym dodatkowej ochrony. W świetle prawa nie będzie to bowiem „przekazywanie danych osobowych do państwa trzeciego” i nie będzie niczym się różniło od przekazania danych osobowych do przedszkola mieszczącego się po drugiej stronie ulicy.

Podsumowując: pola części B2 należy uzupełnić jedynie w przypadku wysłania wniosku rejestracyjnego przez Administratora danych mającego siedzibę albo miejsce zamieszkania w państwie trzecim. W przeciwnym wypadku należy pozostawić tę część formularza niewypełnioną. Tak też uczynimy z naszym zbiorem Ewidencja korespondencji.

Po pozostawieniu pustych pól w części B2, należy wcisnąć przycisk <<DALEJ>>. Umożliwi to Państwu przejście do kolejnej części – B3.

Powierzenie przetwarzania danych osobowych – część B3

Data-transfer

W części B3 należy wpisać dokładne dane podmiotów, którym przedszkole „powierzyło w drodze umowy zawartej na piśmie przetwarzanie danych (art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych)”. Jeśli dyrektor placówki powierzył zewnętrznym podmiotom dane osobowe wchodzące w skład rejestrowanego zbioru, należy zaznaczyć tę opcję, uzupełniając dodatkowo pole tekstowe znajdujące się poniżej. Pole tekstowe powinno zostać wypełnione następującymi informacjami o podmiocie, któremu powierzono dane osobowe: nazwa, adres siedziby lub nazwisko, imię i adres miejsca zamieszkania (jeśli jest to osoba fizyczna).

Czym jest powierzenie przetwarzania danych osobowych i kiedy przedszkole może skorzystać z tej formy przekazywania danych osobowych? Odpowiedź na te pytanie będzie dla Państwa niezwykle cenna nie tylko podczas wypełniania wniosku rejestracyjnego do GIODO. Oddajmy głos samemu Generalnemu Inspektorowi Ochrony Danych osobowych:

„Instytucja powierzenia przetwarzania danych, o której mówi art. 31 ustawy, ma bardzo istotne znaczenie praktyczne. Zezwala ona administratorowi danych na skorzystanie z usług wyspecjalizowanych podmiotów zewnętrznych. Oznacza to, że administrator danych osobowych nie musi osobiście wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Może powierzyć ich przetwarzanie – w całości lub w części”.

Powierzenie przetwarzania danych osobowych jest zatem bardzo przydatnym narzędziem, które umożliwia dyrektorowi przedszkola „wypożyczanie” danych osobowych, którymi administruje, zewnętrznym podmiotom, w celu skorzystania z ich usług. Najczęściej spotykane przykłady powierzenia przetwarzania danych osobowych w przedszkolach:

– korzystanie z usług firm specjalizujących się w ochronie osób i mienia a współpraca przedszkola z tymi firmami polega m.in. na przekazaniu im pewnych danych osobowych. Przykład takiej sytuacji: „ochroniarz” pracujący przy wejściu do przedszkola jako portier. W ramach swoich obowiązków służbowych, pracownik ten ewidencjonuje wszystkie osoby wchodzące i wychodzące do/z budynku w specjalnym dokumencie: Księdze wejść i wyjść. Bez wątpienia, mamy tu do czynienia z przetwarzaniem danych osobowych przez podmiot zewnętrzny (portier w świetle prawa jest zatrudniony przez firmę ochroniarską, a nie przez przedszkole), więc będzie to powierzenie przetwarzania danych osobowych.

– outsourcing kadr i księgowości – w bardzo wielu polskich przedszkolach mamy do czynienia z tzw. „outsourcingiem kadr i księgowości”, czyli zlecaniem obsługi kadrowo-księgowej zewnętrznym podmiotom. W większości przypadków, za to zadanie odpowiadają specjalne komórki działające w ramach gminy, czy powiatu, tzw.: ZEAS-y, ZEOS-y, ZEASiP-y, DBFO, itd. W takich przypadkach, również mamy do czynienia z powierzeniem przetwarzania danych osobowych. Wygląda to w ten sposób, że przedszkole „wypożycza” dane osobowe, którymi administruje (w tym przypadku, dane kadrowo-księgowe), zewnętrznemu podmiotowi w celu obsługi ekonomiczno-administracyjnej.

– korzystanie z usług firmy informatycznej – jeśli przedszkole współpracuje z zewnętrzną firmą informatyczną w celu serwisu, naprawy, czy konfiguracji sprzętu komputerowego, to przeważnie współpraca ta będzie się wiązała z przekazaniem pewnych danych osobowych pracownikom tej firmy. Bardzo rzadko bowiem jest możliwa naprawa komputera, podczas której informatyk nie uzyskałby dostępu do danych osobowych na nim przechowywanych. Dlatego też, również w takich przypadkach, mamy do czynienia z „wypożyczeniem” danych osobowych, zewnętrznemu podmiotowi.

Powierzenie może oczywiście działać w obie strony. Tak samo, dyrektor przedszkola może otrzymać dane osobowe na zasadzie powierzenia. Taka sytuacja mogłaby wystąpić, kiedy na przykład do przedszkola trafiłyby dane osobowe wychowanków innej placówki w związku z realizacją powiatowego konkursu dla przedszkolaków.

Jakie wymogi formalne należy spełnić, żeby powierzyć przetwarzanie danych osobowych podmiotom zewnętrznym? Ponownie oddajmy głos GIODO:

„Ustawa wymaga, aby umowa powierzenia zawarta była na piśmie oraz wyraźnie określała zakres i cel przetwarzania danych. Zawierając takie umowy, należy pamiętać o tym, że administrator nie może przekazać zleceniobiorcy więcej praw, niż sam posiada”

Tak naprawdę, wystarczy więc zawarcie tzw. umowy powierzenia przetwarzania danych osobowych. Musi być ona sporządzona na piśmie i zawierać przynajmniej zapisy precyzujące: cel i zakres powierzenia oraz zobowiązanie podmiotu zewnętrznego do zabezpieczenia otrzymanych danych osobowych zgodnie z polskimi przepisami. Co ważne, umowa powierzenia nie musi być osobnym dokumentem. Wystarczy, że zapisy o powierzeniu zostaną „wkomponowane” w bazową umowę o współpracy.

Jakie są konsekwencje zawarcia umowy powierzenia? GIODO stwierdza wyraźnie, że:

„Podmiot przetwarzający dane na podstawie umowy powierzenia zawartej z administratorem danych, w rozumieniu przepisów ustawy nie staje się ich administratorem. Z faktem tym, (…) związane są określone skutki. Nie spoczywają na nim obowiązki, którymi ustawodawca obciążył administratora danych, m.in. obowiązek rejestracji. Jest on jednak zobowiązany do podjęcia środków, o których mowa w art. 36–39 ustawy, zabezpieczających przetwarzane dane, oraz do spełnienia wymagań określonych w rozporządzeniu w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Zastosowanie tych środków musi nastąpić przed przystąpieniem do przetwarzania danych, tj. np. przed ich uzyskaniem. W zakresie przestrzegania wymienionych przepisów ustawy i rozporządzenia podmiot przetwarzający dane ponosi odpowiedzialność jak administrator danych. Ponadto podmiot, któremu dane powierzono, jest odpowiedzialny wobec administratora w zakresie działań niezgodnych z umową zawartą z administratorem danych.”

Z powyższej wypowiedzi powinni Państwo zapamiętać dwie bardzo ważne zasady. Po pierwsze – podmiot któremu przedszkole powierzyło dane osobowe, nie staje się ich administratorem. W konsekwencji, spoczywa na nim tylko część obowiązków wynikających z uodo – np. obowiązek zabezpieczenia danych, upoważnienia pracowników, czy opracowania dokumentacji. Obowiązkiem podmiotu, któremu powierzono dane osobowe nie będzie natomiast rejestracja otrzymanego zbioru danych do GIODO. Zasada ta naturalnie ma zastosowanie w obie strony. Jeśli dyrektor przedszkola otrzymałby w powierzenie pewne dane osobowe, również nie będzie musiał ich rejestrować do GIODO.

Druga bardzo istotna zasada, to zasada odpowiedzialności. Podmiot, któremu powierza się dane osobowe, zaczyna ponosić odpowiedzialność za ich przetwarzanie dopiero po podpisaniu umowy powierzenia. Wcześniej, tak naprawdę cała odpowiedzialność spoczywa na administratorze danych, który powierzył dane bez dopełnienia stosownych wymogów formalnych. Dlatego też, podpisanie umowy powierzenia jest w interesie podmiotu powierzającego dane osobowe i to właśnie w interesie tego podmiotu jest jak najszybsze dopełnienie wymogów formalnych związanych z powierzeniem. Jeśli więc dyrektor przedszkola współpracuje z podmiotem zewnętrznym i współpraca ta opiera się na przekazywaniu danych osobowych temu podmiotowi, to dyrektor placówki powinien jak najszybciej zadbać o podpisanie stosownej umowy powierzenia.

(źródło: https://edugiodo.giodo.gov.pl/file.php/1/ODO/ODO_R02_07.htm )

Wracając do symulacji rejestracji zbioru Ewidencja korespondencji – oczywiście jeśli przedszkole nie powierzyło żadnemu zewnętrznemu podmiotowi danych osobowych wchodzących w skład rejestrowanego zbioru, można przejść do części B4 nie zaznaczając w części B3 żadnej opcji i nie wypełniając pola tekstowego. Właśnie ten wariant wybierzemy podczas naszej symulacji rejestracji zbioru danych Ewidencja korespondencji. W zdecydowanej większości przypadków, powinni Państwo postąpić podobnie, ponieważ powierzanie przetwarzania danych osobowych „korespondencyjnych” (tzw. outsourcing sekretariatu) jest w przedszkolach niezwykłą rzadkością.

Następne części poradnika

Mamy nadzieję, że wiedzą już Państwo dokładnie, jak prawidłowo nazwać rejestrowany zbiór danych, kiedy mogliby Państwo przekazywać dane osobowe do „państwa trzeciego”, czy też w jakich przypadkach należy wyodrębnić podmioty którym powierza się przetwarzanie danych osobowych. W następnej części wyjaśnimy szczegółowo, jaką przesłankę legalności należy wybrać w przypadku rejestrowania zbiorów danych oraz w jaki sposób poprawnie określić cel przetwarzania danych osobowych.

e-learning RODO

Profesjonalne wsparcie

Mamy nadzieję, że poradnik był dla Ciebie pomocny. Jeśli potrzebujesz wsparcia w komunikacji z Urzędem Ochrony Danych Osobowych, zapraszamy do skorzystania z naszej pomocy.

Zobacz, w jaki sposób możemy Ci pomóc:

Sprawdź

Inne artykuły związane z rejestracją zbiorów danych osobowych do GIODO

 Zapraszamy do zapoznania się ze wszystkimi częściami cyklu artykułów poświęconych rejestracji zbiorów danych osobowych do GIODO:

Które zbiory danych osobowych zwolnione są z obowiązku rejestracji:

Część 1. – zbiór danych osobowych pracowników, byłych pracowników i potencjalnych pracowników oraz uczniów

Część 2. – dane księgowe, dane członków rodzin pracowników i uczniów oraz drobne bieżące sprawy życia codziennego

– Jakie zbiory danych osobowych powinno się zarejestrować do GIODO

 Obowiązek rejestracji zbiorów danych osobowych – w jaki sposób uzyskać potwierdzenie rejestracji, odmowa rejestracji zbioru przez GIODO

Poradnik jak zarejestrować zbiór danych osobowych krok po kroku:

Część 1. – definiowanie administratora danych i nazwy zbioru danych, przedstawiciel Wnioskodawcy (państwo trzecie), powierzenie przetwarzania danych osobowych

Część 2. – wskazanie przesłanki legalności, celu i zakresu przetwarzania danych oraz kategorii osób, których dane są przetwarzane

Część 3. – osoby od których zbierane są dane osobowe, przekazywanie danych do państwa trzeciego

Część 4. – centralne/rozproszone przetwarzanie danych, jaką formę przetwarzania danych wybrać, które z podstawowych zabezpieczeń zaznaczyć

Część 5 – w jaki sposób opisać dodatkowe zabezpieczenia, które stosujemy, aby chronić przetwarzane dane osobowe

Podstawa prawna:

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101 poz. 926 ze zm.).

 

Bibliografia:

  • J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Wolters Kluwer Polska, Warszawa 2011.
  • A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy (stan prawny na 2 lipca 2007 r.), Lexis Nexis, Warszawa 2007.
  • www.giodo.gov.pl
  • https://egiodo.giodo.gov.pl

 

Artykuł ukazał się nakładem czasopisma „Dyrektor Przedszkola”

 

Powiązane artykuły

Firmy kurierskie a RODO
rodo faq
Czy z firmą sprzątającą należy podpisać umowę powierzenia? #RODOFAQ
rodo faq
Czym są standardowe klauzule umowne przyjęte przez KE? #RODOFAQ

9 Odpowiedzi

  1. Mika

    Witam! Właśnie interesuję się tymi zagadnieniami i to, co Państwo tu piszą mogę świeżo potwierdzić. Ja przy rejestracji korzystałam z zewnętrznej firmy, bo laik jak ja pomęczyłby się nad tym z miesiąc. Ale do rzeczy, bardzo trudno mi znaleźć informacje o kupnie baz danych. Mój sklep rozwija się i spróbowałabym z nowymi klientami, ale czy to bezpieczne? Tu np. czytam http://www.eporady24.pl/sprzedaz_baz_danych,pytania,17,219,8304.html – że Problematyczna natomiast może okazać się sytuacja, gdy podmiot sprzedający bazy danych nie ma zgody na sprzedaż. Kwestia legalności takiej transakcji nie została jednoznacznie rozstrzygnięta w doktrynie.” To jak sprawdzić, czy jest ok?

    1. Kancelaria Lex Artist

      Kwestia tworzenia baz danych nie została jednoznacznie uregulowana w przepisach. Niewątpliwie najbezpieczniejszą metodą jest budowanie własnej bazy danych, co pozwala uwzględnić specyfikę danego przedsiębiorstwa i zapewnia pełną kontrolę nad procesem przetwarzania danych. Przepisy nie zabraniają kupna gotowej bazy danych więc takie rozwiązanie jest legalne i bezpieczne pod warunkiem, że osoby, których dane są zawarte w bazie wyraziły w sposób zgodny z prawem zgodę na przetwarzanie danych (a w przypadku utraty przez dotychczasowego administratora danych tego statusu- także na sprzedaż danych). Prawdopodobnie w takim oświadczeniu nie znajdzie się firma konkretnego podmiotu jako kupującego. Wówczas należy zwrócić uwagę aby cel zebrania danych pokrywał się z celem dla jakiego planuje Pan te dane przetwarzać. Przed skorzystaniem z oferty kupna należy uzyskać szczegółowe informacje czy zostały zebrane wspomniane zgody oraz jaka jest treść takiego oświadczenia. A co w przypadku, gdy brak jest takiej zgody? Należy ustalić czy dane zostały zebrane przez dotychczasowego administratora zgodnie z prawem, tj. na podstawie przesłanki legalizacyjnej innej niż zgoda osoby, której dane dotyczą, a nie w każdym przypadku jest wymagana (art. 23 ust.1), oraz czy w związku z nabyciem przez Pana bazy danych nie ulegnie zmianie cel przetwarzania danych. Sytuacja komplikuje się, gdy przesłanką zbierania danych była zgoda nieprzewidująca sprzedaży bazy, a mamy do czynienia ze wstąpieniem nowego administratora w miejsce dotychczasowego. Wówczas z uwagi na niejednoznaczne stanowisko w doktrynie, dla bezpieczeństwa zaleca się uprzednie wystąpienie przez nowego administratora do wszystkich osób, których dane uzyskał, o wyrażenie zgody na przetwarzanie ich danych. Niezależnie od tego, z którym przypadkiem mamy do czynienia należy pamiętać o dopełnieniu bezpośrednio po utrwaleniu zebranych danych wtórnego obowiązku informacyjnego wobec osoby, której dane są częścią nabywanego zbioru (art. 25 ust. 1).

  2. Karolina

    Na stronie GIODO możemy przeczytać: „Ponadto należy wskazać, że administratorem danych przetwarzanych w jednostce organizacyjnej osoby prawnej (np. oddziale spółki) jest co do zasady dana osoba prawna, a nie jej jednostka organizacyjna (oddział spółki)”

    Pracuję w polskim oddziale pewnej firmy, której główna siedziba mieści się w UK. Chcę zgłosić do GIODO bazę danych osobowych (która będzie wykorzystywana jedynie na potrzeby naszego oddziału), jednak na podstawie powyższej informacji wnioskuję, że administratorem danych jest centrala. Tu pojawia się problem, ponieważ formularz GIODU nie przepuszcza nawet innego formatu kodu pocztowego, niż nasz krajowy, nie mówiąc już nawet o pominięciu regonu i wprowadzeniu numeru z rejestru UK.

    Czy w takim wypadku powinnam jako administratora oznaczyć nasz polski oddział?

    1. Kancelaria Lex Artist

      Mamy tutaj kilka kwestii.
      Kto jest w tej sytuacji ADO? Oddział czy centrala… zasadniczo jest tak jak pisze GIODO na swojej stronie. Ale nie zawsze. Jeśli oddział ma bardzo dużą niezależność i de facto sam decyduje o celach i środkach przetwarzania danych, możnaby spróbować obronić tezy, że jednak to oddział będzie ADO. Ale to wymagałoby głębszej analizy.
      Zgłoszenie bazy do GIODO to taka wisienka na torcie.
      Wcześniej powinniśmy przygotować politykę bezpieczeństwa, nadać upoważnienia etc. Przygotowując te wszystkie dokumenty – musimy podjąć decyzję – kto jest ADO. Dalsze działania to już konsekwencja tej decyzji.

      Od strony technicznej – można spróbować ściągnąć formularz GIODO w wersji DOC (np. a z naszego bloga) i wtedy bez przeszkód edytować go w dowolny sposób, również wpisując zagraniczne numery rejestrowe.

      Na koniec dobra informacja – zgłoszenie bazy do GIODO przestanie być wymagane po 25 maja 2018 roku, w związku z wejściem w życie RODO. Nie zmienia to faktu, że pozostaną inne obowiązki ustawowe, np. polityki bezpieczeństwa. I tu znów powróci temat ustalenia kto jest ADO.

      Podsumowując – ustalenie kto jest ADO będzie w opisanej przez Panią sytuacji fundamentem. Na tym fundamencie będzie można budować dalsze elementy systemy: zgłoszenie do GIODO, dokumentację etc.

  3. Basia

    Witam,
    jeżeli w biurze jest przechowywany segregator zawierający potwierdzenia odbioru faktur przesłanych pocztą – w przypadku, gdy potwierdzenia są uporządkowane np. chronologicznie, mówimy o zbiorze danych do rejestracji? Przy braku takiego uporządkowania nie będziemy potrzeby rejestracji zbioru?

    1. Łukasz Zegarek

      Witam,

      Pani Basiu – bez wątpienia będą to dane osobowe. Czy będzie to „samodzielny” zbiór danych? Nie. Nie radzimy popadania w skrajność i traktowania jako ODRĘBNY zbiór danych każdego możliwego zestawu informacji. Ściągamy tym samy na siebie masę kłopotów.

      W praktyce zawodowej niejednokrotnie spotykaliśmy się z Klientami, posiadającymi kilkadzięsiąt, a nawet kilkaSET wyodrębnionych zbiorów danych! Proszę mi uwierzyć – bieżąca aktualizacja, ewidencja, nadzór nad taką ilością zbiorów to baaaaaardzo żmudne zadanie.

      W praktyce – najlepszy jest złoty środek – co się da logicznie „podpiąć” pod inne, większe zbiory – podpinajmy pod inne, większe zbiory.

      W przypadku o którym Pani pisze, my „podpięlibyśmy” takie potwierdzenia pod jakichś z poniższych zbiorów:
      – Klienci
      – Kontrahenci
      – Ewidencja korespondencji

      Proszę pamiętać, że pojęcie zbioru danych jest pojęciem abstrakcyjnym, prawnym. Zbiory wyodrębniamy „niezależnie od tego, czy są rozproszone, albo podzielone funkcjonalnie”.

      Pozdrawiam serdecznie

  4. Basia

    Nie do końca jasna jest dla mnie sama definicja zbioru d.o. … Jest tu mowa o strukturze, czyli specyficznym uporządkowaniu danych i kryteriach dostępu do danych – czy zestaw danych przetwarzanych w formie tradycyjnej taki jak w pytaniu powyżej możemy zakwalifikować jako zbiór danych dopiero gdy jest sporządzony spis/skorowidz, czy wystarczy tylko fizyczne uporządkowanie, które samo w sobie pozwala na dostęp do danych wg. tego porządku? Jeżeli chodzi o kryteria dostępu do danych, to wystarczającym jest 1 kryterium, czy musi ich być więcej?

    Jak jednoznacznie określić kiedy zestaw danych jest zbiorem danych osobowych, a kiedy nie 🙂 ?

  5. Łukasz Zegarek

    Mam nadzieję, że w powyższym komentarzu udało mi się rozwiać Pani wątpliwości.

    Uzupełnię jeszcze tylko: wystarczy tylko jedno kryterium dostępu. Np. data, czy kryterium alfabetyczne.

    Generalnie, 99% danych jest przetwarzanych w ramach JAKICHŚ zbiorów. Cała sztuka polega na tym, żeby umieć te rozproszone dane pogrupować w konkretne zbiory danych. Podczas tego grupowania, proszę zadawać sobie następujące pytania:

    – kto będzie miał dostęp do analizowanych przeze mnie danych?
    – w jakim celu dane są przetwarzane?
    – kogo dotyczą?
    – w jakim zakresie są zbierane?
    – na jakiej podstawie prawnej są przetwarzane?

    Jeśli odpowiedzi na wszystkie powyższe pytania będą identyczne, albo mocno do siebie zbliżone – możemy mówić o 1 zbiorze danych.

    Mam nadzieję, że udało mi się rozwiać Pani wątpliwości. Jeśli nie, zapraszamy też do skorzystania z naszego wsparcia (konsultacje, audyty, szkolenia) – https://blog-daneosobowe.pl/wsparcie/

    Pozdrawiam serdecznie,

  6. Basia

    Panie Łukaszu,
    faktycznie na początku pracy ze zbiorami danych łatwo jest popaść w skrajność…

    Rozwiał Pan moje wątpliwości – bardzo dziękuję za powyższe odpowiedzi i cenne wskazówki!

    Pozdrawiam serdecznie

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO