W kolejnej niniejszej poradnika, zaprezentujemy w jaki sposób wypełnić kolejną część wniosku rejestracyjnego – część D. Pierwsze pytanie w tej sekcji (D-11), przed którym stawiają nas autorzy wniosku, dotyczy osób od których zbieramy dane do naszego zbioru. Mamy następujące możliwości odpowiedzi:
1) dane zbierane są od osoby, której dotyczą,
2) dane zbierane są z innych źródeł.
Osobom, które dopiero rozpoczęły lekturę cyklu dotyczącego zgłoszenia zbioru do GIODO, przypominamy, że prowadzimy symulację zgłoszenia zbioru „ewidencja korespondencji”. Napływająca do nas z różnych źródeł korespondencja, będzie zawierała przede wszystkim dane osobowe nadawców – a więc osób, których dane bezpośrednio dotyczą. Tak więc zarówno w tym przypadku, jak i w zdecydowanej większości innych sytuacji, sugerujemy zaznaczenie odpowiedzi pierwszej: „dane zbierane są od osoby, której dotyczą”. Co do zasady, sytuacja zbierania danych z innych źródeł, będzie związana przede wszystkim z handlem bazami danych osobowych i w sferze działalności prowadzonej przez przedszkola, nie będzie miała miejsca. Skoro udało nam się szybko przejść przez pierwsze pytanie, zajmijmy się kolejnym, wymagającym dłuższego wyjaśnienia.
Część D-12 oraz D-13 – udostępnienie danych osobowych
Części D-12 oraz D-13 dotyczą tego samego – sposobu udostępniania danych ze zbioru. W poprzednich numerach, zajmowaliśmy się zagadnieniem powierzania przetwarzania danych osobowych. Zwracamy uwagę na to, że termin udostępnienia danych, oznacza zupełnie co innego, niż ich powierzenie. Powierzenie, możemy porównać do wypożyczenia komuś pewnego zasobu informacji, przy czym informacje te cały czas pozostają niejako „na uwięzi”. To my, jako podmiot powierzający dane osobowe – np. naszych pracowników w ramach outsourcingu kadr czy płac – posiadamy zwierzchnią kontrolę nad powierzonymi danymi. Natomiast udostępniając dane osobowe – wręczamy je innemu podmiotowi ale już bez żadnej kontroli nad tym co później z nimi się stanie. Odwołując się do praktycznych przykładów:
Jeśli w ramach czynności operacyjnych, policjanci zażądają od dyrektora przedszkola podania informacji o tym, kiedy dziecko było obecne w przedszkolu i który rodzic je z niego odebrał – to z całą pewnością, miało miejsce udostępnienie danych osobowych. Funkcjonariusze będą przetwarzali udostępnione informacje do własnych celów i na własny użytek. Oczywiście funkcjonariusze Policji, są jednostkami upoważnionymi do uzyskania danych osobowych na podstawie przepisów prawa. To nie jedyna sytuacja, kiedy podmioty zewnętrzne, mogą domagać się od nas danych osobowych, którymi administrujemy. Wszędzie tam, gdzie przedszkola kontrolowane są przez uprawnione do tego organy kontrolne, również może dochodzić do udostępniania danych osobowych. Warto pamiętać jednak o jednym – to przedszkole, jako administrator danych, odpowiada za ich przetwarzanie w pierwszej kolejności. Jeśli ktoś domaga się danych osobowych, którymi administruje przedszkole – powinien najpierw podać ku temu odpowiednią podstawę prawną.
W praktyce funkcjonowania przedszkoli, nie będą miały miejsce udostępnienia danych osobowych, podmiotom innym, niż uprawnione na podstawie przepisów prawa. Takie sytuacje zdarzają się przede wszystkim w obrocie gospodarczym, kiedy np. przedsiębiorcy wymieniają się bazami danych osobowych (oczywiście wcześniej dysponenci powinni wyrazić na to zgodę). W związku z powyższym, części D-12 oraz D-13 pozostawiamy puste.
Część D-14 – przekazywanie danych do państwa trzeciego
Kolejna cześć, D-14 również wymaga bardziej rozbudowanego komentarza. W ostatnich numerach Miesięcznika opisywaliśmy które dokładnie państwa są uważane przez polskie prawo za państwa „trzecie”. W tym miesiącu skupimy się na krótkim opisie czynności, które należy podjąć w przypadku kiedy dyrektor przedszkola chciałby przekazać dane osobowe pracowników lub wychowanków właśnie do takiego państwa.
Najpierw wróćmy do części D-14 – jeśli placówka przekazuje dane osobowe do państwa trzeciego, powinniśmy wpisać w tym polu nazwę takiego państwa. Dyrektor przedszkola musi jednak pamiętać o tym, żeby przed „wyeksportowaniem” danych osobowych do państwa trzeciego, spełnić specjalne, „dodatkowe” przesłanki (wynika to z art. 47 ustawy o ochronie danych osobowych). Jako, że w poprzednich artykułach zajmowaliśmy się już zdefiniowaniem pojęcia „państwo trzecie”, zasygnalizujemy jedynie, że mamy możliwość przekazywania danych osobowych do państw trzecich w następujących sytuacjach:
1) Jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej.
2) Gdy przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej.
W także wtedy, gdy:
1) osoba, której dane dotyczą, udzieliła na to zgody na piśmie,
2) przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,
3) przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem,
4) przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,
5) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
6) dane są ogólnie dostępne.
Jak widać możliwości jest całkiem dużo. W praktyce jest ich jeszcze więcej. Czytelnicy zapewne pamiętają termin „safe harbor”. To specjalne porozumienie, do którego mogą przystępować firmy ze Stanów Zjednoczonych. Jeśli firma z USA, stanie się uczestnikiem „safe harbor”, to możemy traktować ją tak, jak firmę pochodzącą z państwa należącego do Europejskiego Obszaru Gospodarczego. To czy firma należy do „safe harbor”, możemy sprawdzić w każdej chwili w internecie, na stronie: http://export.gov/safeharbor/. Dlaczego jeszcze warto o tym wiedzieć?
Kupując usługę hostingu, a więc powierzając dane osobowe znajdujące się na naszej stronie internetowej, bądź dane, które wymieniamy między sobą drogą komunikacji mailowej, powinniśmy zadbać o to, aby usługodawca podlegał bezpośrednio przepisom ustawy o ochronie danych osobowych (firma polska). Jeśli decydujemy się na korzystanie z usług firmy zagranicznej, warto aby należała ona do Europejskiego Obszaru Gospodarczego bądź, jeśli jest firmą z USA, aby miała ważny certyfikat „safe harbor”. Pamiętajmy o tym, że przy wyborze usługi hostingu warto kierować się nie tylko ceną czy możliwościami oferowanymi przez usługodawcę ale też bezpieczeństwem powierzanych danych.
Tym samym część D wniosku, mamy już za sobą. Pozostała nam do wypełnienia część E.
Inne artykuły związane z rejestracją zbiorów danych osobowych do GIODO
Zapraszamy do zapoznania się ze wszystkimi częściami cyklu artykułów poświęconych rejestracji zbiorów danych osobowych do GIODO:
– Które zbiory danych osobowych zwolnione są z obowiązku rejestracji:
– Jakie zbiory danych osobowych powinno się zarejestrować do GIODO
– Poradnik jak zarejestrować zbiór danych osobowych krok po kroku:
Część 1. – definiowanie administratora danych i nazwy zbioru danych, przedstawiciel Wnioskodawcy (państwo trzecie), powierzenie przetwarzania danych osobowych
Część 2. – wskazanie przesłanki legalności, celu i zakresu przetwarzania danych oraz kategorii osób, których dane są przetwarzane
Część 3. – osoby od których zbierane są dane osobowe, przekazywanie danych do państwa trzeciego
Część 4. – centralne/rozproszone przetwarzanie danych, jaką formę przetwarzania danych wybrać, które z podstawowych zabezpieczeń zaznaczyć
Część 5. – w jaki sposób opisać dodatkowe zabezpieczenia, które stosujemy, aby chronić przetwarzane dane osobowe
Łukasz Zegarek
Podstawa prawna:
- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101 poz. 926 ze zm.).
Bibliografia:
- J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Wolters Kluwer Polska, Warszawa 2011.
- A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy (stan prawny na 2 lipca 2007 r.), Lexis Nexis, Warszawa 2007.
- www.giodo.gov.pl
- https://egiodo.giodo.gov.pl
Niniejszy artykuł stanowi fragment artykułu, który ukazał się nakładem Miesięcznika Dyrektora Przedszkola.
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.