Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Ustawa o ochronie danych osobowych – kiedy nie ma zastosowania

sejm
Tworząc dzisiejszy wpis chciałem pomóc wszystkim administratorom danych w uporządkowaniu wiedzy związanej z przetwarzaniem danych osobowych. Bez wątpienia jednym z najważniejszych przepisów ustawy jest art. 23  – wyliczający przesłanki legalności przetwarzania danych osobowych. Jednakże poza w/w przepisem (obszernie już komentowanym na łamach bloga) istnieje jeszcze kilka innych przepisów, rozrzuconych po całej ustawie, które de facto legalizują przetwarzanie danych osobowych nawet jeśli przesłanki z art. 23 nie zostały spełnione. Przyjrzyjmy się więc następującym przepisom ustawy:

Art. 3a.

1. Ustawy nie stosuje się do:
1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,

W/w przepis oznacza dla administratora danych, iż ustawa nie znajduje w ogóle zastosowania do przetwarzanych przez niego danych osobowych. Przykładem mogą tu być choćby zdjęcia znajomych przechowywane przez nas w formie papierowej czy też elektronicznej. Kwestia zastosowania Art. 3a. ustawy odnośnie danych zamieszczonych na portalach społecznościowych jest już co najmniej dyskusyjna.

Przede wszystkim chodzi tu o skalę – w posiadanie tak udostępnionych informacji może wejść każdy użytkownik portalu, a więc potencjalnie każda osoba posiadająca dostęp do Internetu.

Z kolei podpunkt 2) w/w stanowi, iż:

Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe (Dz.U Nr 5, poz. 24, z późn. zm.2)) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.

Porządkując w/w kwestie, do działalności dziennikarskiej, literackiej i artystycznej stosujemy tylko następujące przepisy ustawy o ochronie danych osobowych:

Art. 14- 19 ustawy o ochronie danych osobowych, są to przepisy oddające również tego rodzaju sprawy w granicę kompetencji GIODO. Art. 36 ust. 1:

1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Warto podkreślić, iż w przypadku danych osobowych przetwarzanych w związku z działalnością dziennikarską, literacką i artystyczną, administrator danych nie musi prowadzić dokumentacji związanej z ochroną danych osobowych (polityka bezpieczeństwa, instrukcja zarządzania, upoważnienia). Bez wątpienia jest to dość istotne ułatwienie dla administratora danych.

Kolejny przepis, który w znaczącym stopniu ogranicza stosowanie ustawy o ochronie danych osobowych to Art.2 ust. 3 ustawy o ochronie danych osobowych:

Art. 2 ust. 3

W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.

Aby móc skorzystać z dyspozycji w/w przepisu, zbiór danych musi być sporządzony doraźnie. Dokładne omówienie przesłanki doraźności i względów technicznych będzie przedmiotem odrębnego artykułu. W praktyce administratorzy danych często korzystają z różnego rodzaju zbiorów sporządzanych na krótki okres czasu, w związku z wykonywanym zadaniem. We wszystkich tego rodzaju sytuacjach zastosowanie mają jedynie przepisy rozdziału 5 ustawy – rozdział ten nie jest zbyt obszerny dlatego załączam poniżej wszystkie przepisy składające się na w/w Rozdział:

Art. 36.

1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.

Art. 37.

Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Art. 38.

Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Art. 39.

1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:

1) imię i nazwisko osoby upoważnionej,

2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,

3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Art. 39a.

Minister właściwy do spraw administracji publicznej w porozumieniu z ministrem właściwym do spraw informatyzacji określi, w drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych.

Wyżej przytoczone przepisy stanowią „furtkę” umożliwiającą administratorom danych brak konieczności stosowania takich wymogów ustawy o ochronie danych osobowych jak:

1)      Przesłanki legalności z Art. 23,

2)      Obowiązek zgłoszenia zbioru do rejestracji u GIODO,

3)      Obowiązek informacyjny,

W kategoriach „ułatwień” ze strony ustawodawcy należy rozpatrywać również Art. 43 ustawy o ochronie danych osobowych. Przepis ten zwalnia z obowiązku rejestracyjnego następujące kategorie zbirów danych osobowych:

1)   objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,

1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,

2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,

2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej,

2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej;

3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,

4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,

5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,

6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,

7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,

8 ) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,

9) powszechnie dostępnych,

10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,

11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

Chciałbym raz jeszcze podkreślić – Art. 43 ustawy o ochronie danych osobowych zwalnia jedynie z obowiązku zgłaszania zbioru do rejestracji. Oznacza to, przede wszystkim, że przesłanki legalności przetwarzania danych osobowych sprecyzowane w Art. 23 ustawy o ochronie danych osobowych, muszą zostać spełnione. Pewnego komentarza wymaga wg. mnie pkt. 11) tj. klauzula przetwarzania danych w zakresie drobnych bieżących spraw życia codziennego. Zapewne dla wszystkich firm czy instytucji publicznych ważny będzie fakt, iż zgodnie z aktualnym orzecznictwem GIODO do „drobnych, bieżących spraw życia codziennego zaliczyć możemy między innymi księgi wejść i wyjść.

 

Powiązane artykuły

Jak działają ABI w innych państwach Unii Europejskiej
Jeden zbiór danych osobowych – kilku administratorów danych

2 Odpowiedzi

  1. Zygmunt

    Czy osoba fizyczna prowadząca działalność gospodarczą też jest chroniona przez powyższą Ustawę?
    A dokładniej jeśli prowadzę firmę i do celów podatkowych muszę posiadać dane różnego rodzaju firm, również osób fizycznych prowadzących działalność gospodarczą (nie osób prywatnych) to muszę prosić właścicieli tych firm o pozwolenie ? Co w przypadku gdy do sklepu przychodzi pracownik takiej osoby i oczekuje wystawienia faktury. Przecież nie może taki pracownik zezwolić na przetwarzanie danych swojego pracodawcy.

Zostaw odpowiedź