Ustawa o ochronie danych osobowych – kiedy nie ma zastosowania

sejm
Tworząc dzisiejszy wpis chciałem pomóc wszystkim administratorom danych w uporządkowaniu wiedzy związanej z przetwarzaniem danych osobowych. Bez wątpienia jednym z najważniejszych przepisów ustawy jest art. 23  – wyliczający przesłanki legalności przetwarzania danych osobowych. Jednakże poza w/w przepisem (obszernie już komentowanym na łamach bloga) istnieje jeszcze kilka innych przepisów, rozrzuconych po całej ustawie, które de facto legalizują przetwarzanie danych osobowych nawet jeśli przesłanki z art. 23 nie zostały spełnione. Przyjrzyjmy się więc następującym przepisom ustawy:

Art. 3a.

1. Ustawy nie stosuje się do:
1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,

W/w przepis oznacza dla administratora danych, iż ustawa nie znajduje w ogóle zastosowania do przetwarzanych przez niego danych osobowych. Przykładem mogą tu być choćby zdjęcia znajomych przechowywane przez nas w formie papierowej czy też elektronicznej. Kwestia zastosowania Art. 3a. ustawy odnośnie danych zamieszczonych na portalach społecznościowych jest już co najmniej dyskusyjna.

Przede wszystkim chodzi tu o skalę – w posiadanie tak udostępnionych informacji może wejść każdy użytkownik portalu, a więc potencjalnie każda osoba posiadająca dostęp do Internetu.

Z kolei podpunkt 2) w/w stanowi, iż:

Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się również do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe (Dz.U Nr 5, poz. 24, z późn. zm.2)) oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.

Porządkując w/w kwestie, do działalności dziennikarskiej, literackiej i artystycznej stosujemy tylko następujące przepisy ustawy o ochronie danych osobowych:

Art. 14- 19 ustawy o ochronie danych osobowych, są to przepisy oddające również tego rodzaju sprawy w granicę kompetencji GIODO. Art. 36 ust. 1:

1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Warto podkreślić, iż w przypadku danych osobowych przetwarzanych w związku z działalnością dziennikarską, literacką i artystyczną, administrator danych nie musi prowadzić dokumentacji związanej z ochroną danych osobowych (polityka bezpieczeństwa, instrukcja zarządzania, upoważnienia). Bez wątpienia jest to dość istotne ułatwienie dla administratora danych.

Kolejny przepis, który w znaczącym stopniu ogranicza stosowanie ustawy o ochronie danych osobowych to Art.2 ust. 3 ustawy o ochronie danych osobowych:

Art. 2 ust. 3

W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.

Aby móc skorzystać z dyspozycji w/w przepisu, zbiór danych musi być sporządzony doraźnie. Dokładne omówienie przesłanki doraźności i względów technicznych będzie przedmiotem odrębnego artykułu. W praktyce administratorzy danych często korzystają z różnego rodzaju zbiorów sporządzanych na krótki okres czasu, w związku z wykonywanym zadaniem. We wszystkich tego rodzaju sytuacjach zastosowanie mają jedynie przepisy rozdziału 5 ustawy – rozdział ten nie jest zbyt obszerny dlatego załączam poniżej wszystkie przepisy składające się na w/w Rozdział:

Art. 36.

1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.

Art. 37.

Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Art. 38.

Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Art. 39.

1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:

1) imię i nazwisko osoby upoważnionej,

2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,

3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Art. 39a.

Minister właściwy do spraw administracji publicznej w porozumieniu z ministrem właściwym do spraw informatyzacji określi, w drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych.

Wyżej przytoczone przepisy stanowią „furtkę” umożliwiającą administratorom danych brak konieczności stosowania takich wymogów ustawy o ochronie danych osobowych jak:

1)      Przesłanki legalności z Art. 23,

2)      Obowiązek zgłoszenia zbioru do rejestracji u GIODO,

3)      Obowiązek informacyjny,

W kategoriach „ułatwień” ze strony ustawodawcy należy rozpatrywać również Art. 43 ustawy o ochronie danych osobowych. Przepis ten zwalnia z obowiązku rejestracyjnego następujące kategorie zbirów danych osobowych:

1)   objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,

1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,

2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,

2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej,

2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej;

3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,

4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,

5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,

6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,

7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,

8 ) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,

9) powszechnie dostępnych,

10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,

11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

Chciałbym raz jeszcze podkreślić – Art. 43 ustawy o ochronie danych osobowych zwalnia jedynie z obowiązku zgłaszania zbioru do rejestracji. Oznacza to, przede wszystkim, że przesłanki legalności przetwarzania danych osobowych sprecyzowane w Art. 23 ustawy o ochronie danych osobowych, muszą zostać spełnione. Pewnego komentarza wymaga wg. mnie pkt. 11) tj. klauzula przetwarzania danych w zakresie drobnych bieżących spraw życia codziennego. Zapewne dla wszystkich firm czy instytucji publicznych ważny będzie fakt, iż zgodnie z aktualnym orzecznictwem GIODO do „drobnych, bieżących spraw życia codziennego zaliczyć możemy między innymi księgi wejść i wyjść.

 

Powiązane artykuły

Zasady pracy zdalnej a RODO – poradnik
Kontrola trzeźwości – co na to nowelizacja kodeksu pracy?
Praca zdalna a RODO – co na to nowelizacja kodeksu pracy?

6 Odpowiedzi

  1. Zygmunt

    Czy osoba fizyczna prowadząca działalność gospodarczą też jest chroniona przez powyższą Ustawę?
    A dokładniej jeśli prowadzę firmę i do celów podatkowych muszę posiadać dane różnego rodzaju firm, również osób fizycznych prowadzących działalność gospodarczą (nie osób prywatnych) to muszę prosić właścicieli tych firm o pozwolenie ? Co w przypadku gdy do sklepu przychodzi pracownik takiej osoby i oczekuje wystawienia faktury. Przecież nie może taki pracownik zezwolić na przetwarzanie danych swojego pracodawcy.

  2. Tadeusz

    Dzień Dobry , chciałem się dowiedzieć czy placówki typu hospicja, domy starości np Dom Lekarza Seniora powinny mieć wyznaczonego ABI, też są chronione przez powyższą ustawę ?

    1. Kancelaria Lex Artist

      Witamy 🙂 W świetle obecnie obowiązujących przepisów powołanie ABI nie jest obligatoryjne, choć w przypadku przetwarzania dużej ilości danych wrażliwych (np. dotyczących stanu zdrowia) rekomendujemy powołanie takiej osoby. pozdrawiamy

  3. Dzień dobry
    czy osoba fizyczna prowadząca 1-os. działalność gospodarczą, która ma dostęp do imienia i nazwiska klientów (widnieje na kartach typu Benefit, którą przepuszczam przez terminal w celu odnotowania wejścia na zajęcia lub – jak w przypadku Fit-Profit obowiązuje wpis na listę, gdzie klient zostawia imię i nazwisko, po rozliczeniu faktury lista jest niszczona) ma jakieś wymogi w związku z ustawą o ochronie danych osobowych?
    dziękuję za odpowiedź
    serdecznie pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Jeśli mamy do czynienia z sytuacją, gdzie osoba fizyczna prowadząca działalność gospodarczą, jest współpracownikiem np. sieci siłowni, to wówczas administratorem danych osobowych jest sieć siłowni, a współpracownikowi na działalności powinno być nadane upoważnienie do przetwarzania danych osobowych. Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO