Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Poradnik – jak zarejestrować zbiór danych osobowych do GIODO, cz. 3

01357a
W kolejnej niniejszej poradnika, zaprezentujemy w jaki sposób wypełnić kolejną część wniosku rejestracyjnego – część D. Pierwsze pytanie w tej sekcji (D-11), przed którym stawiają nas autorzy wniosku, dotyczy osób od których zbieramy dane do naszego zbioru. Mamy następujące możliwości odpowiedzi:

1)      dane zbierane są od osoby, której dotyczą,

2)      dane zbierane są z innych źródeł.

Osobom, które dopiero rozpoczęły lekturę cyklu dotyczącego zgłoszenia zbioru do GIODO, przypominamy, że prowadzimy symulację zgłoszenia zbioru „ewidencja korespondencji”. Napływająca do nas z różnych źródeł korespondencja, będzie zawierała przede wszystkim dane osobowe nadawców – a więc osób, których dane bezpośrednio dotyczą. Tak więc zarówno w tym przypadku, jak i w zdecydowanej większości innych sytuacji, sugerujemy zaznaczenie odpowiedzi pierwszej: „dane zbierane są od osoby, której dotyczą”. Co do zasady, sytuacja zbierania danych z innych źródeł, będzie związana przede wszystkim z handlem bazami danych osobowych i w sferze działalności prowadzonej przez przedszkola,  nie będzie miała miejsca. Skoro udało nam się szybko przejść przez pierwsze pytanie, zajmijmy się kolejnym, wymagającym dłuższego wyjaśnienia.

Część D-12 oraz D-13 – udostępnienie danych osobowych

Części D-12 oraz D-13 dotyczą tego samego – sposobu udostępniania danych ze zbioru. W poprzednich numerach, zajmowaliśmy się zagadnieniem powierzania przetwarzania danych osobowych. Zwracamy uwagę na to, że termin udostępnienia danych, oznacza zupełnie co innego, niż ich powierzenie. Powierzenie, możemy porównać do wypożyczenia komuś pewnego zasobu informacji, przy czym informacje te cały czas pozostają niejako „na uwięzi”. To my, jako podmiot powierzający dane osobowe – np. naszych pracowników w ramach outsourcingu kadr czy płac – posiadamy zwierzchnią kontrolę nad powierzonymi danymi. Natomiast udostępniając dane osobowe – wręczamy je innemu podmiotowi ale już bez żadnej kontroli nad tym co później z nimi się stanie. Odwołując się do praktycznych przykładów:

Jeśli w ramach czynności operacyjnych, policjanci zażądają od dyrektora przedszkola podania informacji o tym, kiedy dziecko było obecne w przedszkolu i który rodzic je z niego odebrał – to z całą pewnością, miało miejsce udostępnienie danych osobowych. Funkcjonariusze będą przetwarzali udostępnione informacje do własnych celów i na własny użytek. Oczywiście funkcjonariusze Policji, są jednostkami upoważnionymi do uzyskania danych osobowych na podstawie przepisów prawa. To nie jedyna sytuacja, kiedy podmioty zewnętrzne, mogą domagać się od nas danych osobowych, którymi administrujemy. Wszędzie tam, gdzie przedszkola kontrolowane są przez uprawnione do tego organy kontrolne, również może dochodzić do udostępniania danych osobowych. Warto pamiętać jednak o jednym – to przedszkole, jako administrator danych, odpowiada za ich przetwarzanie w pierwszej kolejności. Jeśli ktoś domaga się danych osobowych, którymi administruje przedszkole – powinien najpierw podać ku temu odpowiednią podstawę prawną.

W praktyce funkcjonowania przedszkoli, nie będą miały miejsce udostępnienia danych osobowych, podmiotom innym, niż uprawnione na podstawie przepisów prawa. Takie sytuacje zdarzają się przede wszystkim w obrocie gospodarczym, kiedy np. przedsiębiorcy wymieniają się bazami danych osobowych (oczywiście wcześniej dysponenci powinni wyrazić na to zgodę). W związku z powyższym, części D-12 oraz D-13 pozostawiamy puste.

Część D-14 – przekazywanie danych do państwa trzeciego

world-67861_640Kolejna cześć, D-14 również wymaga bardziej rozbudowanego komentarza. W ostatnich numerach Miesięcznika opisywaliśmy które dokładnie państwa są uważane przez polskie prawo za państwa “trzecie”. W tym miesiącu skupimy się na krótkim opisie czynności, które należy podjąć w przypadku kiedy dyrektor przedszkola chciałby przekazać dane osobowe pracowników lub wychowanków właśnie do takiego państwa.

Najpierw wróćmy do części D-14 – jeśli placówka przekazuje dane osobowe do państwa trzeciego, powinniśmy wpisać w tym polu nazwę takiego państwa. Dyrektor przedszkola musi jednak pamiętać o tym, żeby przed „wyeksportowaniem” danych osobowych do państwa trzeciego, spełnić specjalne, „dodatkowe” przesłanki (wynika to z art. 47 ustawy o ochronie danych osobowych). Jako, że w poprzednich artykułach zajmowaliśmy się już zdefiniowaniem pojęcia „państwo trzecie”, zasygnalizujemy jedynie, że mamy możliwość przekazywania danych osobowych do państw trzecich w następujących sytuacjach:

1)      Jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej.

2)      Gdy przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej.

W także wtedy, gdy:

1) osoba, której dane dotyczą, udzieliła na to zgody na piśmie,

2) przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,

3) przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem,

4) przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,

5) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,

6) dane są ogólnie dostępne.

Jak widać możliwości jest całkiem dużo. W praktyce jest ich jeszcze więcej. Czytelnicy zapewne pamiętają  termin „safe harbor”. To specjalne porozumienie, do którego mogą przystępować firmy ze Stanów Zjednoczonych. Jeśli firma z USA, stanie się uczestnikiem „safe harbor”, to możemy traktować ją tak, jak firmę pochodzącą z państwa należącego do Europejskiego Obszaru Gospodarczego. To czy firma należy do „safe harbor”, możemy sprawdzić w każdej chwili w internecie, na stronie: http://export.gov/safeharbor/. Dlaczego jeszcze warto o tym wiedzieć?

Kupując usługę hostingu, a więc powierzając dane osobowe znajdujące się na naszej stronie internetowej, bądź dane, które wymieniamy między sobą drogą komunikacji mailowej, powinniśmy zadbać o to, aby usługodawca podlegał bezpośrednio przepisom ustawy o ochronie danych osobowych (firma polska). Jeśli decydujemy się na korzystanie z usług firmy zagranicznej, warto aby należała ona do Europejskiego Obszaru Gospodarczego bądź, jeśli jest firmą z USA, aby miała ważny certyfikat „safe harbor”. Pamiętajmy o tym, że przy wyborze usługi hostingu warto kierować się nie tylko ceną czy możliwościami oferowanymi przez usługodawcę ale też bezpieczeństwem powierzanych danych.

Tym samym część D wniosku, mamy już za sobą. Pozostała nam do wypełnienia część E.

Inne artykuły związane z rejestracją zbiorów danych osobowych do GIODO

Zapraszamy do zapoznania się ze wszystkimi częściami cyklu artykułów poświęconych rejestracji zbiorów danych osobowych do GIODO:

– Które zbiory danych osobowych zwolnione są z obowiązku rejestracji:

Część 1. – zbiór danych osobowych pracowników, byłych pracowników i potencjalnych pracowników oraz uczniów

Część 2. – dane księgowe, dane członków rodzin pracowników i uczniów oraz drobne bieżące sprawy życia codziennego

– Jakie zbiory danych osobowych powinno się zarejestrować do GIODO

 Obowiązek rejestracji zbiorów danych osobowych – w jaki sposób uzyskać potwierdzenie rejestracji, odmowa rejestracji zbioru przez GIODO

– Poradnik jak zarejestrować zbiór danych osobowych krok po kroku:

Część 1. – definiowanie administratora danych i nazwy zbioru danych, przedstawiciel Wnioskodawcy (państwo trzecie), powierzenie przetwarzania danych osobowych

Część 2. – wskazanie przesłanki legalności, celu i zakresu przetwarzania danych oraz kategorii osób, których dane są przetwarzane

Część 3. – osoby od których zbierane są dane osobowe, przekazywanie danych do państwa trzeciego

Część 4. – centralne/rozproszone przetwarzanie danych, jaką formę przetwarzania danych wybrać, które z podstawowych zabezpieczeń zaznaczyć

Część 5. – w jaki sposób opisać dodatkowe zabezpieczenia, które stosujemy, aby chronić przetwarzane dane osobowe

Łukasz Zegarek

 

 

Podstawa prawna:

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101 poz. 926 ze zm.).

 

Bibliografia:

  • J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Wolters Kluwer Polska, Warszawa 2011.
  • A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy (stan prawny na 2 lipca 2007 r.), Lexis Nexis, Warszawa 2007.
  • www.giodo.gov.pl
  • https://egiodo.giodo.gov.pl

Niniejszy artykuł stanowi fragment artykułu, który ukazał się nakładem Miesięcznika Dyrektora Przedszkola.

Powiązane artykuły

Monitoring wizyjny a ochrona danych osobowych
Przekazywanie danych do USA – Privacy Shield
Czy program „Safe Harbor” faktycznie trafił do kosza? Jak jest naprawdę?

Zostaw odpowiedź