Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Zbiór danych osobowych – charakterystyka pojęcia

Powszechnie przyjmuje się, że  zakres przedmiotowy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej określanej u. o. d. o.) wyznacza głównie jej art.2 ust.1., w myśl którego „Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.” W ustępie drugim wspomnianego artykułu następuje uszczegółowienie tej generalnej zasady. Wynika z niego, że ustawę stosuje się do przetwarzania danych osobowych w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych (pkt1), w systemach informacyjnych, a także w przypadku przetwarzania danych poza zbiorem danych (pkt2). Nie ulega więc wątpliwości, że na gruncie u. o. d. o. termin „zbiór danych” stanowi obok pojęć: „dane osobowe” oraz „przetwarzanie danych”- jedno z kluczowych pojęć, którego wyjaśnienie i uściślenie będzie determinować przedmiotowy zakres stosowania wyżej wspomnianej ustawy.

Pojęcie „zbiór danych” to, zgodnie z art. 7 pkt1 ustawy o ochronie danych osobowych, „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. Wynika z tego, że o zbiorze danych można mówić wówczas, gdy zestaw, czyli „całość złożona z odpowiednio dobranych elementów”[1]. Zgodnie z przyjętą w ustawie definicją zbiór danych jest zatem zespołem informacji, które łącznie posiadają trzy cechy. Po pierwsze informacje w nim zawarte spełniają  definicję danych osobowych (tu: wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej). Po drugie jest to zestaw informacji,  które są  zorganizowane  według określonego klucza, a to oznacza, że jest to zestaw posiadający swoistą strukturę. Po trzecie zaś, dostęp do danych w nim zawartych będzie zapewniony według określonych kryteriów[2]. Nie ma natomiast znaczenia, czy zestaw ten jest scentralizowany czy rozproszony, jednolity czy podzielony funkcjonalnie. W sposób zbliżony definiowane jest pojęcie zbioru danych osobowych w Dyrektywie 95/46/WE, rozumiane jako : „każdy uporządkowany zestaw danych osobowych, dostępnych według określonych kryteriów, scentralizowanych, zdecentralizowanych lub rozproszonych funkcjonalnie lub geograficznie”. I tak  w zależności od potrzeb dla których to  sporządzany jest dany zbiór danych, objęte są one odmiennym reżimem prawnym. Jeżeli przetwarzanie danych  dokonane jest dla potrzeb bezpieczeństwa publicznego, obronności, bezpieczeństwa narodowego lub też w trakcie działań organów państwowych w dziedzinie prawa karnego-jest ono wyłączone od obowiązku ich rejestracji na podstawie art.43 . W odniesieniu do zbiorów danych osobowych sporządzonych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji , mają  zastosowanie jedynie  przepisy dotyczące zabezpieczenia danych.[3]

Podstawowym kryterium odróżniającym zbiór danych według u. o. d. o. od innych zbiorów jest to, że  stanowi on zestaw danych o charakterze osobowym. Dane w nim zawarte mogą być wyrażone w różny sposób, przykładowo: słowem, dźwiękiem (tu: zbiory nagranych wypowiedzi), obrazem (tu: zbiory zdjęć używane do identyfikacji sprawców przestępstw). Niemniej sposób owego wyrażenia danych, nie przesądza o tym, że z mamy do czynienia ze  zbiorem danych osobowych, ponieważ ich zestaw musi w dalszym ciągu spełniać ustawowe przesłanki uznania go za zbiór (odsyłam do definicji zawartej w art.7 pkt1 u. o. d. o.). Omawiając dalej, zbiorem danych osobowych jest zarówno zestaw danych odnoszących się tak do jednej jak i wielu osób[4]. Niemniej ustawa nie określa  dolnej granicy ilości danych w przykładowym zbiorze, aby uznać go za zgodny z jej wymogami. Rozpatrując ilościowy wymóg zawartych w zbiorze danych, można uznać za trafny, pogląd, że ze zbiorem mamy do czynienia nawet wówczas, gdy w zbiorze tym znajdują się dane jednej osoby. Najtrafniejsze jest wnioskowanie, że o istnieniu zbioru danych osobowych decyduje nie ilość danych w nim zawartych, a spełnienie przesłanek z art.7pkt1 u. o. d. o. Dodatkowo z treści  art.46 ust.1i 2   u. o. d. o. stanowiącego, że:  „Administrator danych może, z zastrzeżeniem ust. 2, rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba że ustawa zwalnia go z tego obowiązku.” (ustęp 1) oraz: „Administrator danych, o których mowa w art. 27 ust. 1, może rozpocząć ich przetwarzanie w zbiorze danych po zarejestrowaniu zbioru, chyba że ustawa zwalnia go z obowiązku zgłoszenia zbioru do rejestracji.”(ustęp 2) można wywieść, że przepisy ustawy uzależniają  rozpoczęcie przetwarzania danych osobowych od zgłoszenia zbioru do rejestracji albo zarejestrowania go przez GIODO. Mając na uwadze, ze z czynnością przetwarzania mamy do czynienia, gdy dane są przykładowo zbierane i utrwalane, należy przyjmować więc, że zgodnie z zamysłem ustawodawcy, wniosek rejestracyjny administratora danych odnosi się do zbioru „pustego”, a zatem nie zawierającego żadnych danych[5]. Skoro więc posługujemy się pojęciem „zbiór danych” w odniesieniu do de facto nie zapełnionego jeszcze „nośnika danych”, tym bardziej termin ten jest aktualny w stosunku do zbioru zawierającego utrwaloną „daną osobową”(dane osobowe) jednej osoby fizycznej.

Jak wyżej zostało to przedstawione, kolejnym elementem definicji zbioru danych, wymaganym na gruncie ustawy, jest posiadanie przez niego struktury. W konsekwencji mianem zbioru nie można określić luźnego zestawienia danych osobowych (jako sumy elementów). Struktura bowiem stanowi ogół relacji pomiędzy elementami, które są ściśle ze sobą powiązane i stanowią zatem  już nie układ, a zestaw (system)[6]. Stąd zbiorem danych będzie tylko ten zestaw danych osobowych, który wykazuje cechy uporządkowania. Najlepszy przykład stanowi zbiór uporządkowany alfabetycznie.

Kolejną nieodzowną cechą zbioru danych jest dostępność danych według określonych kryteriów. Art.7 pkt1 u. o. d. o. posługuje się pojęciem: „ określonych kryteriów” w liczbie mnogiej, dlatego niektórzy z autorów twierdzą, iż zamysłem ustawodawcy było, by dla zaistnienia zbioru danych występowały jednocześnie co najmniej dwa kryteria dostępności. Wielość kryteriów dostępności jest bowiem jednocześnie elementem odróżniającym zbiór danych od zestawu danych, dla którego wystarczające jest jedno kryterium dostępu. Wyklucza to możliwość uznania wyłącznie alfabetycznego uporządkowania danych jako kryterium[7]. Przyjmuje się, że dane są dostępne  wówczas , gdy nietrudno do nich dotrzeć, gdy są łatwe do zdobycia, łatwe do osiągnięcia. Z ustawowej definicji, wynika, że dostępność danych oceniana jest według określonych kryteriów, które jak często się podkreśla-„pozwalają na w miarę szybki i bezpośredni dostęp do oznaczonych danych”, przy czym nie chodzi tu o dostęp w ogóle, ale łatwy dostęp.

W ustawowej definicji nie występuje podział na zbiory zautomatyzowane (informatyczne) i tradycyjne (manualne). W efekcie może to utrudniać obchodzenie przepisów u. o. d. o. przez rozproszenie zasobów informatycznych, bądź też próbę zmiany sposobu przetwarzania danych ze zbiorów informatycznych na manualne. Generalny Inspektor Danych Osobowych  (dalej GIODO) wskazał tu za przykład sytuację, w której jedno z towarzystw ubezpieczeniowych , aktualizując zgłoszony do rejestru zbiór danych, poinformowało GIODO, że dane osobowe usunięto z systemu informatycznego i przetwarza się je tylko w formie papierowej, alfabetycznie ułożone w segregatorach. W związku z tym, zdaniem wnioskodawcy , nie został spełniony warunek dostępności danych osobowych według określonych kryteriów, dlatego też przetwarzanego zestawu nie można kwalifikować jako zbioru danych. Mimo, że ustawowa definicja nie rozróżnia zestawów danych ze względu na ich charakter, na gruncie u. o. d. o. można dokonać analizy w oparciu o przedstawione w niej metody  przetwarzania danych zawartych w omówionym uprzednio art.2 ust.2 pkt1 i 2. W ustępie pierwszym wyżej wymienionego artykułu ustawa posługuje się pojęciem: „zbiorów ewidencyjnych”, tu przykładowo wyliczając ich kategorie: kartoteki, skorowidze, księgi, wykazy. W tym miejscu należy zauważyć, że również w komentarzach do Dyrektywy 95/46/WE Parlamentu Europejskiego  i Rady, zawierającej podobną definicję zbioru danych   (personal data filing system : ”fling system”, zaznacza się, iż takimi zbiorami mogą być ręczne zbiory ewidencyjne , zgromadzone akta osobowe, (teczki, kartoteki), a także znormalizowane materiały (np. formularze, kwestionariusze) uporządkowane i ułożone w odpowiedni sposób. Można dodać jedynie, że poza zakresem przepisów dyrektywy pozostają akta nie posiadające żadnego strukturalnego układu. W przypadku omawianego wyżej ręcznego przetwarzania danych osobowych, organizację danych w zestawie  zapewnia się przez sporządzenie skorowidza odsyłającego  do lokalizacji tych danych. Podając za przykład firmę, w której są gromadzone dane, za „zbiór danych” można będzie zatem uznać razem wzięte: skorowidz nazwisk osób, których dane napływają do firmy, dziennik podawczy regulujący daty wpływu danych i miejsca gdzie zostały one skierowane wraz ze wszystkimi danymi rozproszonymi w tej firmie.

Rozważając natomiast kwestię przetwarzania zbioru danych w  systemach informatycznych, odnosi się je zazwyczaj do pojęcia „bazy danych”, zbliżonego w swym znaczeniu do pojęcia „zbiór danych”. Organizacja danych w wyżej wymienionych zbiorach prowadzonych technikami  informatycznymi, zapewniona jest poprzez automatyczne wprowadzenie danych do bazy danych. Termin  „baza danych” definiowany jest najczęściej jako zbiór plików, gdzie w uporządkowanym formacie przechowywane są dane pewnego rodzaju. Zbiorami zautomatyzowanymi będą m.in. zarówno bazy tworzone  przez profesjonalne  systemy zarządzania  bazami danych , jak i pliki zawierające dane. Dodać należy jedynie, że w tym przypadku dostępność tych danych oceniać należy poprzez przetwarzający je system komputerowy, nie zaś samą postać zapisu. Dla uznania określonego zestawu informacji za zbiór danych  nie ma w zasadzie znaczenia , czy będzie on jednocześnie bazą danych w rozumieniu art.2 ust.1 pkt1 ustawy z 27 lipca 2001r.o ochronie baz danych, ze względu na fakt, że reżimem ochrony w w/w ustawie objęte są prawa własności intelektualnej, mające charakter prywatnoprawny, podczas gdy  u. o. d. o. oferuje ochronę o publicznoprawnym charakterze. Ponadto po nowelizacji ustawy u. o. d. o. z 22 stycznia 2004r., postrzeganie automatycznego przetwarzania danych osobowych jako dokonanego w bazach danych  utraciło ostrość i znaczenie. Jest to za sprawą tego, że według brzmienia ustawowego, przetwarzanie danych osobowych dotyczy  ich przetwarzania  w zbiorach danych (tu: bazach danych), jak i poza nim, o czym stanowi art.2 ust.2 pkt2 u. o. d. o.

Artykuł 2 ust.3 u. o. d. o. stanowi o szczególnej postaci zbiorów danych osobowych, czyli tzw. zbiorach doraźnych, w stosunku do których ograniczony jest w znacznym stopniu zakres zastosowania ustawy poddanej naszym rozważaniom. Według  jej brzmienia : „W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.” powinno się zatem przyjmować, że poza zakresem  stosowania u. o. d. o. pozostają wyłącznie takie zbiory, które spełniają kryterium „doraźności”, co oznacza, że zostały utworzone dla chwilowej potrzeby, a po wykorzystanych w nich zawartych danych osobowych , zostaną one niezwłocznie usunięte albo poddane anonimizacji. Dodać należy, że wszystkie użyte w tym przepisie pojęcia są nieprecyzyjne, a to skutkuje brakiem rozeznania, kiedy mamy do czynienia z doraźnym zbiorem danych. Ten brak precyzji uzasadnia obawy, że konstrukcja zbioru doraźnego może być nadużywana w tych sytuacjach gdy określony zestaw danych powinno się traktować jako zbiór danych w rozumieniu art.7 pkt1 u. o. d. o., a co za tym idzie stosować do niego i zgromadzonych w nim danych wszystkie rygory zawarte w tejże ustawie.

Podsumowując, można stwierdzić , że na gruncie  u. o. d. o. pojęcie zbiór danych stanowi w istocie jedno z pojęć podstawowych, które zarazem  w znacznej mierze wyznacza zakres jej stosowania. W praktyce bowiem, zakwalifikowanie zestawu danych jako zbioru danych rodzi szereg istotnych prawnie konsekwencji, tak dla administratora danych- na którego u. o. d. o. nakłada szereg obowiązków, jak i dla podmiotu danych-który może realizować swe uprawnienia kontrolne w stosunku do przetwarzanych danych, jego dotyczących.

Artykuł na podstawie opracowania autorstwa Moniki Krajewskiej.


[1] Słownik języka polskiego. Tom III, pod red. M. Szymczaka, Warszawa 1981,s.1003.

[2] J. Barta, R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2002, s.323.

[3] M. Polok, Bezpieczeństwo danych osobowych, wyd. C. H. Beck 2008r.

[4] J. Barta , R. Markiewicz, Ochrona danych osobowych. Komentarz, Kraków 2002, s.323.

[5] M. Sakowska,  Pojęcie ”zbiór danych” na gruncie ustawy o ochronie danych osobowych ,Radca Prawny 2/2005

[6] G.Szpor, Publicznoprawna ochrona danych osobowych, Przegląd Ustawodawstwa Gospodarczego 1999, nr 12,s.6

[7] W. Zimny

Powiązane artykuły

Ochrona danych osobowych przetwarzanych w zbiorach sporządzanych doraźnie

24 Odpowiedzi

  1. lorenzo

    Jakie ma się pojęcie zbioru danych do obsługującego zbiór oprogramowania.

    Jeżeli mam dane klientów w kilku programach (outlook, program księgowy, program magazynowy), to mam jeden zbiór “dane klientów” czy trzy zbiory odrębnie dla każdego programu?

    1. Kancelaria Lex Artist

      W opisanej sytuacji Administrator posiada oczywiście jeden zbiór danych osobowych . (Możemy go nazwać umownie zbiorem „Klienci”.) Obsługiwanie tego zbioru przez kilka systemów informatycznych to właśnie proces przetwarzania danych osobowych w zbiorze.
      W dokumentacji ochrony danych osobowych wykazujemy jeden zbiór, dodając informacje o systemach informatycznych, używanych do jego przetwarzania.

  2. Agnieszka

    Dzień dobry,
    mam pytanie odnośnie zakwalifikowania pewnego zbioru do zbiorów danych osobowych.
    Pracuje w urzędzie, w którym składane są zgłoszenia prac geodezyjnych. Na zgłoszeniach wpisywane są numery telefonów lub adresy e-mail do kontaktu. Jeżeli podczas realizacji roboty geodezyjnej wynikną pewne usterki (podczas kontroli przez inspektorów w urzędzie) geodeci są powiadamiani o takiej sytuacji, żeby mogli to poprawić, a sprawa nie leży i toczy się dalej. Powiadomienie następuje sms za pomocą programu skype. Czy zbiór telefonów i nazwisk osób w programie skype jest zbiorem danych osobowych, który trzeba wpisać w załączniku do polityki bezpieczeństwa? Czy konieczne jest jeszcze upoważnienie od takich osób, czy wystarczy to, że sami podają ten numer na zgłoszeniu, a sprawa w sms dotyczy właśnie tego tematu.
    Z góry dziękuje za odpowiedź.

    1. Kancelaria Lex Artist

      Zgłoszenie prac geodezyjnych dokonywane jest na wzorze określonym rozporządzeniem Ministra Administracji i Cyfryzacji. We wzorze jest rubryka dotycząca danych kontaktowych i jej wypełnienie jest oznaczone jako fakultatywne. W tym przypadku mamy zatem do czynienia z przesłanką dopuszczalności przetwarzania danych określoną w art. 23 ust. 1 pkt. 2. A jest to przesłanka realizacji obowiązku wynikającego z przepisu prawa. Odpowiadając więc na drugie pytanie, zdecydowanie nie ma potrzeby sporządzania dodatkowego formularza zgody na przetwarzanie danych osobowych w kontekście prac geodezyjnych. Po pierwsze dopuszczalne jest przetwarzanie danych powołując się na inną przesłankę niż zgoda. Po drugie podanie danych kontaktowych w formularzu ma charakter fakultatywny, więc pojawia się dodatkowo przesłanka zgody.
      Niewątpliwie dane zebrane ze zgłoszeń stanowią zbiór danych osobowych. Może on być wykazany w Polityce Bezpieczeństwa jako niezależny zbiór kontaktów. Z praktycznego punktu widzenia, bardziej korzystne może okazać się natomiast dołączenie tej bazy kontaktowej do zbioru o szerszym zakresie, np. pod nazwą „Prace geodezyjne”. Wszystko zależy od specyfiki pracy urzędu oraz rodzaju danych, jakie przetwarza.

  3. Klaudia

    Witam serdecznie,
    mam już kołomyję z tymi zbiorami danych. Nie potrafię określić, czy te dane są zbiorem:
    1. czy zbiorem powinna być dokumentacja przetargowa?
    2. czy zbiorem są dane osobowe z decyzji np. o pozwoleniu na budowę? tzn. dostajemy od lokalnego urzędu wykaz właścicieli działek na terenie na którym bedziemy prowadzić roboty inwestycyjne, ta decyzja jest dołączona do dokumentacji danego zadania inwestycyjnego i ta dokumentacja jest również częścią dokumentacji przetargowej. Decyzja jest też zeskanowana, ale tak naprawdę jeżeli ktoś by mi podał imię i nazwisko i adres, to po zadaniu (lokalizacji) wiedziałabym, gdzie szukać tych danych. Jeżeli to jest zbiór danych, to jak powinien się nazywać? Może być zadania inwestycyjne? pod który podlega dokumentacja przetargowa, decyzje i szereg innych dokumentów?
    3. Czy my otrzymując decyzję na której jest wykaz osób które również tą decyzję otrzymały stajemy się administratorem danych, możemy ją przetważać, powinniśmy poinformować te osoby do czego są nam potrzebne te dane, bo to że je mamy to widzą na piśmie.
    4. Czy zbiorem danych powinny być dokumenty pracownicze?
    5. Czy zbiorem danych powinna być baza CV
    6. Czy zbiorem danych powinny być pełnomocnictwa?

    Do tej pory nie udało mi się uzyskać konkretnych informacji, może od Państwa je dostanę.

    1. Kancelaria Lex Artist

      Zgodnie z art. 7 pkt 1 ustawy zbiór informacji można uznać za zbiór danych jeśli zostaną spełnione kumulatywnie następujące przesłanki: zawiera dane osobowe, ma określoną, własną strukturę oraz zapewnia dostęp do danych według określonych kryteriów. Jeżeli we wskazanej przez Panią dokumentacji przetargowej oraz decyzji zawarte są dane osobowe, to należy utworzyć taki zbiór bądź w sytuacji utworzenia zbioru „Zadania inwestycyjne” wszelką dokumentację przetargową, decyzje, umowy związane z zadaniami inwestycyjnymi również włączyć do tego zbioru. Trudno jest odnieść się do pytania nr 3. z uwagi na brak informacji w jakim celu zamierzają Państwo przetwarzać dane osób wskazanych w decyzji. Wszelkie dokumenty pracownicze, kwestionariusze osobowe pracowników można włączyć do zbioru „Pracownicy”, natomiast dla bazy CV zalecamy utworzenie zbioru „Rekrutacja”, w którym można gromadzić dane z CV oraz z kwestionariuszy osobowych dla kandydatów do pracy. W sytuacji, gdy wskazane przez Panią w pytaniu 6. pełnomocnictwa nadawane są pracownikom to dokumenty z nimi związane można włączyć do zbioru „Pracownicy”.

  4. Agnieszka

    Dzień dobry,

    ponownie wracam do powyższego tematu związanego z listą numerów kontaktowych, na który dostałam już od Państwa odpowiedź za co bardzo dziękuje :). Jednak ciągle mnie coś tutaj zastanawia. Chodzi o przesłankę realizacji obowiązku wynikającego z przepisu prawa. Nie wiem czy poprzednio dobrze się wyraziłam.

    Numer telefonu i dane geodety bierzemy ze zgłoszenia i tworzymy nową bazę w programie skype. Czyli przetwarzamy ten numer w innej bazie. Wysyłanie SMS związanego z usterką nie wynika z przepisu prawa, czyli nie jest niezbędne do spełnienia obowiązków wynikających z przepisu prawa. Chodzi o to, że my nie musimy wysyłać tych sms, nie jest to naszym obowiązkiem, robimy to dodatkowo. Co nie zmienia faktu, że treść tego sms oczywiście dotyczy zgłoszonej pracy.

    Czy w takim razie nadal uważa Pan/Pani, że spełniamy tą przesłankę?

    Z góry dziękuje za odpowiedź

    1. Kancelaria Lex Artist

      Artykuł 23 ust. 1 pkt. 2 ustawy o ochronie danych osobowych dopuszcza przetwarzanie danych osobowy w sytuacji, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa. W związku z tym, aby powołać się na tę przesłankę należy wykazać, że istnieje podstawa prawna, która przyznaje uprawnienie lub nakłada obowiązek określonego zachowania, a także wskazać, że przetwarzanie danych osobowych jest niezbędne dla wykonania prawnie określonego obowiązku bądź skorzystania z uprawnienia. We wskazanej przez Panią sytuacji, dane kontaktowe geodety wykorzystywane są w związku z pracami geodezyjnymi. Dodatkowo, przetwarzane dane zostały podane przez geodetę dobrowolnie na wzorze wniosku określonym rozporządzeniem Ministra Administracji i Cyfryzacji. Zatem jest to wystarczające do stwierdzenia, że posiadacie Państwo uprawnienie do kontaktu z geodetą, które wynika z przytoczonego przepisu prawa.

  5. Justyna

    Dzień dobry,
    uprzejmie proszę o wyjaśnienie zagadnienia kategorii zbiorów w zakresie kryteriów przetwarzania ze wskazaniem zadań ADO i/lub ABI.

    1. Łukasz Zegarek

      Dzień dobry,

      Pani Justyno – bardzo proszę o doprecyzowanie pytania. Czy chodzi Pani o to w jaki sposób wyodrębniać zbiory danych (wg. jakich kryteriów) i jakie zadania spoczywają na ADO (lub ABI, jeśli został powołany) w stosunku do każdego z tych zbiorów?

      Pozdrawiam,
      Łukasz Zegarek

  6. Justyna

    Chodzi mi o samo wyjaśnienie kategorii zbiorów ( czy jest to podział na zbiory stałe i doraźne?) i jakie są kryteria przetwarzania w tychże zbiorach? I dokładnie jakie zadania spoczywają na ADO lub ABI w stosunku do każdego z tych zbiorów.

    Z góry dziękuję i pozdrawiam 🙂

    1. Łukasz Zegarek

      Każda firma i instytucja, przetwarza dane osobowe w jakichś zbiorach danych. Są to np.: Klienci, Kontrahenci, Marketing, Newsletter, Pracownicy, Rekrutacja, Petenci, Konkursy. Wszystkie zbiory danych należy opisać w dokumentacji, niektóre należy zarejestrować w GIODO. W praktyce nie dzieli się takich zbiorów na “stałe” (w cudzysłowie dlatego, że nie jest to pojęcie ustawowe) i doraźne. Są to po prostu zbiory danych.
      Ze zbiorem doraźnym mielibyśmy do czynienia, w przykładowej sytuacji:
      1. Z listy pracowników [a więc ze zbioru danych Pracownicy] “wyciągamy” tych, którzy mieliby wziąć udział w szkoleniu z ochrony danych osobowych
      2. Taka lista jest następnie wydrukowana i przekazana firmie przeprowadzającej szkolenie w celu wydrukowania dla uczestników szkolenia [powstaje więc “doraźny” zbiór pracowników którym zostanie wydany certyfikat]
      3. Po wydaniu certyfikatów, lista jest usuwana. [zbiór “doraźny” przestaje więc istnieć. Nie musimy tego jednak odnotowywać w Dokumentacji ochrony danych]

      Mam nadzieję, że udało mi się wyjaśnić to zawiłe zagadnienie;)

  7. grzech

    Witam. To ja mam takie pytanie.
    W pracy mamy siec LAN. Oklo 180 komputerow. Kazdy z uzytkownikow ma dwa dyski sieciowe – d1 i d2. Dysk d1 jest udostepniony na serwerze tylko dla danych uzytkownika ictylko on go widzi. Uzytkownicy trzymaja sobie tam rozne rzeczy. W tym pliki pism z danymi osobowymi. Czy to musze zglaszac do giodo??? Przeciez kazdy komputer trzeba by bylo zglosic..

    1. Kancelaria Lex Artist

      Dzień dobry.
      Język prawniczy i język informatyczny rządzą się swoimi prawami.
      Dla informatyka pojęcie zbioru danych (bazy danych), oznacza zupełnie co innego niż dla prawnika.
      Prawnicy interpretują pojęcie zbioru danych, jako pewną całość. Najlepiej zobrazować to przykładem.
      Zbiór danych kadrowych to suma wszystkich danych o pracownikach przetwarzanych przez pracodawcę.
      Na ten zbiór składa się baza danych w systemie kadrowo – płacowym, tabelki excelowe z wyliczeniem urlopów, teczki akt osobowych, dane kontaktowe etc.
      To jest zbiór danych w sensie prawniczym i tylko taki zbiór zgłaszamy do GIODO.

      Zbiór danych w sensie informatycznym to byłaby w tym przypadku tylko baza danych w systemie kadrowo płacowym.

      Prawo operuje tutaj na pewnym poziomie ogólności.

      1. grzech

        Witam ponownie. Czyli nie ma co zglaszac wystepowania powierzchni dyskowych z serwea dla pracownikow do giodo? Bo rzeczywiscie to bylby bez sens..

        1. Kancelaria Lex Artist

          Należy zgłaszać zbiory w sensie prawnym. Jeśli zaczniemy zgłaszać bazy danych czy powierzchnie dyskowe – czekałby nas ogrom nikomu nie potrzebnej pracy. A i inspektorzy GIODO analizujący później tysiące takich zgłoszeń, wcale nie byliby zachwyceni 😉 Już dzisiaj na rejestrację bazy u GIODO czasem czeka się ponad rok.

  8. Piotr

    Witam serdecznie,
    mam dwa zbiory danych w dwóch różnych systemach. W pierwszym zbiorze są dane klientów, którzy złożyli reklamację, a w drugim dane zaw. historię transakcji zarejestrowanych w systemie – anonimowe do czasu połączenia z danymi ze zbioru pierwszego. Czy w takim przypadku drugi zbiór, zaw. dane o transakcjach powinien zostać opisany w dokumentacji i zarejestrowany jako zbiór danych os. (nie ponoszę dodatkowych kosztów, ani nakładu, żeby te dane nie były anonimowe, ponieważ jako ten sam podmiot dysponuję tymi danymi w innym zbiorze)?

    1. Kancelaria Lex Artist

      Jeśli historia transakcji nie odnosi się do zidentyfikowanej osoby, nie powstaje w ogóle zbiór danych osobowych.
      W rzeczywistości jednak dane można ze sobą połączyć (tak wynika z treści komentarza) zatem mamy do czynienia z jednym zbiorem danych, w zakres którego wchodzą zarówno dane dotyczące reklamacji, jak i historia transakcji.
      Może być też tak, że historia transakcji będzie jednocześnie elementem zbioru danych (w sensie prawnym), dotyczącego reklamacji i jeszcze innego zbioru danych (np. klienci).

      1. Piotr

        Dziękuję za odpowiedź,
        czy zbiór korespondencji z reklamacjami, przechowywany w segregatorze, w którym listy są układane wg. kolejności wpłynięcia można uznać za zbiór danych?

  9. Łukasz Zegarek

    Panie Piotrze – ciężko jest nam odpowiedzieć na Pańskie pytania bez szczegółowej analizy procesów przetwarzania danych o których Pan pisze.

    To co mogę doradzić, to to, jak w my w naszej praktyce zawodowej kwalifikujemy zbiory danych. I jaka metoda sprawdza się w praktyce. Wyróżniamy następujące zbiory:
    – Ewidencja korespondencji (CAŁEJ wpływającej korespondencji, niezależnie od tego, jaka jest jej zawartość)
    – Klienci (i tutaj mamy 2 wyjścia – albo pod ten zbiór “podłączamy” podzbiór reklamacje, albo wyróżniamy osobny zbiór – Reklamacje)

    Przy wyodrębnianiu zbiorów proszę zawsze szukać złotego środka. Nie jest dobre ani wyodrębnianie zbyt wielu zbiorów, ani zbyt małej ich liczby. Z naszego doświadczenia: optymalna liczba zbiorów w większości MŚP firm, to 5-9.

    Przy zastanawianiu się nad kryteriami wyodrębniania zbiorów zawsze proszę sobie zadać kilka pytań:
    – kto będzie miał dostęp do analizowanych przeze mnie danych?
    – w jakim celu dane są przetwarzane?
    – kogo dotyczą?
    – w jakim zakresie są zbierane?
    – na jakiej podstawie prawnej są przetwarzane?

    Jeśli odpowiedzi na wszystkie powyższe pytania będą identyczne, albo mocno do siebie zbliżone – możemy mówić o 1 zbiorze danych.

    Mam nadzieję, że udało mi się rozwiać Pańskie wątpliwości. Jeśli nie, zapraszam po skorzystania z naszego wsparcia (konsultacje, audyty, szkolenia) – https://blog-daneosobowe.pl/wsparcie/

    Pozdrawiam serdecznie,
    Łukasz Zegarek

Zostaw odpowiedź