Zbiór danych osobowych dzisiaj i według RODO

Wstęp

Zacznijmy od stwierdzenia, że zbiór danych to fundament ochrony danych osobowych. Bez jego wyodrębnienia ciężko mówić o efektywnym wdrożeniu procesu, który zapewni odpowiedni poziom ochrony.

Zaczynając pracę nad wdrożeniem procesu należy w pierwszej kolejności wyodrębnić zbiory, w których są przetwarzane dane. Bez tego nie można mówić o jakiejkolwiek ochronie danych. To podstawa podstaw. Jeśli tego nie zrobimy, nie będzie możliwe między innymi stworzenie dokumentacji, czy przeprowadzenie sprawdzenia, audytu – działań przewidzianych przepisami prawa.

W niniejszym artykule wyjaśnię Państwu w pierwszej kolejności definicję zbioru w świetle obowiązujących przepisów, następnie opiszę w jakim celu dokonuje się wyodrębnienia zbiorów, nie zabraknie również praktycznych wskazówek, na koniec przekażę podstawowe informacje na temat rejestracji zbiorów w GIODO.

Czym jest zbiór danych osobowych wg uodo?

W świetle art. 6 ustawy o  ochronie danych osobowych (dalej: uodo) dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Ten sam akt prawny definiuje też pojęcie przetwarzania danych osobowych stanowiąc, że przez to pojęcie rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Idąc dalej dowiadujemy się, że dane osobowe są lub mogą być przetwarzane w zbiorach.

Co kryje się pod pojęciem „ zbioru danych osobowych”?

Zgodnie z art. 7 pkt 1 uodo zbiór danych to: „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie

Z powyższej definicji można wnioskować, że cechą wyróżniającą zbiór danych od innego zestawu danych jest struktura, czyli takie uporządkowanie, które umożliwia dostęp do  konkretnych danych według określonego kryterium.

Aby  móc zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów uodo, wystarczające jest zastosowanie kryterium według, którego będzie możliwe odnalezienie danych osobowych. Wyszukanie według takiego  kryterium jak np. imię, nazwisko, data urodzenia, PESEL lub też po dacie zamieszczenia danych w zbiorze, nadaje zestawowi danych charakter uporządkowanego zbioru i tym samym umożliwia zakwalifikowanie go  jako zbioru danych osobowych.

Podsumowując zgodnie z powołanym już wcześniej art. 7 pkt 1 uodo zbiór informacji można uznać za zbiór danych jeśli zostaną spełnione kumulatywnie następujące przesłanki: zawiera dane osobowe, ma określoną, własną strukturę oraz zapewnia dostęp do danych według określonych kryteriów.

W jakim celu należy wyodrębnić zbiory danych?

Jak już Państwo wiecie wyodrębnienie zbioru danych pełni kluczową rolę w procesie ochrony danych osobowych. Bez tego nie jest możliwe przygotowanie dokumentacji, która jest bazą do wszystkich działań podejmowanych przez administratora danych w zakresie danych osobowych.

W świetle obowiązującego stanu prawnego każdy Administrator Danych w Polsce, musi prowadzić specjalną dokumentację ochrony danych osobowych. W jej skład wchodzą między innymi polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym, ewidencja upoważnień do przetwarzania danych osobowych.

W Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. W sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dalej: Rozporządzenie w sprawie dokumentacji), wprost wskazano, że niezbędnym elementem Polityki Bezpieczeństwa jest wykaz zbiorów danych osobowych – § 4 pkt 2 rozporządzenia w sprawie dokumentacji.

Jeśli nie wyodrębnimy zbiorów danych osobowych, które przetwarzamy, nie będzie możliwe nadanie do nich upoważnień dla pracowników. Problemem staje się też  odpowiednie zabezpieczenie poszczególnych zbiorów danych lub zbadanie czy są one przetwarzane w oparciu o jedną z przesłanek legalności (art. 23 lub 27 uodo).

A co na to rozporządzenie o ochronie danych osobowych (RODO)?

W naszej praktyce spotykamy się z osobami, które podważają konieczność wyodrębnienia zbiorów danych po wejściu w życie RODO.

Nic mylniejszego.

Definicja zbioru danych osobowych zawarta w RODO jest bardzo podobna do tej, którą opisałam Państwu na początku niniejszego artykułu. RODO wskazuje też na obowiązek Administratora w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych mających na celu ochronę danych osób fizycznych.

Motyw 78 preambuły RODO stanowi:

„Ochrona praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów niniejszego rozporządzenia. Aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych”

Idąc dalej art. 24 RODO:

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Wymienione w powołanych przepisach środki obejmują wprowadzenie polityk bezpieczeństwa. Jak można stworzyć politykę bezpieczeństwa bez wskazania zbiorów? Jeśli myślimy o praktycznym zastosowaniu tego dokumentu odpowiedź na zadane pytanie jest tylko jedna: Nie jest możliwe stworzenie polityki bezpieczeństwa bez wskazania zbiorów.

Przed nami nowelizacja ustawy o ochronie danych osobowych. Może się okazać, że polski ustawodawca doprecyzuje wymogi dotyczące polityk za pomocą rekomendacji, w których będą przez następcę GIODO wskazane zalecane środki bezpieczeństwa. W rekomendacjach może znaleźć się miejsce na wskazanie elementów, które powinna zawierać polityka bezpieczeństwa danych osobowych.

O możliwości zastosowania takiego rozwiązania mówi motyw 77 preambuły RODO:

„Wskazówki co do tego, jak wdrożyć odpowiednie środki oraz wykazać przestrzeganie prawa przez administratora lub podmiot przetwarzający dane – w szczególności jeżeli chodzi o identyfikowanie ryzyka związanego z przetwarzaniem, o jego ocenę pod kątem źródła, charakteru, prawdopodobieństwa i wagi zagrożenia oraz o najlepsze praktyki pozwalające zminimalizować to ryzyko – mogą być przekazane w szczególności w formie zatwierdzonych kodeksów postępowania, zatwierdzonej certyfikacji, wytycznych Europejskiej Rady Ochrony Danych lub poprzez sugestie inspektora ochrony danych.”

Klucz do wyodrębnienia zbiorów danych osobowych

Przechodząc do praktyki, w pierwszej kolejności należy zastanowić się nad doborem odpowiednich kryteriów wyodrębnienia zbiorów.

Na początek warto  sobie zadać kilka pytań:
– kto będzie miał dostęp do zbioru?
– w jakim celu dane będą przetwarzane?
– jakiej kategorii osób dotyczą?
– w jakim zakresie będą zbierane?
– na jakiej podstawie prawnej są przetwarzane?

Jeśli odpowiedzi na wszystkie powyższe pytania będą identyczne, albo mocno do siebie zbliżone – możemy mówić o 1 zbiorze danych.

Dla Administratorów Danych Osobowych doskonałym narzędziem pomocnym przy wyodrębnieniu zbiorów jest rejestr e-GIODO– daje możliwość sprawdzenia jakie zbiory danych rejestrują inni Administratorzy z tej samej branży. Portal e-GIODO znajduje się pod adresem internetowym: http://egiodo.giodo.gov.pl/ .

Podsumowując, aby poprawnie wyodrębnić zbiór należy przede wszystkim uwzględnić takie kryteria jak dostęp, zakres danych (np. wizerunek, imię i nazwisko), cel zbierania (w celu zachowania bezpieczeństwa), kategorie osób których dane dotyczą (pracownicy, klienci, kontrahenci).

Jak nazwać zbiory danych?

W tym zakresie warto kierować się zasadą „ Im prościej tym lepiej”.

Oto przykłady nazw zbiorów, które stosujemy naszej praktyce zawodowej:

Pracownicy, Potencjalni pracownicy, Ewidencja korespondencji, Klienci, Kontrahenci, Reklamacje, Newsletter.

Przyjęcie prostego nazewnictwa jest bardzo praktycznym podejściem -ułatwia porządkowanie i rozumienie struktury zbiorów.

Kolejna uwaga dotyczy się ilości zbiorów –nie jest dobre ani wyodrębnianie zbyt wielu zbiorów, ani zbyt małej ich liczby. Z naszego doświadczenia wynika, że optymalna liczba zbiorów w większości średniej wielkości firm,
to 5-9.

Poniżej przedstawiam Państwu dwa przykłady wyodrębnienia zbiorów w obszarze zatrudnienia pracowników. Można zastosować dwa rozwiązania: wydzielić tylko dwa zbiory lub też siedem. Za każdym razem należy jednak zadać sobie pytania: czy w przypadku mojej organizacji jest to uzasadnione rozwiązanie, czy jest ono funkcjonalne?

 

Rejestracja zbiorów w GIODO

Kolejnym zagadnieniem wartym omówienia w zakresie zbiorów jest ich rejestracja w GIODO.

Kiedy należy zgłosić zbiory do GIODO?

Jak już wielokrotnie pisaliśmy na naszym blogu Administrator Danych powinien zgłosić zbiory do rejestracji jeszcze przed rozpoczęciem przetwarzania danych. Wynika to z art. 46 ust. 1 uodo – „Administrator danych może (…), rozpocząć ich [danych osobowych – przyp. autora] przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi”. Oznacza to, że wystarczy, że Administrator Danych tylko zgłosi zbiór do GIODO, żeby mógł od tego momentu legalnie przetwarzać dane osobowe. Nie ma potrzeby, żeby Administrator Danych czekał na potwierdzenie od GIODO, udowadniające, że wniosek został już zarejestrowany (jest to o tyle ważne, że czas pomiędzy wysłaniem wniosku, a jego faktycznym zarejestrowaniem często bywa liczony w tygodniach).

Jeśli Administrator Danych zamierza przetwarzać dane szczególnie chronione (tzw. „dane wrażliwe”), wskazane w art. 27 uodo, czyli „dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym”, to musi poczekać z tym aż do momentu otrzymania potwierdzenia z GIODO będącego udokumentowaniem zarejestrowania zbioru (art. 46 ust. 2 uodo).

Czy są wyjątki pozwalające na nierejestrowanie zbiorów danych osobowych?

Tak- Administratorzy Danych nie są zobowiązani rejestrować do GIODO zbiorów danych osobowych odnoszących się do:  pracowników, potencjalnych pracowników, kontrahentów, osób przebywających na terenie zakładu pracy (np. księgi wejść i wyjść) oraz uczniów ich rodziców (jeśli Administratorem Danych jest szkoła lub przedszkole). Należy jednak pamiętać, że mogą zdarzyć się takie zbiory danych osobowych, np. pracowników (choćby tych, których nie zatrudniamy, ale którzy świadczą dla nas usługi), które podlegają obowiązkowi rejestracji w GIODO. Z przywileju nie rejestrowania zbiorów mogą też skorzystać podmioty, które zdecydowały się na powołanie Administratora Bezpieczeństwa Danych i prowadzą jawny rejestr zbiorów ODO – ale o tym będę pisać poniżej.

Jawny rejestr zbiorów danych osobowych

Nowelizacja ustawy o ochronie danych osobowych z roku 2015, wprowadziła nową formę „zgłoszenia” zbiorów danych osobowych. Dotyczy ona tych administratorów danych, którzy zdecydowali się powołać Administratora Bezpieczeństwa Informacji (ABI). ABI prowadzi jawny rejestr zbiorów, zawierający opis zbiorów, dotychczas wymagających zgłoszenia do GIODO.

Rejestr jawny stanowi odrębny dokument, który nie wchodzi w skład Polityki Bezpieczeństwa. Sposób prowadzenia przez ABI jawnego rejestru zbiorów danych osobowych został określony w Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych.

Więcej informacji na ten jawnego zbioru danych jest dostępna pod adresem https://blog-daneosobowe.pl/my-juz-wiemy-jak-prowadzic-jawny-rejestr-zbiorow-danych-osobowych/

Podsumowanie

Trudno mówić o wdrożeniu skutecznego w praktyce procesu ochrony danych osobowych jeśli w pierwszej kolejności nie wyodrębnimy zbiorów danych, które są kluczowym elementem polityk , o których mowa w obecnie obowiązujących przepisach uodo jak też przepisach RODO wchodzących w życie 25 maja 2018 roku.

Mam nadzieję, że udało mi się rozwiać wątpliwości co znaczenia pojęcia zbioru danych osobowych  i konieczności ich wyodrębnienia  w procesie ochrony danych osobowych.

Jeśli macie Państwo pytania, zapraszam po skorzystania z naszego wsparcia (konsultacje, audyty, szkolenia) – https://blog-daneosobowe.pl/wsparcie/

Źródła:

 

Powiązane artykuły

rodo faq
Czym jest proces przetwarzania danych osobowych? #RODOFAQ
Ochrona danych osobowych przetwarzanych w zbiorach sporządzanych doraźnie

28 Odpowiedzi

  1. lorenzo

    Jakie ma się pojęcie zbioru danych do obsługującego zbiór oprogramowania.

    Jeżeli mam dane klientów w kilku programach (outlook, program księgowy, program magazynowy), to mam jeden zbiór „dane klientów” czy trzy zbiory odrębnie dla każdego programu?

    1. Kancelaria Lex Artist

      W opisanej sytuacji Administrator posiada oczywiście jeden zbiór danych osobowych . (Możemy go nazwać umownie zbiorem „Klienci”.) Obsługiwanie tego zbioru przez kilka systemów informatycznych to właśnie proces przetwarzania danych osobowych w zbiorze.
      W dokumentacji ochrony danych osobowych wykazujemy jeden zbiór, dodając informacje o systemach informatycznych, używanych do jego przetwarzania.

  2. Agnieszka

    Dzień dobry,
    mam pytanie odnośnie zakwalifikowania pewnego zbioru do zbiorów danych osobowych.
    Pracuje w urzędzie, w którym składane są zgłoszenia prac geodezyjnych. Na zgłoszeniach wpisywane są numery telefonów lub adresy e-mail do kontaktu. Jeżeli podczas realizacji roboty geodezyjnej wynikną pewne usterki (podczas kontroli przez inspektorów w urzędzie) geodeci są powiadamiani o takiej sytuacji, żeby mogli to poprawić, a sprawa nie leży i toczy się dalej. Powiadomienie następuje sms za pomocą programu skype. Czy zbiór telefonów i nazwisk osób w programie skype jest zbiorem danych osobowych, który trzeba wpisać w załączniku do polityki bezpieczeństwa? Czy konieczne jest jeszcze upoważnienie od takich osób, czy wystarczy to, że sami podają ten numer na zgłoszeniu, a sprawa w sms dotyczy właśnie tego tematu.
    Z góry dziękuje za odpowiedź.

    1. Kancelaria Lex Artist

      Zgłoszenie prac geodezyjnych dokonywane jest na wzorze określonym rozporządzeniem Ministra Administracji i Cyfryzacji. We wzorze jest rubryka dotycząca danych kontaktowych i jej wypełnienie jest oznaczone jako fakultatywne. W tym przypadku mamy zatem do czynienia z przesłanką dopuszczalności przetwarzania danych określoną w art. 23 ust. 1 pkt. 2. A jest to przesłanka realizacji obowiązku wynikającego z przepisu prawa. Odpowiadając więc na drugie pytanie, zdecydowanie nie ma potrzeby sporządzania dodatkowego formularza zgody na przetwarzanie danych osobowych w kontekście prac geodezyjnych. Po pierwsze dopuszczalne jest przetwarzanie danych powołując się na inną przesłankę niż zgoda. Po drugie podanie danych kontaktowych w formularzu ma charakter fakultatywny, więc pojawia się dodatkowo przesłanka zgody.
      Niewątpliwie dane zebrane ze zgłoszeń stanowią zbiór danych osobowych. Może on być wykazany w Polityce Bezpieczeństwa jako niezależny zbiór kontaktów. Z praktycznego punktu widzenia, bardziej korzystne może okazać się natomiast dołączenie tej bazy kontaktowej do zbioru o szerszym zakresie, np. pod nazwą „Prace geodezyjne”. Wszystko zależy od specyfiki pracy urzędu oraz rodzaju danych, jakie przetwarza.

  3. Klaudia

    Witam serdecznie,
    mam już kołomyję z tymi zbiorami danych. Nie potrafię określić, czy te dane są zbiorem:
    1. czy zbiorem powinna być dokumentacja przetargowa?
    2. czy zbiorem są dane osobowe z decyzji np. o pozwoleniu na budowę? tzn. dostajemy od lokalnego urzędu wykaz właścicieli działek na terenie na którym bedziemy prowadzić roboty inwestycyjne, ta decyzja jest dołączona do dokumentacji danego zadania inwestycyjnego i ta dokumentacja jest również częścią dokumentacji przetargowej. Decyzja jest też zeskanowana, ale tak naprawdę jeżeli ktoś by mi podał imię i nazwisko i adres, to po zadaniu (lokalizacji) wiedziałabym, gdzie szukać tych danych. Jeżeli to jest zbiór danych, to jak powinien się nazywać? Może być zadania inwestycyjne? pod który podlega dokumentacja przetargowa, decyzje i szereg innych dokumentów?
    3. Czy my otrzymując decyzję na której jest wykaz osób które również tą decyzję otrzymały stajemy się administratorem danych, możemy ją przetważać, powinniśmy poinformować te osoby do czego są nam potrzebne te dane, bo to że je mamy to widzą na piśmie.
    4. Czy zbiorem danych powinny być dokumenty pracownicze?
    5. Czy zbiorem danych powinna być baza CV
    6. Czy zbiorem danych powinny być pełnomocnictwa?

    Do tej pory nie udało mi się uzyskać konkretnych informacji, może od Państwa je dostanę.

    1. Kancelaria Lex Artist

      Zgodnie z art. 7 pkt 1 ustawy zbiór informacji można uznać za zbiór danych jeśli zostaną spełnione kumulatywnie następujące przesłanki: zawiera dane osobowe, ma określoną, własną strukturę oraz zapewnia dostęp do danych według określonych kryteriów. Jeżeli we wskazanej przez Panią dokumentacji przetargowej oraz decyzji zawarte są dane osobowe, to należy utworzyć taki zbiór bądź w sytuacji utworzenia zbioru „Zadania inwestycyjne” wszelką dokumentację przetargową, decyzje, umowy związane z zadaniami inwestycyjnymi również włączyć do tego zbioru. Trudno jest odnieść się do pytania nr 3. z uwagi na brak informacji w jakim celu zamierzają Państwo przetwarzać dane osób wskazanych w decyzji. Wszelkie dokumenty pracownicze, kwestionariusze osobowe pracowników można włączyć do zbioru „Pracownicy”, natomiast dla bazy CV zalecamy utworzenie zbioru „Rekrutacja”, w którym można gromadzić dane z CV oraz z kwestionariuszy osobowych dla kandydatów do pracy. W sytuacji, gdy wskazane przez Panią w pytaniu 6. pełnomocnictwa nadawane są pracownikom to dokumenty z nimi związane można włączyć do zbioru „Pracownicy”.

  4. Agnieszka

    Dzień dobry,

    ponownie wracam do powyższego tematu związanego z listą numerów kontaktowych, na który dostałam już od Państwa odpowiedź za co bardzo dziękuje :). Jednak ciągle mnie coś tutaj zastanawia. Chodzi o przesłankę realizacji obowiązku wynikającego z przepisu prawa. Nie wiem czy poprzednio dobrze się wyraziłam.

    Numer telefonu i dane geodety bierzemy ze zgłoszenia i tworzymy nową bazę w programie skype. Czyli przetwarzamy ten numer w innej bazie. Wysyłanie SMS związanego z usterką nie wynika z przepisu prawa, czyli nie jest niezbędne do spełnienia obowiązków wynikających z przepisu prawa. Chodzi o to, że my nie musimy wysyłać tych sms, nie jest to naszym obowiązkiem, robimy to dodatkowo. Co nie zmienia faktu, że treść tego sms oczywiście dotyczy zgłoszonej pracy.

    Czy w takim razie nadal uważa Pan/Pani, że spełniamy tą przesłankę?

    Z góry dziękuje za odpowiedź

    1. Kancelaria Lex Artist

      Artykuł 23 ust. 1 pkt. 2 ustawy o ochronie danych osobowych dopuszcza przetwarzanie danych osobowy w sytuacji, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów prawa. W związku z tym, aby powołać się na tę przesłankę należy wykazać, że istnieje podstawa prawna, która przyznaje uprawnienie lub nakłada obowiązek określonego zachowania, a także wskazać, że przetwarzanie danych osobowych jest niezbędne dla wykonania prawnie określonego obowiązku bądź skorzystania z uprawnienia. We wskazanej przez Panią sytuacji, dane kontaktowe geodety wykorzystywane są w związku z pracami geodezyjnymi. Dodatkowo, przetwarzane dane zostały podane przez geodetę dobrowolnie na wzorze wniosku określonym rozporządzeniem Ministra Administracji i Cyfryzacji. Zatem jest to wystarczające do stwierdzenia, że posiadacie Państwo uprawnienie do kontaktu z geodetą, które wynika z przytoczonego przepisu prawa.

  5. Justyna

    Dzień dobry,
    uprzejmie proszę o wyjaśnienie zagadnienia kategorii zbiorów w zakresie kryteriów przetwarzania ze wskazaniem zadań ADO i/lub ABI.

    1. Łukasz Zegarek

      Dzień dobry,

      Pani Justyno – bardzo proszę o doprecyzowanie pytania. Czy chodzi Pani o to w jaki sposób wyodrębniać zbiory danych (wg. jakich kryteriów) i jakie zadania spoczywają na ADO (lub ABI, jeśli został powołany) w stosunku do każdego z tych zbiorów?

      Pozdrawiam,
      Łukasz Zegarek

  6. Justyna

    Chodzi mi o samo wyjaśnienie kategorii zbiorów ( czy jest to podział na zbiory stałe i doraźne?) i jakie są kryteria przetwarzania w tychże zbiorach? I dokładnie jakie zadania spoczywają na ADO lub ABI w stosunku do każdego z tych zbiorów.

    Z góry dziękuję i pozdrawiam 🙂

    1. Łukasz Zegarek

      Każda firma i instytucja, przetwarza dane osobowe w jakichś zbiorach danych. Są to np.: Klienci, Kontrahenci, Marketing, Newsletter, Pracownicy, Rekrutacja, Petenci, Konkursy. Wszystkie zbiory danych należy opisać w dokumentacji, niektóre należy zarejestrować w GIODO. W praktyce nie dzieli się takich zbiorów na „stałe” (w cudzysłowie dlatego, że nie jest to pojęcie ustawowe) i doraźne. Są to po prostu zbiory danych.
      Ze zbiorem doraźnym mielibyśmy do czynienia, w przykładowej sytuacji:
      1. Z listy pracowników [a więc ze zbioru danych Pracownicy] „wyciągamy” tych, którzy mieliby wziąć udział w szkoleniu z ochrony danych osobowych
      2. Taka lista jest następnie wydrukowana i przekazana firmie przeprowadzającej szkolenie w celu wydrukowania dla uczestników szkolenia [powstaje więc „doraźny” zbiór pracowników którym zostanie wydany certyfikat]
      3. Po wydaniu certyfikatów, lista jest usuwana. [zbiór „doraźny” przestaje więc istnieć. Nie musimy tego jednak odnotowywać w Dokumentacji ochrony danych]

      Mam nadzieję, że udało mi się wyjaśnić to zawiłe zagadnienie;)

  7. grzech

    Witam. To ja mam takie pytanie.
    W pracy mamy siec LAN. Oklo 180 komputerow. Kazdy z uzytkownikow ma dwa dyski sieciowe – d1 i d2. Dysk d1 jest udostepniony na serwerze tylko dla danych uzytkownika ictylko on go widzi. Uzytkownicy trzymaja sobie tam rozne rzeczy. W tym pliki pism z danymi osobowymi. Czy to musze zglaszac do giodo??? Przeciez kazdy komputer trzeba by bylo zglosic..

    1. Kancelaria Lex Artist

      Dzień dobry.
      Język prawniczy i język informatyczny rządzą się swoimi prawami.
      Dla informatyka pojęcie zbioru danych (bazy danych), oznacza zupełnie co innego niż dla prawnika.
      Prawnicy interpretują pojęcie zbioru danych, jako pewną całość. Najlepiej zobrazować to przykładem.
      Zbiór danych kadrowych to suma wszystkich danych o pracownikach przetwarzanych przez pracodawcę.
      Na ten zbiór składa się baza danych w systemie kadrowo – płacowym, tabelki excelowe z wyliczeniem urlopów, teczki akt osobowych, dane kontaktowe etc.
      To jest zbiór danych w sensie prawniczym i tylko taki zbiór zgłaszamy do GIODO.

      Zbiór danych w sensie informatycznym to byłaby w tym przypadku tylko baza danych w systemie kadrowo płacowym.

      Prawo operuje tutaj na pewnym poziomie ogólności.

      1. grzech

        Witam ponownie. Czyli nie ma co zglaszac wystepowania powierzchni dyskowych z serwea dla pracownikow do giodo? Bo rzeczywiscie to bylby bez sens..

        1. Kancelaria Lex Artist

          Należy zgłaszać zbiory w sensie prawnym. Jeśli zaczniemy zgłaszać bazy danych czy powierzchnie dyskowe – czekałby nas ogrom nikomu nie potrzebnej pracy. A i inspektorzy GIODO analizujący później tysiące takich zgłoszeń, wcale nie byliby zachwyceni 😉 Już dzisiaj na rejestrację bazy u GIODO czasem czeka się ponad rok.

  8. Piotr

    Witam serdecznie,
    mam dwa zbiory danych w dwóch różnych systemach. W pierwszym zbiorze są dane klientów, którzy złożyli reklamację, a w drugim dane zaw. historię transakcji zarejestrowanych w systemie – anonimowe do czasu połączenia z danymi ze zbioru pierwszego. Czy w takim przypadku drugi zbiór, zaw. dane o transakcjach powinien zostać opisany w dokumentacji i zarejestrowany jako zbiór danych os. (nie ponoszę dodatkowych kosztów, ani nakładu, żeby te dane nie były anonimowe, ponieważ jako ten sam podmiot dysponuję tymi danymi w innym zbiorze)?

    1. Kancelaria Lex Artist

      Jeśli historia transakcji nie odnosi się do zidentyfikowanej osoby, nie powstaje w ogóle zbiór danych osobowych.
      W rzeczywistości jednak dane można ze sobą połączyć (tak wynika z treści komentarza) zatem mamy do czynienia z jednym zbiorem danych, w zakres którego wchodzą zarówno dane dotyczące reklamacji, jak i historia transakcji.
      Może być też tak, że historia transakcji będzie jednocześnie elementem zbioru danych (w sensie prawnym), dotyczącego reklamacji i jeszcze innego zbioru danych (np. klienci).

      1. Piotr

        Dziękuję za odpowiedź,
        czy zbiór korespondencji z reklamacjami, przechowywany w segregatorze, w którym listy są układane wg. kolejności wpłynięcia można uznać za zbiór danych?

  9. Łukasz Zegarek

    Panie Piotrze – ciężko jest nam odpowiedzieć na Pańskie pytania bez szczegółowej analizy procesów przetwarzania danych o których Pan pisze.

    To co mogę doradzić, to to, jak w my w naszej praktyce zawodowej kwalifikujemy zbiory danych. I jaka metoda sprawdza się w praktyce. Wyróżniamy następujące zbiory:
    – Ewidencja korespondencji (CAŁEJ wpływającej korespondencji, niezależnie od tego, jaka jest jej zawartość)
    – Klienci (i tutaj mamy 2 wyjścia – albo pod ten zbiór „podłączamy” podzbiór reklamacje, albo wyróżniamy osobny zbiór – Reklamacje)

    Przy wyodrębnianiu zbiorów proszę zawsze szukać złotego środka. Nie jest dobre ani wyodrębnianie zbyt wielu zbiorów, ani zbyt małej ich liczby. Z naszego doświadczenia: optymalna liczba zbiorów w większości MŚP firm, to 5-9.

    Przy zastanawianiu się nad kryteriami wyodrębniania zbiorów zawsze proszę sobie zadać kilka pytań:
    – kto będzie miał dostęp do analizowanych przeze mnie danych?
    – w jakim celu dane są przetwarzane?
    – kogo dotyczą?
    – w jakim zakresie są zbierane?
    – na jakiej podstawie prawnej są przetwarzane?

    Jeśli odpowiedzi na wszystkie powyższe pytania będą identyczne, albo mocno do siebie zbliżone – możemy mówić o 1 zbiorze danych.

    Mam nadzieję, że udało mi się rozwiać Pańskie wątpliwości. Jeśli nie, zapraszam po skorzystania z naszego wsparcia (konsultacje, audyty, szkolenia) – https://blog-daneosobowe.pl/wsparcie/

    Pozdrawiam serdecznie,
    Łukasz Zegarek

  10. Magdalena

    Dzień dobry.
    Pracuję od niedawna w szkole podst. i dopiero wdrażamy RODO. Moje pytanie dotyczy o rejestr czynności udostępnień. Często wysyłamy pisma do Sądu lub Poradni Psychologiczno Pedagogicznej z opinią konkretnych uczniów. Opinie oczywiście są pisane przez pedagogów szkolnych lub wychowawców. Jak określić zbiór, z którego udostępniono dane osobowe? Co w tym przypadku będzie zbiorem? Bo sposobem udostępniania danych osob.będzie – pozyskanie danych od wychowawcy lub pedagoga szk. I która to podstawa prawna?
    Z góry dziękuję za odpowiedź.

    1. Kancelaria Lex Artist

      Dzień dobry. Przede wszystkim rejestr, o którym wspomniano w komentarzu, to rejestr czynności przetwarzania, w którym należy zamieścić m. in. odbiorców danych lub ich kategorie. Takimi odbiorcami są m. in. podmioty, którym udostępniają Państwo dane osobowe. Natomiast w rejestrze nie ma obowiązku wskazywania zbiorów, należy w nim wskazać przede wszystkim czynności przetwarzania danych osobowych. Pozdrawiamy!

  11. Agnieszka

    Dzień dobry,
    Przygotowuje zbiory danych osobowych w organizacji, aby umieścić je w upoważnieniach do przetwarzania danych. Trochę się w tym pogubiłam. Trudno mi określić co jest zbiorem danych osobowych, co nie. Rozumiem, że np. pracownicy, rekrutacja, ewidencja korespondencji są zbiorami danych. A co np. z firmami od których coś kupujemy i rozliczamy faktury, na których są dane firmy (takiej którą można wyszukać w internecie), czy jest to zbiór danych kontrahentów czy nie? Co z np. programami unijnym z których organizacja otrzymuje dofinansowania czy umowy zawarte są zbiorami danych czy nie? lub z środkami z Ministerstw, czy umowy z nimi są zbiorami danych czy nie? Przykład programów unijnych i dofinansowania z Ministerstw to jedne z wymienionych w rejestrze przetwarzania czynności przetwarzania, korzystając z niego próbowałam nazwać zbiory. Nie jestem pewna czy to dobrze robię.

    1. Lex Artist

      Dzień dobry:-) Pani sposób wyodrębniania zbiorów jest poprawny. Zbiór z programami unijnymi można po prostu nazwać Programy unijne. Czym prostsze nazewnictwo tym lepiej. Podsumowując zbiory dane to: Pracownicy, Rekrutacja, Kontrahenci, Programy Unijne. W ich obrębie wykazujemy procesy np. realizacja umowy, działania windykacyjne. Pozdrawiamy!

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO